Adicionando permissões a políticas controladas pelo domínio

Recentemente precisei desinstalar o SQL Server 2008 Express que estava na minha máquina, pois não usava e o serviço ficava ocupando recursos do computador. Ao executar o utilitário de desinstalação, recebi uma mensagem informando que não tinha permissões suficientes para executar a operação, mesmo sendo administrador local da máquina. O setup do SQL Server solicitava duas permissões:

  • Back up files and directories
  • Manage auditing and security log
Como era administrador da máquina, fui checar o por quê de não ter as permissões. Fui em Administrative Tools -> Local Security Policy -> Security Settings -> Local Policies -> Users Rights Assignment. Para a primeira permissão foi só abrir o item e adicionar meu usuário a lista de permitidos. Já para a segunda não era possível alterar, pois era uma política controlada pelo domínio. Pedi então ao rapaz do Help Desk para desinstalar o software para mim, só que ele também não possuía a tal permissão… Seria necessário solicitar ao administrador do domínio a alteração da política, o que poderia demorar, e como o que eu estava querendo fazer era algo simples (desinstalar um software), resolvi pesquisar por uma alternativa.
Algumas das políticas do Windows ficam no registro e nestes casos é fácil sobrescrever os valores do domínio, pois basta alterar o valor da chave correspondente com a ferramenta regedit. É claro que é necessário ser administrador da máquina para isso. Existe uma planilha da própria Microsoft com todas as políticas e suas chaves correspondentes no registro. O problema é que as políticas em Users Rights Assignment não ficam no registro do Windows. Neste caso, a solução que encontrei foi utilizar a ferramenta ntrights.exe. Esta ferramenta faz parte do Windows Server 2003 Resource Kit Tools , mas aparentemente funciona no Windows 7. Com isso, bastou executar o seguinte comando:
ntrights.exe -u dominio\usuario +r SeSecurityPrivilege
O valor SeSecurityPrivilege é o nome da política descrita como Manage auditing and security log. Por fim, bastou fazer logoff e o login novamente no Windows que o usuário estava com as permissões requeridas. Lembrando que este comando só deve funcionar se o usuário for administrador da máquina e somente para políticas locais. Isso não altera o domínio local, mas apenas adiciona permissões às existentes que foram definidas pelo AD na sua máquina.
Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s