Zenit 10 Geschrieben 25. November 2011 Melden Geschrieben 25. November 2011 Hallo Ich möchte einer bestimmten AD Gruppe die rechte für das starten/stoppen für bestimmte Dienste vergeben z.B DHCP, DNS etc., ich habe gesehen das ich die rechte in der GPO unter System Services die Berechtigungen konfigurieren könnte, und mit dem Tool SetACL Studio kann ich auch die bestehenden rechte mit GUI auflisten lassen, und dann 1 zu 1 übernehmen. Ich würde dann eine MMC erstellen und die betroffenen DC Server einfügen und dann in User mode - limited Access speichern, und den nötigen Usern abgeben, was meint Ihr zu dieser Lösung, würdet Ihr das auch so machen? L.g Zen.
Zenit 10 Geschrieben 27. November 2011 Autor Melden Geschrieben 27. November 2011 Hi gibt es wirklich keinen der seinen Senf dazu geben möchte?
NorbertFe 2.281 Geschrieben 27. November 2011 Melden Geschrieben 27. November 2011 Es soll Leute geben, die haben Wochenende. ;) bye Norbert
blub 115 Geschrieben 27. November 2011 Melden Geschrieben 27. November 2011 , was meint Ihr zu dieser Lösung, würdet Ihr das auch so machen? . Auf DCs und besonders am DNS- und DHCPDienst solltest du keine Basteleien ausprobieren! Warum sollen Nicht-Admins diese Dienste restarten können? blub
Zenit 10 Geschrieben 28. November 2011 Autor Melden Geschrieben 28. November 2011 Hi Das Service Desk möchte diese Dienste Starten können, deshalb muss ich denen diese möglichkeit gewähren, was hätte ich den sonst für möglichkleiten und warum sagst Du basteleien ist doch alles Windows komform? L.g Zen
Dr.Melzer 191 Geschrieben 28. November 2011 Melden Geschrieben 28. November 2011 1. Frage: Warum will das Service Desk die Dienste neu starten? 2. Frage: Warum nimmst du sie nicht in eine administrative Gruppe auf wenn sie das Recht zum Starten und Beenden der Dienste bekommen sollen?
Zenit 10 Geschrieben 29. November 2011 Autor Melden Geschrieben 29. November 2011 Leider geht das nicht, da es dem Internationalem Service Desk aus Sicherheitsgründen der Zugriff auf die Server verweigert wird, darüber müssen wir nicht schreiben das ist einfach so und da kann ich nichts machen, diese sollen jetzt eben das Recht erhalten nur diese Dienste zu starten wen sie down sind, deshalb habe ich diese Mission und muss eine Lösung finden nothing more.
nawas 32 Geschrieben 30. November 2011 Melden Geschrieben 30. November 2011 Was du machen könntest wäre z.B. einen User zu generieren der an der betreffenden Maschine lokale Admin Rechte hat. Dieser hat dann ein Powershell Script in seinem Logonprofil (am bessten wie GPO damit er dies net "ausversehentlich" löschen kann) das den Dienst stoppt und wieder startet und auch gleich ihn wieder ausloggt bzw. gleich die Remoteverbindung trennt. Dann muss sich nur noch der Helpdesk an der Maschine (via remote z.B.) anmelden .....
Dukel 468 Geschrieben 30. November 2011 Melden Geschrieben 30. November 2011 Was du machen könntest wäre z.B. einen User zu generieren der an der betreffenden Maschine lokale Admin Rechte hat. Dieser hat dann ein Powershell Script in seinem Logonprofil (am bessten wie GPO damit er dies net "ausversehentlich" löschen kann) das den Dienst stoppt und wieder startet und auch gleich ihn wieder ausloggt bzw. gleich die Remoteverbindung trennt.Dann muss sich nur noch der Helpdesk an der Maschine (via remote z.B.) anmelden ..... Und wenn er das Autostartscript abbricht ist er Admin auf der Maschine.
nawas 32 Geschrieben 30. November 2011 Melden Geschrieben 30. November 2011 (bearbeitet) Und wenn er das Autostartscript abbricht ist er Admin auf der Maschine. Richtig !!! Aber warum sollte es abbrechen??? OK, um sicher zu gehen könnte man es noch mit einem Sicherheitsbatch kombinieren in dem man in diesem folgendes einfügt: @echo off ping localhost -n 11 >NUL logoff Somit kommt automatisch ein logoff nach 10 Sek. Besser??? ;) bearbeitet 30. November 2011 von nawas Echo Off
NorbertFe 2.281 Geschrieben 30. November 2011 Melden Geschrieben 30. November 2011 Ich bin ADMIN auf dem DC (allen DCs). Dazu muß ich mich nichtmal am DC anmelden um das zu sein. Was ist so schwer daran zu erkennen? ;) Bye Norbert
Zenit 10 Geschrieben 1. Dezember 2011 Autor Melden Geschrieben 1. Dezember 2011 Ich habe mir folgendes überlegt, ich könnte doch einen Dummy User erstellen und diesen in die Server-Operatoren Gruppe aufnehmen, danach werde ich diesem User das Login auf den Servern per GPO Sperren, (Die Helpdesk MA dürfen sich nicht an die Server anmelden) ich würde auch den zugriff für Netzwerk Shares sperren, und denen folgenden Script dann zu senden, was meint Ihr dazu? Dim strServerDim strPassword strServer=inputbox("Enter the desktop you would like to access:") strPassword=inputbox("Enter the password for local admin:") Set wshShell = WScript.CreateObject("WScript.shell") wshshell.run "wmic /node:" & strServer & " /user:root /password: " & strPassword & " SERVICE WHERE CAPTION='Druckwarteschlange' CALL STARTSERVICE"
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden