Zum Inhalt wechseln


Foto

Server 2016 Domain Controller (DC): Dienst als Domain User


  • Bitte melde dich an um zu Antworten
Eine Antwort in diesem Thema

#1 andrew

andrew

    Member

  • 323 Beiträge

 

Geschrieben 19. Oktober 2017 - 12:31

Hi all

 

Ich habe in meiner Testumgebung auf einem Server 2016 (DC) vom Software Hersteller Sophos die STAS Software installiert. Der eine oder andere hier kennt vielleicht diese Lösung.

Für die Installation hatte ich einen Benutzer im AD erstellt, diesen STAS genannt und zur AD Gruppe Administratoren hinzugefügt. Soweit hat alles auch funktioniert. Die Installation als Administrator hatte aber auch zur Folge, dass ein Dienst mit dem Namen STAS installiert wurde, welcher wiederum dann mit Administratoren Rechten lief.

 

Ich wollte aber prüfen, ob ich auch einen 0815 Domain User diesem STAS Dienst hinterlegen kann. Der Benutzer braucht nur das Recht, den Dienst starten oder stoppen zu dürfen. Nun, genau da habe ich ein Problem. Bringe den Dienst so nicht zum Laufen (Access Denied).

 

Wie habe ich versucht, den Dienst zum Laufen zu bringen (mit Domain User Rechten)?

 

Versuch 01

1. gpedit gestartet (lokale GPOs auf DC)

2. Computerkonfiguration/ Richtlinien/ Windows Einstellungen/ Sicherheitseinstellungen/ Lokale Richtlinien/ Zuweisen von Benutzerrechten/ Anmelden als Dienst und hier den STAS Benutzer hinterlegt

 

Mit diesem Versuch war ich nicht in der Lage, den Dienst zu starten (Access Denied)

 

 

Versuch 02

1. Computerkonfiguration/ Richtlinien/ Windows Einstellungen/ Sicherheitseinstellungen/ Systemdienste/ hier den entsprechenden Dienst gesucht, Richtlinie gesucht, auf automatisch gestellt, Knopf Sicherheit bearbeiten angeklickt und hier den User STAS hinzugefügt, den Punkt Starten, anhalten und unterbrechen aktiviert.

2. Computerkonfiguration/ Richtlinien/ Windows Einstellungen/ Sicherheitseinstellungen/ Lokale Richtlinien/ Zuweisen von Benutzerrechten/ Anmelden als Dienst und hier den STAS Benutzer hinterlegt.

 

Mit diesem Versuch war ebenfalls nicht in der Lage, den Dienst zu starten (Access Denied) bzw. auch ein Serverneustart hat dann den Dienst nicht automatisch gestartet.

 

 

Versuch 03

Die Sache via managed service account zu lösen wäre interessant (dieser Ansatz von Microsoft, nicht Domain User bei einem Dienst hinterlegen zu wollen, sondern einen managed service account) finde ich spannend, jedoch wenn ich Dokus darüber lese, wie ein solcher Account eingerichtet werden soll, damit ich mein Szenario erfüllen kann, empfinde ich als ziemlich komplex oder lese ich die falschen Lektüren? Habe darum die diesen Versuch bis jetzt gemieden.



#2 Tektronix

Tektronix

    Newbie

  • 39 Beiträge

 

Geschrieben 23. Oktober 2017 - 12:08

Hallo,

schau mal hier: http://www.cjwdev.co...SAGUI/Info.html