Anmeldekonto eines Dienstes ändern ?

Hallo alle miteinander.

Ich habe ein VBScript erstellt, was ich auf anderen Domänenrechnern als Dienst laufen lassen soll. Im Moment funktioniert die lokale Erstellung und Ausführung des Scriptes und Dienstes schon. Das liegt aber daran, dass ich Adminrechte auf meiner Kiste habe.

Problem ist, dass man AdminRechte braucht, um das Script ordnungsgemäß auszuführen.

Aus diesem Grund muss ich die Rechte des Dienstes ändern. Leider habe ich keine Ahnung, wie ich das per script anstellen kann. Kann mir jemand helfen, oder hat schon erfahrungen damit ?

Danke und Gruß BerndH

Hi,

In welcher Umgebung ? NT - 2000 oder 2003

Gruß Data

Ups, sorry, hatte das Prefix [NT] vor den Threat gesetzt. Habe deshalb im Beitrag nicht wirklich was dazu geschrieben. Sorry.

Es handelt sich um eine komplette NT umgebung.

Hier vor Ort habe ich kein NT 4.0 Resource Kit, ich weiß aber, dass es im 2000 ResKit das Tool subinacl.exe hat. Falls du das NT 4.0 ResKit hast, schau mal nach diesem Tool

grizzly999

Reicht es Dir auch das Script einfach auszuführen, oder muss es als Dienst laufen ?

Sonst würde ich mal versuchen das Script über die Autoexec.nt starten zu lassen, das geschieht dann im Admin-Kontext. Läuft allerdings dnn noch nicht als Dienst.

Ich kenne aus dem Stehgreif aber auch kein Kommando welches das Anmeldekonto ändert. Wenn Du eines weißt, dann kannst die Zeiel auch in die Autoexec.nt legen.

Gruß Data

Hier vor Ort habe ich kein NT 4.0 Resource Kit, ich weiß aber, dass es im 2000 ResKit das Tool subinacl.exe hat. Falls du das NT 4.0 ResKit hast, schau mal nach diesem Tool

 

grizzly999

Die subinacl.exe ist nicht im NT 4.0 Resource Kit enthalten. Das dingen müsste dann doch auch bestimmt auf allen Clients installiert werden, oder ? Ich habe sie mir so mal gezogen, aber sie läuft auf NT nicht ;( Auf der MS Page steht auch, dass sie ab 2000 erst rennt ;(

Vielleicht noch eine andere Idee ?

Reicht es Dir auch das Script einfach auszuführen, oder muss es als Dienst laufen ?

 

Sonst würde ich mal versuchen das Script über die Autoexec.nt starten zu lassen, das geschieht dann im Admin-Kontext. Läuft allerdings dnn noch nicht als Dienst.

 

Ich kenne aus dem Stehgreif aber auch kein Kommando welches das Anmeldekonto ändert. Wenn Du eines weißt, dann kannst die Zeiel auch in die Autoexec.nt legen.

 

Gruß Data

Also das Script soll bei jedem Neustart ausgeführt werden. Würde es denn der Fall sein, wenn es in der Autoexec.nt steht ? Habe damit noch nicht gearbeitet..

Glaube aber, dass ich die Autoexec.nt bestimmt unangetastet lassen sollte. Naja, müsste dann bei 1100 Clients auch die autoexec.nt ändern.

Gibt es keine andere Möglichkeit, oder hat jemand Ahnung, wie ich einem Dienst ein anderes Konto verpasse ?

Danke schonmal für eure Hilfe.

Gruß BerndH

@grizzly999

Ne, gibt es leider nicht, aber man könnte doch mal probieren, dass auf NT anzuwenden.

Gruß Dat

Es gibt es im Supplement 4

sonst gibt zum erstellen eine Dienstes auch noch sc.exe

http://support.microsoft.com/default.aspx?scid=kb;de;251192

thorgood

Hi!

Im NT-Reskit ist SrvAny.EXE. Dazu gibt es eine ausführliche SrvAny.wri. Was die Berechtigungen anbelangt, könnte der Abschnitt unter "Commants/Limitations" relevant sein, in dem Registryeinträge in HKLM ... RestrictNullSess...[Access u.a.] behandelt werden. Aber ein Dienst sollte doch reichen ... oder sehe ich das falsch? A.a.O. findest Du auch Hinweise, daß es in anderem Kontext und im Netz laufen kann.

Gegrüßt!

Es gibt es im Supplement 4

 

sonst gibt zum erstellen eine Dienstes auch noch sc.exe

http://support.microsoft.com/default.aspx?scid=kb;de;251192

 

thorgood

Hallo, danke für den Tip. Leider funzt die SC.exe irgendwie nicht. Bekomme immer die Meldung:

[sC] OpenSCManager failed 5

Ich versuche es mit DomänenAdmin Rechten. Habe keine Ahnung, warum es nicht funktioniert ;( Hat einer eine Ahnung ?

Hi!

Im NT-Reskit ist SrvAny.EXE. Dazu gibt es eine ausführliche SrvAny.wri. Was die Berechtigungen anbelangt, könnte der Abschnitt unter "Commants/Limitations" relevant sein, in dem Registryeinträge in HKLM ... RestrictNullSess...[Access u.a.] behandelt werden. Aber ein Dienst sollte doch reichen ... oder sehe ich das falsch? A.a.O. findest Du auch Hinweise, daß es in anderem Kontext und im Netz laufen kann.

Gegrüßt!

Danke für den Tip. Glaube aber, dass mir das nicht weiter hilft. So wie ich diese Passagen verstanden habe, kann ich damit ja auf einem NT Server für alle LocalSystems Shares freigeben. Und das brauche ich ja nicht. Muss dem Dienst ja "nur" Per Script ein anderes AnmeldeKonto verpassen.

Ich habe mal ein bischen mit meinen Diensten per "Hand rummgespielt" und mir immer die Registry angeguggt. Also, den LoginNamen schreibt er wohl immer in das Attribut 'ObjectName'. Aber was er mit dem Passwort macht, weiss ich leider nicht.

Denke, wenn ich wüsste wo ich das PW hinschreibe, wäre der Drops gelutscht ;)

Oder sehe ich das falsch ? Hat davon einer Ahnung ?

Danke an alle, die sich meines Problemes Annehmen.

Gruß und vorab schon ein schönes Wochenende, BerndH

Hallo berndH,

die SC Version muss zum OS passen. Wenn du schon einen Dienst eingerichtet hast

änderst du den Account mit:

lokal:

sc config dienstname obj= WKSNAME\User password= passwort

remote:

sc \\WKSNAME dienstname obj= WKSNAME\User password= passwort

zu beachten sind die Leerzeichen nach den Gleichheitszeichen.

Wie startest du dein VBScript als Dienst ?

thorgood

Hallo berndH,

die SC Version muss zum OS passen.

Hallo thorgood,

jo, ich glaube es könnte an der Version liegen. Fahren Nt auf Version 4.0 (Build 1381: Service Pack 6).

Jedoch finde ich keine passende Version im Netz und auf unseren CDs hier ;(

Gleiches gilt für die newserv.exe , die in der KnowlegeBase immer benutzt wird. Sie ist bei uns hier nicht vorhanden und ich finde sie im Netz auch nicht ;( Kann sein, dass ich zu **** bin. Kann aber auch sein, dass ich einfach nur Wochenende brauche. Statt der newserv.exe habe ich es immer mit der srvany.exe probiert . Hab ich ******* ebend vergessen zu schreiben. ******** ich*

Wie startest du dein VBScript als Dienst ?

set wshshell    = CreateObject ("WScript.Shell")
'wshshell.run "%comspec% /c INSTSRV TESTSERVICE C:\SRVANY.EXE"
Set WshShell	= WScript.CreateObject("WScript.Shell")
set wshnet	= CreateObject ("WScript.Network")
Set fs 		= CreateObject("Scripting.FileSystemObject")

WshShell.RegWrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TESTSERVICE\", 1, "REG_SZ"
WshShell.RegWrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TESTSERVICE\Parameters\", 1, "REG_SZ"
WshShell.RegWrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TESTSERVICE\Parameters\Application", "Wscript", "REG_SZ"
WshShell.RegWrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TESTSERVICE\Parameters\AppParameters", "C:\test.vbs", "REG_SZ"

So starte ich den Dienst. Aber leider startet er dann nur mit den Rechten von LocalSystem ;(

Danke, dass du versuchst mir zu helfen.

Vora schonmal ein neues Wochenende

So wie ich das hier lese und verfolge, habe ich genau das gleiche Problem wie BerndH.

Habe auch schon alle Tips ausprobiert und komme zu keinem Ergebnis.

Bräuchte vielleicht auch die gleichen Dateien und Versionen der Dateien wie BerndH.

Wäre sehr dankbar.

Gruß Manu-Mausi

Also, habe das Problem nicht mehr. Laut Definition hat LocalSystem doch genug Rechte um meine Wünsche zu erfüllen ;)

"Lokales Systemkonto: Das lokale Systemkonto ist ein leistungsstarkes Konto, das Vollzugriff auf das System hat und im Netzwerk als der Computer handelt. Wenn ein Dienst sich über das lokale Systemkonto an einem Domänencontroller anmeldet, hat er Zugriff auf die gesamte Domäne. Einige Dienste sind in der Standardeinstellung so konfiguriert, dass sie sich am lokalen Systemkonto anmelden. Ändern Sie diese Standardeinstellung nicht. Der Name des lokalen Systemkontos ist LocalSystem. Für dieses Konto ist kein Kennwort gesetzt."

Gruß manu