JoergL1979 10 Geschrieben 13. Mai 2008 Melden Teilen Geschrieben 13. Mai 2008 Hallo Zusammen, ich habe ein Problem bei der Einrichtung von dedizierten Benutzerrechten und komme hier nicht weiter. google hab ich schon bemüht aber demnach hab ich alles korrekt gemacht. Folgende Aufgabe: Mitglieder einer bestimmten Domaingruppe sollen das recht haben auf einem Server Dienste zu stoppen und zu starten sowie selber Dienste zu installieren. Die Domaingruppe ist Mitglied der lokalen "Power User" Gruppe. Als explizites Recht über die Lokal Security Policy wurde da Recht "log on as service" gegeben sowie Vollzugriff auf den Dateipfad in dem die Datei liegt die den Dienst installiert. Dienste stoppen und starten geht, genauso wie Dienste mit dem eigenen Domainuser als Account betreiben. Nur das installieren von Diensten wird abgelehnt. Als Fehler erscheint nur das der Dienstemanager nicht geöffnet werden kann. Hat jemand ne Idee wie ich das Problem lösen kann? Gruß und Danke jörg Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 13. Mai 2008 Melden Teilen Geschrieben 13. Mai 2008 Meines Wissens dürfen nur Administratoren Dienste installieren und ich kenne auch keinen Weg, es einer weniger privilegierten Gruppe zu erlauben (was natürlich nicht heissen muss, dass es nicht funktioniert) ... Zitieren Link zu diesem Kommentar
JoergL1979 10 Geschrieben 13. Mai 2008 Autor Melden Teilen Geschrieben 13. Mai 2008 Meines Wissens dürfen nur Administratoren Dienste installieren und ich kenne auch keinen Weg, es einer weniger privilegierten Gruppe zu erlauben (was natürlich nicht heissen muss, dass es nicht funktioniert) ... Das ist natürlich wenig erfreulich und vorallem ärgerlich denn dann springt ja wieder jeder als "admin" auf dem Server rum der die Dienste installieren muss... Kennt jemand nen guten Workaround? Zitieren Link zu diesem Kommentar
NorbertFe 1.809 Geschrieben 13. Mai 2008 Melden Teilen Geschrieben 13. Mai 2008 Das ist natürlich wenig erfreulich und vorallem ärgerlich denn dann springt ja wieder jeder als "admin" auf dem Server rum der die Dienste installieren muss... Kennt jemand nen guten Workaround? Nein, denn für die Installation eines Dienstes (wie oft soll das denn passieren?), brauchst du lokale Adminrechte, wie bereits geschrieben. Starten und Stoppen kann man simple delegieren. Bye Norbert Zitieren Link zu diesem Kommentar
JoergL1979 10 Geschrieben 13. Mai 2008 Autor Melden Teilen Geschrieben 13. Mai 2008 Hallo Norbert, das starten/stoppen haben wir "gelöst" indem die entsprechenden Benutzer Hauptbenutzer sind.. das klappt soweit. Das Problem ist, das die (de)installation von Diensten regelmäßig passieren wird. Es handelt sich dabei um Dienste unserer Applikation welche mehrfahr für einzelne Instanzen unserer Applikation installiert sein können. runas ist ja nur bedingt ne Lösung da ich zwar damit ne cmd öffnen kann mit der man dann zwar die Dienste installieren kann aber im grunde auch jede andere operation ausführen kann. Wenn jemand noch nen einfall / Workaround kennt immer her damit. Gruß Jörg Zitieren Link zu diesem Kommentar
Stephan Betken 43 Geschrieben 13. Mai 2008 Melden Teilen Geschrieben 13. Mai 2008 Hallo JoergL1979, die Einstellungen der Dienste ist unter HKLM\System\CurrentControlSet\Services gespeichert. Es sollte also eigentlich ausreichen, für diesen Schlüssel (aber nicht für Unterschlüssel) die Rechte "Unterschlüssel erstellen" und evtl. "Unterschlüssel auflisten" für die entsprechende Gruppe zu vergeben. Über die neu erstellten Schlüssel enthält der erstellende Benutzer (leider nicht die Gruppe, kann ich aber nicht mit einhundertprozentiger Sicherheit sagen) automatisch Vollzugriff. Daher müsste ein eventuelles Löschen durch einen Admin und eben diesen Benutzer erfolgen (es sei denn, man passt die Rechte an). Man sollte aber bedenken, dass dies durchaus ein Sicherheitsproblem werden kann, da auch eventuelle Schadsoftware Dienste installieren kann. Dennoch ohne Gewähr. Off-Topic:Gehört das nicht schon fast in den Bereich "Bastellösungen"? Na ja, wie auch immer. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 14. Mai 2008 Melden Teilen Geschrieben 14. Mai 2008 Hm, hast Du das schon mal probiert ? Ich denke nicht, dass das reicht, aber einen Versuch wäre es wert ... Zitieren Link zu diesem Kommentar
JoergL1979 10 Geschrieben 14. Mai 2008 Autor Melden Teilen Geschrieben 14. Mai 2008 Hi Stephan, Hi ITHome, ich hatte es schon mal ausprobiert, aber leider reicht das auch nicht. Scheint dann wohl wirklich so zu sein das man es nicht deligieren kann. Ärgerlich.... wenn nicht sogar ein Fehler im Designe aber naja... was will man machen. Danke aufjedenfall für eure Ideen. Falls noch jemand ne Idee hat bin ich für alles offen. Gruß Jörg Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.