Zum Inhalt wechseln


Foto

Usern das starten/stoppen eines Dienstes erlauben


  • Bitte melde dich an um zu Antworten
71 Antworten in diesem Thema

#61 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 01. Juni 2006 - 06:41

Vielleicht solltest Du mal vom Memberserver aus die Richtlinie konfigurieren und dann die Berechtigungen für den Dienst auf "Starten, Anhalten und Unterbrechen" und auf "Lesen" stellen (sollte vom 2000er aus eigentlich genauso laufen) Setze zum Test keine speziellen Berechtigungen, sondern benutze die Default-Berechtigungen.
Wenn Du das machst, musst Du auf dem 2000 DC noch einen Patch installieren ...
http://www.microsoft...E6-E34EA2C74FAF
Übrigens brauchst Du das GPO nicht nach der Gruppe Controlling filtern, da sich in der OU des Servers keine Benutzerkonten befinden und ausserdem im GPO nur Computerkonfigurationen durchgeführt wurden. Benutze die "Authentifizierten Benutzer" oder besser noch, lasse den Standard ...
Ich bin S-1-5-XXX-500, ich darf das ...

#62 ShadowByte

ShadowByte

    Member

  • 196 Beiträge

 

Geschrieben 01. Juni 2006 - 08:37

Die GPO wurde auf dem memberserver konfiguriert und mit besagten Rechten für die Gruppe Controlling versehen. Anders habe ich ja auch keine Möglichkeit, an den Dienst des memberservers heranzukommen.

Übrigens brauchst Du das GPO nicht nach der Gruppe Controlling filtern, da sich in der OU des Servers keine Benutzerkonten befinden und ausserdem im GPO nur Computerkonfigurationen durchgeführt wurden.

Ok, daß ist erkannt. War eigentlich schon klar, jedoch beginnt man irgentwann "herumzuspinnen" wenn etwas nicht funktioniert :)

Die Fehlermeldung, die den erwähnten patch notwendig macht, erscheint in diesem Zusammenhang nicht. Soll ich den trotzdem installieren ?

Die Berechtigungen für diesen Dienst über die GPO lauten nun :

Startmodus = manuell
Admins = voll
Controlling = voll
Interaktiv = lesen
SYSTEM = voll
Filter = Authentifizierte Benutzer (default)

Die Berechtigungen des Ordners, in dem sich SC.exe + die .bat auf den desktops der Benutzer befinden = Controlling = voll

Alle Mitglieder der Abteilung Controlling gehören auch der Gruppe Controlling an.
Die GPO wird laut gpresult auf den memberserver angewand und es schauen auch kein Dreizack, Hörner oder Hufe aus dem Servergehäuse !
Es ist doch eigentlich alles richtig konfiguriert..... ich werde noch wahnsinnig mit diesem Thema :)

Gruß
Erfahrung erhält man leider oft erst dann, nachdem man sie benötigt hätte.

#63 ShadowByte

ShadowByte

    Member

  • 196 Beiträge

 

Geschrieben 01. Juni 2006 - 08:42

Ich meine, falls mit SC die Gruppe in der ACL des Dienstes nicht gelistet wird, dann steht sie auch nicht drin und die GPO ist wirksam.

Ich kann aus den kryptischen Abfolgen von Zahlen und Buchstaben leider keine Zugehörigkeit erkennen. Kannst Du vielleicht nochmal erläutern, wie ich mir eine ACL eines Objektes ansehen kann, um diese dann mit den ACL des Dienstes zu vergleichen ? Habe ich noch nicht gemacht soetwas ... /blush.

Gruß.
Erfahrung erhält man leider oft erst dann, nachdem man sie benötigt hätte.

#64 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 01. Juni 2006 - 08:48

Was heisst "Filter = Authentifizierte Benutzer" ? Reden wir jetzt aneinander vorbei ?
Ich bin S-1-5-XXX-500, ich darf das ...

#65 ShadowByte

ShadowByte

    Member

  • 196 Beiträge

 

Geschrieben 01. Juni 2006 - 08:56

Nein, wars***einlich habe ich mich nur mißverständlich ausgedrückt. Ich meine den Sicherheitsfilter den man bei einem GPO noch setzen kann um eben dieses auf nur bestimmte Objekte innerhalb einer OU anzuwenden. Dieser Sicherheitsfilter behinhaltet bei der Erstellung eines GPO als default "Authentifizierte Benutzer".
Erfahrung erhält man leider oft erst dann, nachdem man sie benötigt hätte.

#66 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 01. Juni 2006 - 09:07

Und was hast Du in der GPO in den Dienstberechtigungen für die entsprechende Gruppe eingestellt ? Hast Du es auch mal mit SVCUTIL probiert anstelle von SC.EXE ?
Ich bin S-1-5-XXX-500, ich darf das ...

#67 lefg

lefg

    Expert Member

  • 20.481 Beiträge

 

Geschrieben 01. Juni 2006 - 09:18

Ich kann aus den kryptischen Abfolgen von Zahlen und Buchstaben leider keine Zugehörigkeit erkennen. Kannst Du vielleicht nochmal erläutern, wie ich mir eine ACL eines Objektes ansehen kann, um diese dann mit den ACL des Dienstes zu vergleichen ? Habe ich noch nicht gemacht soetwas ... /blush.

Gruß.

An einem 2k3, regedit, HKEY_Local_machine, system, controlsetxxx, currentcontrolset.

Suche da mal den Service raus, schaue die Eigenschaften an!

Etwas Bessers habe ich im Moment nicht.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#68 ShadowByte

ShadowByte

    Member

  • 196 Beiträge

 

Geschrieben 01. Juni 2006 - 09:50

Hast Du es auch mal mit SVCUTIL probiert anstelle von SC.EXE ?

SVCUTIL hatte ich noch nicht versucht.

Und was hast Du in der GPO in den Dienstberechtigungen für die entsprechende Gruppe eingestellt ?


Wie ich weiter oben beschrieben habe :

Die Berechtigungen für diesen Dienst über die GPO lauten nun :

Startmodus = manuell
Admins = voll
Controlling = voll
Interaktiv = lesen
SYSTEM = voll
Sicherheitsfilter = Authentifizierte Benutzer (default)


... oder meinst Du etwas anderes ?
Erfahrung erhält man leider oft erst dann, nachdem man sie benötigt hätte.

#69 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 01. Juni 2006 - 10:16

Ich meine unter Computerkonfiguration - Windowseinstellungen - Systemdienste - "Dienstname" - Sicherheit bearbeiten
in dem GPO, ich meine nicht die Sicherheitsfilterung des GPOs ...
Dort die Gruppe zufügen und die Berechtigung "Starten,anhalten und unterbrechen" UND "Lesen" gewähren
Ich bin S-1-5-XXX-500, ich darf das ...

#70 ShadowByte

ShadowByte

    Member

  • 196 Beiträge

 

Geschrieben 01. Juni 2006 - 11:27

Ganz genau. Dann sprechen wir beide doch von der selben Sache. Das habe ich getan, schon von Beginn an und mit der bereits erwähnten Konfiguration für die Gruppe Controlling. :)

edit : Ich habe der Gruppe sogar bereits Vollzugriff eingerichtet ... funktioniert einfach nicht ! GRRR ! :)
Erfahrung erhält man leider oft erst dann, nachdem man sie benötigt hätte.

#71 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 01. Juni 2006 - 11:48

Dann benutze mal SVCUTIL ...
edit: ich hab das jetzt noch mal ausprobiert, von einem Client mit Benutzerrechten auf einem 2003 SP1 (DC) einen Dienst remote mit SC zu stoppen, ich bekomme keine Verweigerung ...
Ich bin S-1-5-XXX-500, ich darf das ...

#72 ShadowByte

ShadowByte

    Member

  • 196 Beiträge

 

Geschrieben 01. Juni 2006 - 12:50

Mit svcutil.exe funktioniert es .... ENDLICH !!! :D
Ich habe langsam wirklich keine Idee mehr, warum es mit sc.exe nicht funktionieren will. Kann es vielleicht doch an unserem mixed-mode liegen ? Interessieren würde es mich schon, woran es letztendlich scheitert.

ABER, ich freue mich darüber, daß es mit svcusti.exe nun endlich funktioniert ... :D ... und ich bin WIRKLICH dankbar für eure sehr geduldige Unterstützung !

Gruß, ShadowByte.
Erfahrung erhält man leider oft erst dann, nachdem man sie benötigt hätte.