m43stro
-
Gesamte Inhalte
289 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von m43stro
-
-
dazu muss ich noch sagen, dass der User schon in einer Domäne existiert, nur der Server eben nicht. Daher ist die Lösung mit dem gleich Passwort auf beiden Systemen nicht willkommen. Je nach Richtlinie müsste das Passwort auf dem Server angepasst werden.
Geht es den nicht mit einem anderen User?
Was heißt LSX? Lesen Schreiben X??
Ich dachte da, dass ich eine cmd mit runas user:server\benutzer cmd.exe starte und dann eben mit copy \\server\freigabe$ die Datei kopiere.
-
Hallo Leute,
der Benutzer soll via Kommandozeile Dateien in ein Ordner auf dem Windows 2003 Server kopieren können, diese jedoch nicht löschen dürfen.
Es besteht keine Domäne, also muss man mit Freigabe-Berechtigungen auskommen.
Doch diese sind sehr beschränkt.
Die NTFS-Berechtigungen sind ja nur dann interessant, wenn er sich lokal anmeldet.
Das ist aber nicht vorgesehen.
Wie kann ich dem User verweigern die Datei nach dem er sie kopiert hatte zu löschen?
-
ITHome ich danke Dir sehr und wünsche frohe Weihnachten. :)
Habe nun von vorne erneut probiert und es hat geklappt.
1. Dem Benutzer Leserechte auf den Dienst gegeben
2. Eine neue DB angelegt.
3. Neues Template, also die *.ini zugeordnet.
4. Angewendet
Und schon hat es funktioniert, egal ob man als Admin lokal angemeldet ist oder nicht.
edit:
mit SC wird dem Benutzer übrigens der Zugriff weiterhin verweigert :(
Schade, ich hätte gerne auf das Tool verzichtet.
-
Starten, anhalten und unterbrechen reicht nicht, er muss auch "Lesen" können (habe ich weiter oben auch schon geschrieben) ... Also in der Sicherheitsvorlage auch "Lesen" anhaken und erneut anwenden ...
ich hatte ja auch bereits erwähnt, dass ich ihm Vollzugriff erteilt hatte, wie dem Admin und es dennoch nicht klappte.
Werde aber nochmal den Versuch Schritt für Schritt machen.
Wird eigentlich bei jeder Neukonfiguration die kompletten Sicherheitsrichtlinien überschrieben und somit neugesetzt?
-
Zusammenfassung:
Startmodus des Dienstes ist Automatisch.
Testuser kann Starten anhalten und unterbrechen.
Nach dem das Template fertig ist, speichere ich es.
Nun öffne ich eine Datenbank und lege somit eine neue an.
Anschließend importiere ich das Template.
Nach dem Import klicke ich auf Computer jetzt Konfigurieren.
Nun sollte doch alles klappen? Habe ich ein Schritt vergessen?
Habe auch schon versucht das Template zu erweitern und z.B.
Lokal anmelden zulassen +
Auf diesen Computer vom Netzwerk aus zugreifen
für den User zu aktivieren.
Aber die letzte Policy z.B. ist defaultmäßig für Benutzer ehh aktiviert.
Daher bringen die beiden wohl keine Punkte.
Werde versuchen mal in der VM den Server neuzuinstallieren.
Vielleicht auch erstmal aus der Domäne nehmen.
Hatte mich zu Testzwecken mit lokalen Administrator angemeldet.
Probiere auch mal abgemeldet darauf zuzugreifen.
Stelle gerade fest, dass der Admin immer eingelogt war wo ich es probiert hatte.
Falls Du weitere Vorschläge hast, dann immer her damit.
Danke vorab für die Mühe!
-
Habe heute den ganzen Vormittag mit dem Problem verbracht, doch ich komme einfach nicht weiter. Habe bereits versucht die Vorlage so anzupassen, das der User vom Netzwerk zugreifen darf, aber kein Erfolg.
Merkwürdigerweise kann ich mit runas jeden Beliebigen nicht existierenden Usernamen angeben. Auch ohne Password und dennoch öffnet sich die cmd im Kontext des Servers.
Scheinbar wird das Passwort ehh erst beim Zugriff übergeben, den mit Admin klappt es ja hervorragend.
IThome könntest Du vielleicht Deine Log nach dem Anwenden der Vorlage posten.
So langsam habe ich wirklich alles ausprobiert, doch es bleibt beim verweigerten Zugriff.
Wäre für jeden Hinweis dankbar
-
Also in meiner Testumgebung klappt es nicht.
Habe ein XP in einer Domäne und der 2K3 läuft in Virtual PC.
Für die Kommunikation zw. den beiden habe ich eine Virtuelle loopback-Karte eingerichtet.
Egal ob ich mit sc oder svcutil versuche, ich bekomme in beiden Fällen:
C:\TEMP>svcutil.exe 10.1.1.4\spooler stop
SvcUtil V02.04.00cpp Joe Richards (joe@joeware.net) June 2005
OpenService: Zugriff verweigert
Lokal in der VM funktioniert es.
*weiter grübel*
edit: sobald ich den Testuser in die Administratorengruppe stecke, funktioniert es.
Also an irgendeiner Stelle fehlt ihm das Recht von außen, also aus dem Netz auf die Ressourcen zugreifen zu dürfen.
-
ich habe bereits versucht dem User Vollzugriff zu geben.
Habe anschließend gespeichert und die Vorlage erneut durch das Analysetool gejagt.
Jedoch vergeblich. Mit Administrator hat es übrigens geklappt.
Muss ich bei der Aktualisierung etwas besonderes beachten?
-
in eier Domäne scheint es viel einfacher zu sein:
Das habt Ihr ja bereits in dem Beitrag ausgiebig diskutiert.
Habe gerade eine neue Vorlage laut Deinem Hinweis gebastelt.
In der Vorlage habe ich nur bei dem jeweiligen Service Startupmode auf Automatic gestellt und einem TestUser das stoppen, starten und pausieren erlaubt.
Anschließend habe ich das Template gespeichert und mit dem Analysetool eingespielt.
Habe eine cmd als Testuser mit runas geöffnet und getestet und es funktioniert.
Vorher bekam ich eine Fehlermeldung nr. 5 Zugriff Verweigert und nun läuft es.
Danke Dir sehr.
Mein letztes Problem besteht darin, dass ich von einem anderen Rechner keinen Zugriff erhalten. Bis jetzt habe ich das nur lokal auf der Kiste getestet.
Jetzt arbeitet der User ja auf einer XP-Kiste und soll von da aus mit dem svcutil den Dienst stoppen können. Habe schon versucht eine cmd als
>runas /user:10.1.1.4\testuser cmd
zu öffnen doch vergeblich.
Eine Idee womit ich das erledigen kann?
edit: habe gerade mit runas /netonly /user:10.1.1.4\testuser cmd geschafft die cmd zu öffnen.
Komischerweise verbietet er mir den Dienst zu stoppen.
Lokal geht es, remote von einem xp-client via runas nicht ?!?
-
Danke für die beiden Möglichkeiten.
Da ich mit Sicherheitsvorlagen noch nie gearbeitet habe, würde ich gerne die Lösung von Canni zuerst probieren.
Ich gehe davon aus, dass man die Steuerung eines Dienstes via sc config ermöglichen kann oder?
Zumindest ist es der einzige Parameter, der die Konfiguration ändert.
sc config
Modifies a service entry in the registry and Service Database.
SYNTAX:
sc <server> config [service name] <option1> <option2>...
CONFIG OPTIONS:
NOTE: The option name includes the equal sign.
type= <own|share|interact|kernel|filesys|rec|adapt>
start= <boot|system|auto|demand|disabled>
error= <normal|severe|critical|ignore>
binPath= <BinaryPathName>
group= <LoadOrderGroup>
tag= <yes|no>
depend= <Dependencies(separated by / (forward slash))>
obj= <AccountName|ObjectName>
DisplayName= <display name>
password= <password>
Wie lääst sich damit ein Benutzer auf den Dienst berechtigen?
Es ist nicht wirklich ersichtlich.
-
Via GPO, wie in #2 beschrieben ...
Also Systemdienste kann ich nicht auffinden.
Was ich finde ist:
Local Computer Policy
-Computer Configuration
--Windows Settings
---Security Settings
----Account Policies
----Local Policies
----Public key Policies
----Software Restriction Policies
----IP Security Policies on local Computer
Services fehlen da irgendwo.
Schaue ich an der falschen Stelle?
Hinweise
• Diese Einstellung wird im lokalen Computerrichtlinienobjekt nicht angezeigt.
Scheint eine Funktion in der Domain zu sein.
Ich benötige jedoch eine lokale Lösung.
Daher gilt es leider nicht.
Jemand eine Idee?
-
Nein sorry, der Dienst muss natürlich auf einer anderen Kiste beendet werden.
net stop bietet es ja nicht, Asche über mein Haupt.
Die letzte Frage ist nur, wie setzte ich die Dienstberechtigungen?
Auf ein Laufwerk kann ich ja einen Benutzer berechtigen oder eben Gruppenrichtlinien aber wie berechtige ich ihn lokal auf ein Dienst?
-
Der Grund ist einfach, dass der Admin des Kunden nicht auf die Maschinen von uns komplett zugreifen soll. Wir wollen somit den einschränken. Gründe gibt es immer, die Frage ist nur was man installiert. Der User soll einen Dienst stopen dürfen um user importieren zu können. Anschließend muss der Dienst wieder gestartet werden.
-
Danke für die prompte Antwort.
Mit dem Tool kann ich ja alle Dienste kontrollieren.
Außerdem wird doch das Tool mit dem Recht des Users ausgeführt.
So wie ich verstanden habe, fragt das Tool bei bestimmten Diensten die Berechtigung ab.
Somit das Dienstkonto oder?
Mich würde interessieren ob ich dem User in einer Domain das Recht geben darf ein Dienst auf einem 2k3 Server stoppen zu dürfen.
Ich würde da gerne auf das Tool verzichten.
Schließlich kann man auch mit net stop den Dienst stoppen.
Das Tool erleichtert es nur oder übersehe ich da etwas?
-
Hallo Leute,
besteht die Möglichkeit einen normalen User das Recht zu geben einen Dienst starten und stoppen zu können?
Er soll z. B. nur DHCP via cli starten und stoppen können, sonst nichts anderes, damit er kein Unfug veranstalten kann.
Danke
-
Lösung: BdeHdCfg.exe -target [bootloaderlaufwerk]: merge -quiet -restart
muss in die Antwortdatei im specialize bzw. im oobesystem Bereich integriert werden.
Muss man auprobieren wo. Läuft ohne Probleme.
-
Hallo Leute,
bei der Konfiguration von Bitlocker wird eine zweite Partition benötigt, wo der Bootloader unverschlüsselt liegen kann.
Normalerweise installiert Vista den Bootloader auf die selbe Partition.
Um Bitlocker später zu aktivieren bedarf es eines tools, welches eine neue Partition anlegt und den Bootloader verschiebt. BdeHdCfg
Allerdings wollen wir als Administratoren es irgendwie automatisieren und suchen nach Alternativen.
Nun will ich bereits während der Installation von Vista den Bootloader auf eine separate Partition schreiben.
Ich installiere Vista mit Hilfe von Antwortdateien. Egal ob via USB-Stick oder WDS.
Hat jemand eine Idee, wie man das anstellen kann?
Grüße
m43stro
-
also um Kopierschutz Geschichten gehts immer nicht.
Ich will einfach eine normale CD, die ich vom Kumpel oder selber erstellt habe oder DVD eben kopieren können.
Oder eben einfach Dateien brennen.
Bei Nero war es angenehmen.
Rechts die Dateien, die man nach links zieht.
Ebenso die mp3, die man einwandfrei zu einer Musikcd brennen konnte.
Kann es Alkohol120 auch?
-
also ich sehe hier 2 Angebote:
Alkohol 120% (warum eigentlich 120? ;) )
Und DeepBurner
Können beide Programme:
DVD/CD kopieren
CD-Musik brennen
ISO/IMG und evtl. andere Formate brennen
?
zum mounten der Images habe ich sonst immer Daemontools verwendet
Grüße
-
Hallo Leute,
mit Nero war ich in letzter Zeit sehr enttäuscht.
Das Programm brennt zwar gut und ist sehr benutzerfreundlich, allerdings installiert es viel zu viel Schnickschnack was keiner benötigt.
Kann mir einer von Euch eine gute oder gar bessere Alternative empfehlen?
Mir ist wichtig, dass das Programm sehr gut mit DVD umgehen kann.
DVD CD kopieren kann und alles mögliche an Image-Formaten möglich verstehen sollte.
Vielen Dank
-
Hallo Leute,
ich beschäftige mich gegenwärtig mit unbeaufsichtigten Installation von Vista mit Hilfe von WDS. Mir ist es bereits gelungen eine unbeaufischtigte Installation von Vista zu realisieren. Auch die Formatierung und anlegen der Partition erfolgt komplett automatisch.
Ich würde jedoch gerne auf einer dritten Partition die Installation durchführen.
Quasi neben der ersten Partition wo XP installiert ist. Das soll unbeaufsichtigt geschehen.
Warum auf dritten? Weil die zweite eine Art Datenpartition ist.
Es werden bei der XP Installation 3 angelegt und die dritte stellt genügend Platz zur Verfügung.
Jemand eine Idee?
Mein Diskconfigurationpart in der Antwortdatei sieht so aus, aber es klappt nicht:
<DiskConfiguration> <Disk wcm:action="add"> <ModifyPartitions> <ModifyPartition wcm:action="add"> <Active>true</Active> <Extend>false</Extend> <Format>NTFS</Format> <Label>XP</Label> <Letter>C</Letter> <PartitionID>1</PartitionID> <Order>1</Order> </ModifyPartition> <ModifyPartition wcm:action="add"> <Active>false</Active> <Extend>false</Extend> <Format>NTFS</Format> <Label>Daten</Label> <Letter>C</Letter> <Order>2</Order> <PartitionID>2</PartitionID> </ModifyPartition> <ModifyPartition wcm:action="add"> <Active>true</Active> <Extend>false</Extend> <Format>NTFS</Format> <Label>XP</Label> <Letter>D</Letter> <PartitionID>3</PartitionID> <Order>3</Order> </ModifyPartition> </ModifyPartitions> <DiskID>0</DiskID> <WillWipeDisk>false</WillWipeDisk> <CreatePartitions> <CreatePartition wcm:action="add"> <Order>1</Order> <Type>Primary</Type> </CreatePartition> <CreatePartition wcm:action="modify"> <Order>2</Order> <Type>Primary</Type> </CreatePartition> <CreatePartition wcm:action="modify"> <Order>3</Order> <Type>Primary</Type> </CreatePartition> </CreatePartitions> </Disk> <WillShowUI>OnError</WillShowUI> </DiskConfiguration>Grüße
m43stro
-
Exchangeserver kostet Geld ;)
Outlook wird genutzt, da auch Termine etc. geplant und synchronisiert werden etc...
-
Nun es bietet sich nur IMAP an und es soll dabei bleiben.
Quasi außen im Netz ist die DB und der Mailserver und local arbeite ich mit Outlook.
-
Hallo Leute,
ich arbeite mit Outlook und verbinde mich zu einem IMAP-Konto.
Alternativ kann ich die Emails online verschicken, wo sich ein Adressbuch, basierend auf einer mySQL Datenbank befindet.
Diese Adressen würde ich gerne mit Outlook synchronisieren.
Besteht hierfür eine Möglichkeit?
Gibt es evtl. dafür schon Shellscripte?
Grüße
Userimport zu Cisco Secure ACS
in Windows Server Forum
Geschrieben
Hallo Leute,
Cisco oder Win2003? Wo passt das Thema besser rein?
Ich denke eigentlich in beide Threads.
Problembeschreibung:
Kunde soll sich als Benutzer ohne Adminrechte auf dem Server anmelden können und ein Import durchführen.
ACS ist ein Access Controll Dienst von Cisco.
Der Import erfolgt durch ein CMD-Tool, welches unter Programm Files mit installiert wird.
CSutil.exe -i testimport.txt z.B.
Also Administrator klappt der Import, als User bekommt man eine Fehlermeldung
"Can not initialize ShemeLayer"
Leider nicht vielsagend.
Der Benutzer hat bereits die komplette Kontrolle über die knapp 7 Dienst von ACS.
Weiterhin hat der Vollzugriff auf den Installationsordner von ACS.
Wenn ich den Benutzer in die Administratorengruppe stecke, dann funktioniert es.
Das will ich möglichst vermeiden, damit der User nur die ACS-Applikation anfassen darf.
Weiterhin könnte in der Import-Datei die Angabe online oder offline von Bedeutung sein.
Bei offline, würde das Tool den Dienst CSAuth stoppen.
Nun wer hat ein Paar Tipps?
weihnachtlichen Grüße!