Jump to content
Sign in to follow this  
Gill

Herunterfahren für Nicht-Admins erlauben

Recommended Posts

Hallo,

 

ich habe einen Windows Server 2008 (R1) stehen mit eingerichtetem Active Directory. Ich habe auch bereits mehrere Gruppen erfolgreich angelegt und die Rechte entsprechenden angepasst.

 

Jetzt stehe ich vor folgendem Problem; eine Gruppe (nennen wir sie mal "blah") die nicht den Administratoren angehört, soll in der Lage sein, den Server herunterzufahren bzw. neu zu starten. Habe im Gruppenrichtlinien-Manager für die Gruppe "blah" unter

 

Computerkonfig. > Richtlinien > Sicherheitsrichtlinien > Lokale Richtlinien > Zuweisen von Benutzerrechten > Herunterfahren des Systems

 

die selbige eingetragen. Wenn ich mich dann als Benutzer dieser Gruppe anmelde und via "shutdown -r -f -t 0" versuche den Server neu zu starten bekomme ich "Zugriff verweigert(5)".

 

Kann ich überhaupt einer Nicht-Admin-Gruppe das Recht zum Herunterfahren geben?

 

Danke im Voraus!

Share this post


Link to post

Hi,

 

schau mal unter der lokalen Sicherheitsrichtlinie, Zuweisen von Benutzerrechten auf dem DC:

 

Erzwingen des Herunterfahrens von einem Remotesystem aus

 

Wer steht dort drin ?

 

 

BTW: Der Shutdownbefehl mit der Option -f ist auf einem Server welcher Datenbanken beherbergt keine gute Idee !

Share this post


Link to post

Danke für die schnelle Antwort! :)

 

Datenbank läuft auf dem Server keine. Werde das mit "Erzwingen des Herunterfahrens von einem Remotesystem aus" gleich mal nachsehen und mich nochmal melden.

Share this post


Link to post

Hi,

 

ich habe einen Windows Server 2008 (R1) stehen mit eingerichtetem Active Directory ...

 

Datenbank läuft auf dem Server keine.

 

soso ... also keine Datenbanken auf dem Server am laufen. :rolleyes:

Share this post


Link to post

Moin,

 

das "-f" beim Shutdown-Befehl bedeutet im Wesentlichen, dass Applikationen auch dann beendet werden, wenn sie auf eine Benutzereingabe warten. Meist ist das die Frage "Wollen Sie ungespeicherte Daten speichern?".

 

Für Dienste usw. bedeutet -f keinen Abbruch. Diese werden normal beendet. Das Herunterfahren/Neustarten ist der normale gesteuerte Prozess und nicht mit dem Reset- oder netzschalter zu verwechseln.

 

In sofern stellt das hier kein zusätzliches Problem dar. Die eigentliche Frage, ob es sinnvoll ist, Nichtadministratoren das Herunterfahren/Neustarten zu erlauben, bleibt davon unberührt. Meist verbirgt sich dahinter ein wenig sinnvoller Umgang mit nicht vernünftig arbeitenden Applikationen.

 

Gruß, Nils

Share this post


Link to post

@ XP-Fan:

 

Öhm ... ja ... ich meinte mehr im Sinne von keine SQL-Datenbank. :D

 

Was ich noch vergessen habe; auf dem Server sind Terminaldienste installiert, falls das eine Rolle spielt.

 

Also, in der lokalen Gruppenrichtlinie des Servers kann ich nichts einstellen, alle relevanten Felder sind deaktiviert. Bin dann bin in der Gruppenrichtlinienverwaltung der "Default Domain Policy" auf diese Einstellung gestoßen und habe auch die besagte Gruppe eingetragen sowie mit "gpupdate /force" die Übernahme der Regeln erzwungen. Allerdings brachte dies nichts.

 

@ NilsK:

 

Dieses Recht wird nur an zwei vertrauenswürdige Personen übertragen (diese sind dann in der besagten Gruppe), von daher wäre das kein Problem. Diese sollen jedoch nur dieses Sonderrecht erhalten. Ist etwas umständlich zu erklären, aber "nicht auf meinem Mist gewachsen" wie man so schön sagt. Bin da nur die ausführende Kraft.

Share this post


Link to post

Moin,

 

Was ich noch vergessen habe; auf dem Server sind Terminaldienste installiert, falls das eine Rolle spielt.

 

ja, spielt es. Aus gutem Grund sind Terminaldienste auf einem DC "not recommended".

(Wenn ich der PSS wäre, wäre es sogar "not supported" ...)

 

Also, in der lokalen Gruppenrichtlinie des Servers kann ich nichts einstellen, alle relevanten Felder sind deaktiviert.

 

Klar. Ist ja auch ein DC.

 

Bin dann bin in der Gruppenrichtlinienverwaltung der "Default Domain Policy" auf diese Einstellung gestoßen und habe auch die besagte Gruppe eingetragen sowie mit "gpupdate /force" die Übernahme der Regeln erzwungen. Allerdings brachte dies nichts.

 

Klar. Ist ja auch die falsche Policy. Du hast das Recht gerade auf alle Rechner deiner Domäne ausgerollt ... mit Ausnahme der DCs. Für die bräuchtest du die Default Domain Controllers Policy.

 

Das "force" ist übrigens hier völlig unnötig. Dir fehlen anscheinend einige Grundlagen - schau dich mal auf Gruppenrichtlinien - Übersicht, FAQ und Tutorials um.

 

Gruß, Nils

Share this post


Link to post

Hallo,

 

erst nochmal vielen Dank für die schnellen Antworten! :)

 

ja, ich weiss dass das mit DC und Terminal "nicht so empfehlenswert" ist, haben mir schon mehrere Leute gesagt, bin aber wie schon gesagt nur die Exekutive, die Entscheidungen treffen andere. Habe diese Information jedoch schon weitergeleitet an die entsprechenden Personen.

 

Bin was Domaincontroller angeht leider noch recht unerfahren, ist auch komplettes Neuland für mich (also bin ich im Moment auf dem Gebiet noch das ganze Gegenteil von einem MVP). Muss mich da erst noch einarbeiten. :confused: Ich werde mir mal den von dir geposteten Link vornehmen. :)

 

Btw., noch wird der Server nicht produktiv eingesetzt, von daher macht das mit dem falschen ausrollen des Rechts nicht wirklich etwas. Habe es aber logischerweise wieder rückgängig gemacht.

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...