Jump to content

Sicherstellen das Dienste auf jeden Fall aktiv sind

fly87

Von fly87
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

fly87 Rising Star

fly87   10

Geschrieben
Geschrieben

Hallo zusammen,

 

ich habe über die GPO bezgl. des WSUS einige Dienste so verändert, das kein Benutzer auch nicht die IT Kollegen welche lokale Admins sind an den Diensten spielen kann... Diese beenden kann etc.

 

Allerdings stelle ich hin und wieder fest, das sich manche Dienste einfach beenden...

 

Der BITS z.B. ist eingestellt auf autoamtischen Start.

Berechtigungen auf den Dienst hat nur SYSTEM -> Vollzugriff

Interaktiv -> Lesen und Domänen Admins mit dem Vollzugriff...

 

Und zwischendurch guckt man auf die Systeme und sieht die sind beendet.

Geht man dann hin und versucht die zu starten erscheint genau die Meldung, die erscheinen soll, das man keine Berechtigung hat.

 

Starte ich das System neu läuft der Dienst wieder.

Das beobachte ich hin und wieder auch bei Dienst automatische Updates...

 

Aber wenn der Dienst von selbst beendet, dann nützt mir der WSUS nix...

Kann man das irgendwo vorgeben, das der Dienst auf jeden Fall laufen muss?

Link zu diesem Kommentar
fly87 Rising Star

fly87   10

Geschrieben
  • Autor
Geschrieben

Diensttyp bzw. Start automatisch...

Und von den Berechtigungen her nur System, Interaktiv und Domänen-Admins, wovon Interaktiv aber nur lesend ist...

 

System und Interaktiv habe ich Default gelassen...

Ich habe nur Administratoren also lokale durch Domänen Admins ersetzt...

 

Gut, kann sein das ich mich da auch verguckt habe...

Ich habe jetzt mal gerade spontan 5 Kollegen gefragt und bei denen lief der Dienst... Muss ich noch mal beobachten.

 

Was mir aber aufgefallen ist, trotz alledem, vielleicht kannst du auch was zu sagen... Den BITS kann selbst ein Admin nicht steuern wenn der Auto Update Dienst durch eine GPO geregelt ist...

Da erscheint der Fehler: Der Dienst "Intelligenter Hintergrundübertragungsdienst" wurde mit folgendem dienstspezifischem Fehler beendet: 2147500053

 

Wenn man bei MS liest, findet man folgendes:

 

Event Type: Error

Event Source: Service Control Manager

Event ID: 7024

Date: date

Time: time

Computer: computer_name

Description: The Background Intelligent Transfer Service service terminated with service-specific error 2147500053 (0x80004015).

 

This problem occurs if one of the following conditions is true:

You used a security template before you upgraded the computer to Windows XP SP2 or to Windows Server 2003 SP1.

 

You change the properties of the RPC service to use the Local System account instead of the Network System account.

 

You configure the Automatic Updates service by using Group Policy. This causes security settings to be applied to the Automatic Updates service.

 

Ist das so, weil der Bits zwingend für Autoamtische Updates benötigt wird?

Würde ich mal fast vermuten... Dann brauche ich den ja im Grunde gar nicht erst per GPO zu konfigurieren, wenn der durch die Steuerung Auto Aupdate per GPO der BITS sowieso nicht mehr steuerbar ist...

Link zu diesem Kommentar
fly87 Rising Star

fly87   10

Geschrieben
  • Autor
Geschrieben

Ja ich hab das schon gelesen, danke für den Link...

Tja, dann werde ich mal DIENST entsprechend hinzufügen...

 

Warum diese Änderung? Und warum erfährt der 2003R2 das nicht per Update von MS wie sich das verhält... Ist bekannt wie sich Server 2008 dazu verhält?

 

Das heißt also jeder der schon ein SP3 hat, hat definitv ein Problem?

Weil da steht, es kann zu Problemen kommen...

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   1.835

Geschrieben
Geschrieben
Due bist Dir bewusst, dass man die Rechte von lokalen Admins nicht einschränken kann ?

 

Die können sich die Rechte immer wieder verschaffen. Ich würde da keine Arbeit investieren. Nimm denen die Admin-Rechte wech -> fertig.

 

-Zahni

 

Das ist zwar richtig, aber was man als lokaler admin nicht sieht weckt im Zweifel keine Begehrlichkeiten. ;)

 

Bye

Norbert

Link zu diesem Kommentar
fly87 Rising Star

fly87   10

Geschrieben
  • Autor
Geschrieben

Gibts denn eine Übersicht, welche Dienste von dieser Änderung noch betroffen sind?

 

Und das heißt dann im Umkehrschluss auch, ich kann SYSTEM aus der Berechtigungsliste nehmen und das hat keine Auswirkung?

 

@Zahni

Sicher weiß ich das... Bringt aber doch bei den Diensten nichts.

Und beim Systemstart wird die Richtline wieder drüber gebügelt...

Es geht doch keiner hin und verschwendet erst mal every day 10 Minuten um sich Rechte zu verschaffen um den Dienst zu beenden.

Das machste 3mal und dann haste keinen Bock mehr.

Aber trotzdem Danke für den Hinweis...

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   1.835

Geschrieben
Geschrieben
Gibts denn eine Übersicht, welche Dienste von dieser Änderung noch betroffen sind?

 

Bestimmt, aber ich weiß nicht wo. ;)

 

Und das heißt dann im Umkehrschluss auch, ich kann SYSTEM aus der Berechtigungsliste nehmen und das hat keine Auswirkung?

 

Was spricht gegen einen Test? Bzw. schau dir doch einfach die Default Berechtigungen an. ;)

 

@Zahni

Sicher weiß ich das... Bringt aber doch bei den Diensten nichts.

 

Warum nicht?

 

Und beim Systemstart wird die Richtline wieder drüber gebügelt...

 

Wenn ich Admin bin weiß ich auch wie ich das verhindere.

 

 

Das machste 3mal und dann haste keinen Bock mehr.

 

Oder das System so ausgehebelt, dass du nicht mehr dazwischenfunkst. :p

 

Bye

Norbert

Link zu diesem Kommentar
fly87 Rising Star

fly87   10

Geschrieben
  • Autor
Geschrieben
Oder das System so ausgehebelt, dass du nicht mehr dazwischenfunkst.

 

Dann erhalten die Jungs eben den Befehl die Finger von den Diensten zu lassen mit Zusatz: Wehe wenn ich was merke. :jau:

 

Wenn ich mir in einer VM durch den Richtlinienergebnissatz in einer MMC den Dienst anzeigen lasse, dann sehe ich da nichts von einem Konto Namnes DIENST. :confused:

 

Ich sehe:

 

Administratoren -> Vollzugriff (lokale Admingruppe)

INTERAKTIV -> lesen

SYSTEM -> Vollzugriff

 

Kann ich die Berechtigung sonst noch wo prüfen für den Dienst?

Wie ist das denn bei euch Default?

 

Edit:

Bei mir war es ein XP SP3

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   1.835

Geschrieben
Geschrieben
Kann ich die Berechtigung sonst noch wo prüfen für den Dienst?

 

sc sdshow wuauserv

 

Wobei ich grad merke, dass ich einen kleinen Denkfehler hab. Ich meinte, dass der Dienst WUAUServ als "Dienst" gestartet werden muß. Vor SP2 lief der noch im "System"-Kontext. Also System braucht natürlich Vollzugriff auf den Dienst und ansonsten braucht den eigentlich nur der, der ihn manuell starten/stoppen können soll, bzw. eventuell auch noch den Status lesen können soll.

 

Bye

Norbert

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...