2008下可以使用組策略或安全模板來配置實現；2003下用微軟提供的subinacl工具實現，如：

subinacl.exe /service * /grant=test=TOP

賦與test使用者啟動、停止、暫停所有服務的權利。

注意，萬用字元“*”有時候不包括一些特殊服務，比如apche tomcat服務。這時需要先用系統自帶的sc命令獲取服務的真實名稱，再用subinacl配置許可權。比如：

sc   getkeyname   “apache tomcat 6”返回服務真實名稱是“tomcat6”; 

subinacl.exe  /service tomcat6 /grant=test=top       賦予test使用者啟動、停止、暫停tomcat6服務的權利。

另外管理程序細分許可權可以用process explorer這款工具，subinacl雖然也可以，但不如process explorer細緻。

還有，2003下如果要使一個普通user可以共享資料夾給其他人使用，則至少要把它加入power user組才行。power user組比users組多了一些許可權，再把多的許可權限制住就可以了。

附一篇轉載文章，稍作備註：

前幾天收到客戶的一個特別需求，有一臺伺服器的服務Service1需要授予以為普通的域使用者User1重啟服務的許可權，並且不希望該使用者擁有重啟該伺服器以為的其他管理許可權，如遠端登入伺服器、伺服器的管理員許可權等。在windows中可以對特定服務進行授權管理，方法大概有以下三種：

1) 使用組策略進行授權

2) 使用安全模板進行授權；

3) 使用工具Subinacl.exe進行授權。

以上3個方法中第三個不能在最新的windows 2008 R2中使用。下面詳細介紹以上三個方法的具體實現方式。

此方法適用於在域策略中使用，本地策略中不適用，也可在Windows 2008及R2的域中使用。在此不詳細介紹組策略的新建及應用。

1) 單擊“開始”，指向“管理工具”，然後單擊“組策略管理”；

2) 右擊“組策略物件”，然後單擊“新建”。鍵入新的組策略物件的名稱（例如，Service1服務授權），然後按 ENTER 鍵。

3) 單擊該新建的組策略物件（如果尚未選中），然後右擊“編輯”。

4) 展開“計算機配置”，展開“Windows 設定”，展開“安全設定”，然後單擊“系統服務”。

5) 在右窗格中，雙擊要對其應用許可權的服務（Service1）。

6) 單擊“定義這個策略設定”複選框，將其選中。

7) 單擊“編輯安全設定”。

8) 對所需的使用者帳戶和組授予適當的許可權，並且可以在“高階”中細分相關許可權，然後單擊“確定”。

9) 在“選擇服務啟動模式”中選擇“自動”，單擊“確定”。

10) 將新建的組策略連結到相關的OU中。

此方法適合對單臺的伺服器或工作組下的伺服器授權，並且在Windows 2008或R2中使用。若要使用安全模板來更改系統服務的許可權，建立安全模板，操作步驟如下：

1) 單擊“開始”、 單擊“執行”，在“開啟”框中鍵入mmc，然後單擊“確定”。

2) 在“檔案”選單上單擊“新增/刪除管理單元”。

3) 單擊“新增”、 單擊“安全配置和分析”、 單擊“新增”，單擊“關閉”，然後單擊“確定”。

4) 在控制檯樹中右鍵單擊“安全配置和分析”，然後單擊“開啟資料庫”。

5) 指定名稱和為該的資料庫的位置（直接命名即可），然後單擊“開啟”。

6) 在“匯入模板”對話框出現，單擊要匯入的安全模板（該模板一樣通過“新增/刪除管理單元”中新增），然後單擊“開啟”。

7) 在控制檯樹中右鍵單擊“安全配置和分析”，然後單擊“立即分析計算機”。

8) 在“執行分析”對話框出現，接受顯示在“錯誤日誌檔案路徑”框中的日誌檔案的預設路徑或指定所需的位置，然後單擊“確定”。

9) 分析完成後請按以下方法配置服務許可權：

a) 在控制檯樹中單擊“系統服務”。

b) 在右窗格中雙擊服務想要更改其許可權。

c) 單擊以選中“在資料庫中定義這個策略”複選框，然後單擊“編輯安全”。

d) 若要配置新的使用者或組的許可權，單擊“新增”。在“選擇使用者、計算機，或組”對話方塊中鍵入的使用者或組為其設定許可權，所需的名稱，然後單擊“確定”。

e) 在“User or Group 的許可權”列表中配置為使用者或組所需的許可權。

f) 單擊“確定”兩次。

10) 要將新的安全設定應用到本地計算機中，用右鍵單擊“安全配置和分析”，然後單擊“立即配置計算機”。

從下載並安裝Subinacl，預設安裝路徑為：C:\Program Files\Windows Resource Kits\Tools，Subinacl下載地址為：

http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=23510

Subinacl的命令語法為：

SUBINACL /SERVICE \\MachineName\ServiceName

/GRANT=[DomainName\]UserName[=Access]

• 執行此命令，使用者必須具有管理員許可權才能成功完成。
• 如果省略 MachineName，則假定為本地計算機。
• 如果省略 DomainName，在本地計算機帳戶的搜尋。
• 可以對組進行授權。
• Access 可以接受的值如下所示：

F : Full Control

R : Generic Read

W : Generic Write

X : Generic eXecute

L : Read controL

Q : Query Service Configuration

S : Query Service Status

E : Enumerate Dependent Services

C : Service Change Configuration

T : Start Service

O : Stop Service

P : Pause/Continue Service

I : Interrogate Service

U : Service User-Defined Control Commands

如本文中提到的客戶需求（重啟服務）就可以通過以下命令完成。

cd “C:\Program Files\Windows Resource Kits\Tools”

SUBINACL /SERVICE \\MachineName\Service1 /GRANT=contoso\User1=TO