Zum Inhalt wechseln


Foto

Usern das starten/stoppen eines Dienstes erlauben


  • Bitte melde dich an um zu Antworten
71 Antworten in diesem Thema

#1 ShadowByte

ShadowByte

    Member

  • 196 Beiträge

 

Geschrieben 29. März 2006 - 09:24

Hoi @ all :)

Wir haben ein Programm (MIS - Management Information Service) auf einem Server laufen. Nun gibt es drei Mitarbeiter der Controllingabteilung die, zu Backup- und/oder Aktualisierungsvorgängen, den entsprechenden Dienst (und natürlich ausschließlich diesen) auf dem Server selbst starten und stoppen in der Lage sein sollen. Mein Gedankengang wäre eine batch-Lösung (tüftel tüftel).

Würde mich freuen, wenn mir jemand mit einer einfacheren Möglichkeit den Horizont erweitert :)

DC = w2k
Server = w2k3
Clients = w2k pro

Vielen Dank und Grüße,

ShadowByte.
Erfahrung erhält man leider oft erst dann, nachdem man sie benötigt hätte.

#2 lefg

lefg

    Expert Member

  • 20.474 Beiträge

 

Geschrieben 29. März 2006 - 09:27

Hallo,

das Kommandozeilenprogramm zum Stoppen und Starten von Diensten ist die sc.exe.

Viel Erfolg

Edgar

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#3 grizzly999

grizzly999

    Board Veteran

  • 17.691 Beiträge

 

Geschrieben 29. März 2006 - 09:35

Die Berechtigung zum Starten oder Stoppen eines Dienstes kann man damit aber nicht erteilen. Das geht entweder über Gruppenrichtlinien oder mit dem Tool subinacl.exe aus dem ResourceKit

grizzly999
MVP [Windows Server - Directory Services]
www.ServerHowTo.de -Das MCSEboard.de HowTo Projekt ist online!

#4 ShadowByte

ShadowByte

    Member

  • 196 Beiträge

 

Geschrieben 29. März 2006 - 09:49

Hoi Edgar, Hoi Grizzly !

Danke für eure schnellen Antworten. Ich werde mir das gleich mal anschauen.
Allerdings sehe ich gerade keinen Ansatzpunkt für eine Lösung per GP. Wie kann ich per GP das starten/stoppen eines einzelnen Dienstes für bestimmte user festlegen ... wenn du da bitte noch einmal Zeit für ein Statement hättest ... sehr dankbar wäre, der junge Padawan :)

Gruß, ShadowByte.
Erfahrung erhält man leider oft erst dann, nachdem man sie benötigt hätte.

#5 grizzly999

grizzly999

    Board Veteran

  • 17.691 Beiträge

 

Geschrieben 29. März 2006 - 09:54

Auf dem Dc in der GPO (für den entsprechenden Computer) unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Systemdienste -> Dienst auswählen und Eintragen, wer die Start-/Beendeberechtiung hat.


grizzly999
MVP [Windows Server - Directory Services]
www.ServerHowTo.de -Das MCSEboard.de HowTo Projekt ist online!

#6 lefg

lefg

    Expert Member

  • 20.474 Beiträge

 

Geschrieben 29. März 2006 - 09:55

Ich habe nun keinen 2kDC mehr zur Verfügung.

Bei 2k3, in einer Gruppenrichtlinie, Computerkonfiguration, Windows-Einstellungen, Sicherheitseinstellungen, Systemdienste

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#7 lefg

lefg

    Expert Member

  • 20.474 Beiträge

 

Geschrieben 29. März 2006 - 10:03

Zu sc.exe gibt es die commands sdshow und sdset, siehe sc /?.

Mit der sc.exe lassen sich ja auch Dienste einrichten, dazu Berechtigungen vergeben.

Mit der GrpRili ist das aber schöner, einfacher. Es es darauf zu achten, worauf wirkt die Gruppenrichtlinie!

Off-Topic:
Die Glocken läuten, ich gehe zu Tisch

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#8 ShadowByte

ShadowByte

    Member

  • 196 Beiträge

 

Geschrieben 29. März 2006 - 10:09

Sorry, ich habe einen wichtigen Punkt unterschlagen :rolleyes: ... die user sollen in Lage sein diesen Dienst von ihrem Arbeitsplatz aus zu starten/stoppen. Kann man das ohne Externa realisieren ? GPO ... Systemdienste ... natürlich (sich an die Stirn klatscht). Allerdings wird der Dienst auf einem anderen Server (kein DC) ausgeführt .... hmm, was tun ?

Gruß, ShadowByte.
Erfahrung erhält man leider oft erst dann, nachdem man sie benötigt hätte.

#9 Sternenkind

Sternenkind

    Board Veteran

  • 509 Beiträge

 

Geschrieben 29. März 2006 - 12:14

Das geht mit GPO? :shock:

Das hilft mir gerade bei einem aktuellen Problem, sag ich auch mal danke!

SABBEL NIT, DAT GEIT!!! *rel* *enterhämmer* :D
MCP 70-270, 70-290, 70-291


#10 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 29. März 2006 - 19:18

Mit diesem Tool funktioniert es
http://www.joeware.n...ols/svcutil.htm
mit SC.EXE habe ich es noch nicht hinbekommen, als normaler User (von seiner Workstation aus) auf einem Remoteserver einen Dienst zu beenden, nachdem dieser Dienst via GPO entsprechend konfiguriert wurde ...
Ich bin S-1-5-XXX-500, ich darf das ...

#11 ShadowByte

ShadowByte

    Member

  • 196 Beiträge

 

Geschrieben 03. April 2006 - 08:26

Hoi @ all und einen ruhigen Wochenbeginn :)

Danke für eure Beiträge, ich werde das mal durchprobieren.
Meine Erfahrungen mit sc.exe : Ich habe es geschafft einen Dienst (über die commandshell) remote zu starten/stoppen. Dieser Befehl wird dann noch "User-freundlich" in eine .bat gepackt und auf den Desktop verknüpft. Allerdings hat dies nach Ausführung so sehr lange gedauert, daß ich schon befürchtete, daß sich der Dienst aufgehangen hatte. Werde der Sache nochmal auf den Grund gehen.

Nochmal Danke an alle :)

Gruß, ShadowByte.
Erfahrung erhält man leider oft erst dann, nachdem man sie benötigt hätte.

#12 lefg

lefg

    Expert Member

  • 20.474 Beiträge

 

Geschrieben 03. April 2006 - 10:36

Allerdings hat dies nach Ausführung so sehr lange gedauert, daß ich schon befürchtete, daß sich der Dienst aufgehangen hatte. Werde der Sache nochmal auf den Grund gehen.

Bei mir geht das blitzschnell.

Wie ist denn mit der Namensauflöung, funktioniert die richtig? Gibt es da noch andere Symphome, wie lange Anmeldezeit, ewiges Laden der Servergespeicherten Benutzerprofile?

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#13 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 03. April 2006 - 11:31

Auch als normaler Domänenbenutzer ? :confused:
Ich bin S-1-5-XXX-500, ich darf das ...

#14 ShadowByte

ShadowByte

    Member

  • 196 Beiträge

 

Geschrieben 19. April 2006 - 15:50

Hoi nochmal :)

Ein wenig spät ... :o ... aber besser als nie :) :

Der Vollständikeit halber nochmal kurz die Lösung dokumentiert :

step 1 :
Wie Grizzly999 (danke dafür) weiter oben bereits beschrieben hat :

Auf dem Dc in der GPO (für den entsprechenden Computer) unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Systemdienste -> Dienst auswählen und Eintragen, wer die Start-/Beendeberechtiung hat.


... diese GPO (zB. mit mmc-SnapIn ADS) natürlich LOKAL auf dem Rechner, auf dem der Dienst läuft, konfigurieren. In meinem Falle bezieht sich die Berechtigung auf eine Gruppe.

step 2 : zur Aktualisierung der GPO "gpupdate" ausführen (bei W2k ist das "secedit /refreshpolicy machine_policy")

step 3 : Kontrolle der GPO-Umsetzung mit "gpresult" (ein vergleichbarer Befehl für w2k ist mir leider unbekannt, vielleicht kann den einer der Veteranen noch einmal nachposten ;) )

step 4 : den korrekten Namen des Services ermitteln mit "sc \\[server] query (für eine übersichtliche step-by-step Auflistung noch ein "| more" dahinter setzten). WICHTIG : relevant ist hier der "service_name" und NICHT der display_name !

step 5 : Anlegen einer "user-freundlichen" .bat-Datei :

.bat 1 :
sc \\[server] start [Dienst]
pause
.bat 2 :
sc \\[server] stop [Dienst]
pause
BEISPIEL : sc \\srv02 start AleaService

step 6 : optional noch ein .bat zur Überprüfung des aktuellen Dienststatuses :

.bat 3 :
sc \\[server] query [Dienst]
pause
step 7 : die erstellten .bat Dateien entsprechend benennen und den entsprechenden usern zur Verfügung stellen (Desktop bietet sich an ;) )

Ich danke nochmals allen, die mir hier mit ihrem Wissen Beistand geleistet haben ! :)

Gruß, ShadowByte.
Erfahrung erhält man leider oft erst dann, nachdem man sie benötigt hätte.

#15 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 19. April 2006 - 16:12

Hm, mit einem 2003 DC und XP-CLients kann ich mit SC noch nicht mal den Spoolerdienst remote neu starten (wenn der User auf der XP-Maschine nur Domänenbenutzer ist) ...
Ich probiere noch einmal, ob es mit einem 2003 Member möglich ist bzw. wenn der Client ein 2000er ist ...
Ich bin S-1-5-XXX-500, ich darf das ...