Zenit 10 Geschrieben 25. November 2011 Melden Teilen Geschrieben 25. November 2011 Hallo Ich möchte einer bestimmten AD Gruppe die rechte für das starten/stoppen für bestimmte Dienste vergeben z.B DHCP, DNS etc., ich habe gesehen das ich die rechte in der GPO unter System Services die Berechtigungen konfigurieren könnte, und mit dem Tool SetACL Studio kann ich auch die bestehenden rechte mit GUI auflisten lassen, und dann 1 zu 1 übernehmen. Ich würde dann eine MMC erstellen und die betroffenen DC Server einfügen und dann in User mode - limited Access speichern, und den nötigen Usern abgeben, was meint Ihr zu dieser Lösung, würdet Ihr das auch so machen? L.g Zen. Zitieren Link zu diesem Kommentar
Zenit 10 Geschrieben 27. November 2011 Autor Melden Teilen Geschrieben 27. November 2011 Hi gibt es wirklich keinen der seinen Senf dazu geben möchte? Zitieren Link zu diesem Kommentar
NorbertFe 1.835 Geschrieben 27. November 2011 Melden Teilen Geschrieben 27. November 2011 Es soll Leute geben, die haben Wochenende. ;) bye Norbert Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 27. November 2011 Melden Teilen Geschrieben 27. November 2011 , was meint Ihr zu dieser Lösung, würdet Ihr das auch so machen? . Auf DCs und besonders am DNS- und DHCPDienst solltest du keine Basteleien ausprobieren! Warum sollen Nicht-Admins diese Dienste restarten können? blub Zitieren Link zu diesem Kommentar
Zenit 10 Geschrieben 28. November 2011 Autor Melden Teilen Geschrieben 28. November 2011 Hi Das Service Desk möchte diese Dienste Starten können, deshalb muss ich denen diese möglichkeit gewähren, was hätte ich den sonst für möglichkleiten und warum sagst Du basteleien ist doch alles Windows komform? L.g Zen Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 28. November 2011 Melden Teilen Geschrieben 28. November 2011 1. Frage: Warum will das Service Desk die Dienste neu starten? 2. Frage: Warum nimmst du sie nicht in eine administrative Gruppe auf wenn sie das Recht zum Starten und Beenden der Dienste bekommen sollen? Zitieren Link zu diesem Kommentar
Zenit 10 Geschrieben 29. November 2011 Autor Melden Teilen Geschrieben 29. November 2011 Leider geht das nicht, da es dem Internationalem Service Desk aus Sicherheitsgründen der Zugriff auf die Server verweigert wird, darüber müssen wir nicht schreiben das ist einfach so und da kann ich nichts machen, diese sollen jetzt eben das Recht erhalten nur diese Dienste zu starten wen sie down sind, deshalb habe ich diese Mission und muss eine Lösung finden nothing more. Zitieren Link zu diesem Kommentar
nawas 32 Geschrieben 30. November 2011 Melden Teilen Geschrieben 30. November 2011 Was du machen könntest wäre z.B. einen User zu generieren der an der betreffenden Maschine lokale Admin Rechte hat. Dieser hat dann ein Powershell Script in seinem Logonprofil (am bessten wie GPO damit er dies net "ausversehentlich" löschen kann) das den Dienst stoppt und wieder startet und auch gleich ihn wieder ausloggt bzw. gleich die Remoteverbindung trennt. Dann muss sich nur noch der Helpdesk an der Maschine (via remote z.B.) anmelden ..... Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 30. November 2011 Melden Teilen Geschrieben 30. November 2011 Was du machen könntest wäre z.B. einen User zu generieren der an der betreffenden Maschine lokale Admin Rechte hat. Dieser hat dann ein Powershell Script in seinem Logonprofil (am bessten wie GPO damit er dies net "ausversehentlich" löschen kann) das den Dienst stoppt und wieder startet und auch gleich ihn wieder ausloggt bzw. gleich die Remoteverbindung trennt.Dann muss sich nur noch der Helpdesk an der Maschine (via remote z.B.) anmelden ..... Und wenn er das Autostartscript abbricht ist er Admin auf der Maschine. Zitieren Link zu diesem Kommentar
nawas 32 Geschrieben 30. November 2011 Melden Teilen Geschrieben 30. November 2011 (bearbeitet) Und wenn er das Autostartscript abbricht ist er Admin auf der Maschine. Richtig !!! Aber warum sollte es abbrechen??? OK, um sicher zu gehen könnte man es noch mit einem Sicherheitsbatch kombinieren in dem man in diesem folgendes einfügt: @echo off ping localhost -n 11 >NUL logoff Somit kommt automatisch ein logoff nach 10 Sek. Besser??? ;) bearbeitet 30. November 2011 von nawas Echo Off Zitieren Link zu diesem Kommentar
NorbertFe 1.835 Geschrieben 30. November 2011 Melden Teilen Geschrieben 30. November 2011 Ich bin ADMIN auf dem DC (allen DCs). Dazu muß ich mich nichtmal am DC anmelden um das zu sein. Was ist so schwer daran zu erkennen? ;) Bye Norbert Zitieren Link zu diesem Kommentar
Zenit 10 Geschrieben 1. Dezember 2011 Autor Melden Teilen Geschrieben 1. Dezember 2011 Ich habe mir folgendes überlegt, ich könnte doch einen Dummy User erstellen und diesen in die Server-Operatoren Gruppe aufnehmen, danach werde ich diesem User das Login auf den Servern per GPO Sperren, (Die Helpdesk MA dürfen sich nicht an die Server anmelden) ich würde auch den zugriff für Netzwerk Shares sperren, und denen folgenden Script dann zu senden, was meint Ihr dazu? Dim strServerDim strPassword strServer=inputbox("Enter the desktop you would like to access:") strPassword=inputbox("Enter the password for local admin:") Set wshShell = WScript.CreateObject("WScript.shell") wshshell.run "wmic /node:" & strServer & " /user:root /password: " & strPassword & " SERVICE WHERE CAPTION='Druckwarteschlange' CALL STARTSERVICE" Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.