Adicionando permissões a políticas controladas pelo domínio

Recentemente precisei desinstalar o SQL Server 2008 Express que estava na minha máquina, pois não usava e o serviço ficava ocupando recursos do computador. Ao executar o utilitário de desinstalação, recebi uma mensagem informando que não tinha permissões suficientes para executar a operação, mesmo sendo administrador local da máquina. O setup do SQL Server solicitava duas permissões:

  • Back up files and directories
  • Manage auditing and security log
Como era administrador da máquina, fui checar o por quê de não ter as permissões. Fui em Administrative Tools -> Local Security Policy -> Security Settings -> Local Policies -> Users Rights Assignment. Para a primeira permissão foi só abrir o item e adicionar meu usuário a lista de permitidos. Já para a segunda não era possível alterar, pois era uma política controlada pelo domínio. Pedi então ao rapaz do Help Desk para desinstalar o software para mim, só que ele também não possuía a tal permissão… Seria necessário solicitar ao administrador do domínio a alteração da política, o que poderia demorar, e como o que eu estava querendo fazer era algo simples (desinstalar um software), resolvi pesquisar por uma alternativa.
Algumas das políticas do Windows ficam no registro e nestes casos é fácil sobrescrever os valores do domínio, pois basta alterar o valor da chave correspondente com a ferramenta regedit. É claro que é necessário ser administrador da máquina para isso. Existe uma planilha da própria Microsoft com todas as políticas e suas chaves correspondentes no registro. O problema é que as políticas em Users Rights Assignment não ficam no registro do Windows. Neste caso, a solução que encontrei foi utilizar a ferramenta ntrights.exe. Esta ferramenta faz parte do Windows Server 2003 Resource Kit Tools , mas aparentemente funciona no Windows 7. Com isso, bastou executar o seguinte comando:
ntrights.exe -u dominio\usuario +r SeSecurityPrivilege
O valor SeSecurityPrivilege é o nome da política descrita como Manage auditing and security log. Por fim, bastou fazer logoff e o login novamente no Windows que o usuário estava com as permissões requeridas. Lembrando que este comando só deve funcionar se o usuário for administrador da máquina e somente para políticas locais. Isso não altera o domínio local, mas apenas adiciona permissões às existentes que foram definidas pelo AD na sua máquina.
Anúncios