Jump to content
Sign in to follow this  
KNL

Standard-Domäne-User - Ressourcenmonitor

Recommended Posts

Hallo zusammen,

 

eins vorweg, ich habe bisher im Bereich AD wenig bis keine Erfahrung. Ich stehe aktuell vor folgender Frage- / Problemstellung. Ist es möglich einen Standard-Domänen-User in die Lage zu versetzten
den Ressourcen-Monitor aufzurufen ohne ihm lokale Adminrechte zu vermachen? Meine bisherigen Recherchen ergaben, dass dies nicht möglich ist. Ist dies so korrekt?

 

Vielen Dank für Eure Rückmeldungen
Mfg Knl

 

P.S. Der Domänencontroller läuft mit Win2012 R2.

Share this post


Link to post
Share on other sites

Es gibt doch die Gruppen "Leistungsprotokollbenutzer" und "Leistungsüberwachungsbenutzer".

 

Ich habe diese Gruppen noch nie benutzt. Vielleicht kommst du damit weiter.

Share this post


Link to post
Share on other sites

Ich habe meinen Test-User zu beiden Gruppen "Leistungsprotokollbenutzer" und "Leistungsüberwachungsbenutzer" hinzugefügt.

Was mich wundert ist, dass "whoami -all", die beiden Gruppen jedoch nicht anzeigt. Ist das normal? Der Test-User wurde nach Zuordnung zu den beiden Gruppen mehrfach ab- und wieder angemeldet.

 

Darüberhinaus habe ich dem User folgende Benutzerrechte zugewiesen (als Default Domain Policy).

  • Anmelden als Stapelverarbeitungsauftrag
  • Erstellen eines Profils der Systemleistung
  • Erstellen globaler Objekte

 

Die Ausgabe von whoami gibt aber bei "Erstellen eines Profils der Systemleistung" - "Deaktiviert" zurück - warum?

 

Hier einmal das Resultat von whoami -all:

 

Microsoft Windows [Version 10.0.17134.48]
(c) 2018 Microsoft Corporation. Alle Rechte vorbehalten.

C:\Windows\System32>whoami -all

BENUTZERINFORMATIONEN
---------------------

Benutzername SID
============ =============================================
hls1\knltest S-1-5-21-2393647219-961682751-4230391756-3137


GRUPPENINFORMATIONEN
--------------------

Gruppenname                                              Typ             SID                                            Attribute
======================================================== =============== ============================================== ==============================================================================
Jeder                                                    Bekannte Gruppe S-1-1-0                                        Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
KNLPC\USERS                                              Alias           S-1-5-21-2831190314-4161004716-2260719556-1004 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Benutzer                                    Alias           S-1-5-32-545                                   Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\INTERAKTIV                                  Bekannte Gruppe S-1-5-4                                        Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
KONSOLENANMELDUNG                                        Bekannte Gruppe S-1-2-1                                        Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Authentifizierte Benutzer                   Bekannte Gruppe S-1-5-11                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Diese Organisation                          Bekannte Gruppe S-1-5-15                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
LOKAL                                                    Bekannte Gruppe S-1-2-0                                        Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
Von der Authentifizierungsstelle bestätigte ID           Bekannte Gruppe S-1-18-1                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
HLS1\HLSUser                                             Alias           S-1-5-21-2393647219-961682751-4230391756-1604  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Lokale Gruppe
Verbindliche Beschriftung\Mittlere Verbindlichkeitsstufe Bezeichnung     S-1-16-8192


BERECHTIGUNGSINFORMATIONEN
--------------------------

Berechtigungsname             Beschreibung                                    Status
============================= =============================================== ===========
SeSystemProfilePrivilege      Erstellen eines Profils der Systemleistung      Deaktiviert
SeShutdownPrivilege           Herunterfahren des Systems                      Deaktiviert
SeChangeNotifyPrivilege       Auslassen der durchsuchenden Überprüfung        Aktiviert
SeUndockPrivilege             Entfernen des Computers von der Docking-Station Deaktiviert
SeCreateGlobalPrivilege       Erstellen globaler Objekte                      Aktiviert
SeIncreaseWorkingSetPrivilege Arbeitssatz eines Prozesses vergrößern          Deaktiviert
SeTimeZonePrivilege           Ändern der Zeitzone                             Deaktiviert


INFORMATIONEN ZU BENUTZERANSPRÜCHEN
-----------------------------------

Die Benutzeransprüche sind unbekannt.

Die Kerberos-Unterstützung für die dynamische Zugriffssteuerung auf diesem Gerät wurde deaktiviert.

C:\Windows\System32>

 

Share this post


Link to post
Share on other sites

Moin,

 

vermutlich hast du die Einstellungen im AD gemacht? Dann hast du den User den betreffenden lokalen Gruppen auf den DCs zugewiesen (denn nur dort gelten die Gruppen aus dem Container "Builtin"). Wenn du jetzt auf deinem Client ein whoami ausführst, siehst du die Gruppenmitgliedschaften für lokale Gruppen auf dem Client, nicht die vom DC (und dort bestehen die Mitgliedschaften eben nicht). Dasselbe gilt für die Userrechte: Die hat dein User dann auf dem DC, nicht auf dem Client (wodurch du sie auf dem Client auch nicht siehst).

 

Du müsstest aber beides auf dem Client ausführen, d.h. dort als Admin anmelden und den User über "lusrmgr.msc" in die betreffenden Gruppen aufnehmen.

 

Aber ziehen wir das Ganze doch mal von der richtigen Seite auf: Was ist denn das eigentliche Problem, das du lösen willst?

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites
vor 31 Minuten schrieb NilsK:

Aber ziehen wir das Ganze doch mal von der richtigen Seite auf: Was ist denn das eigentliche Problem, das du lösen willst?

 

Gruß, Nils

 

 

Das wollte ich auch gerade fragen. Auf welchem Rechner soll der was machen?

Share this post


Link to post
Share on other sites

Nuja, was ist mein Ziel? Mein Ziel ist es den Anwendern nur so wenig Berechtigungen wie nötig zu geben und sie dabei aber auch nicht in Ihrer Arbeitsweise einzuschränken oder gar zu behindern. Soweit es geht möchte ich darauf verzichten jeden Anwender zum lokalen Administrator zu  machen.

 

Der Ressourcenmonitor ist für einen Teil der User ein normales, gewohntes Tool, so dass sich mir die oben genannte Frage stellt.

 

Das Ziel ist eigentlich dass der User überall d.h. egal an welchem PC er sich innerhalb der Domäne mit seinem Domänenkonto anmeldet den Ressourcenmonitor aufrufen kann, ohne ihn gleich zum Admin zu machen.

Share this post


Link to post
Share on other sites

Moin,

 

trotzdem bleibt der Ressourcenmonitor ja ein Mittel - zu welchem Zweck? Vielleicht gibt es ja alternative oder bessere Wege zum Ziel.

 

Gruß, Nils

Share this post


Link to post
Share on other sites

hmm... wir sind hier ja auch alle nicht "normal" ;) ... wir bewegen uns hier im Bereich der System-Softwareentwicklung und da kann es eben schon mal interessieren wie gerade ein bestimmter Prozeß das System belastet.

 

Dank Eurer Hilfe bin ich soweit dass mein Test-User nun mittels der Restricted Groups in den beiden lokalen Gruppen "Leistungsprotokollbenutzer" und "Leistungsüberwachungsbenutzer"  zugeordnet ist.

Das whoami spuckt nun die erwarteten Gruppenzugehörigkeiten aus.

 

Einen erfolgreicher Aufruf des Ressourcenmonitors ist aber noch immer nicht möglich. Der Vorgang benötigt höherere Rechte.

 

Darüberhinaus werden dem User (exakter einer neuen Gruppe, in der der user aufgenommen ist) folgende Benutzerrechte zugewiesen (per Default Domain Policy).

  • Anmelden als Stapelverarbeitungsauftrag
  • Erstellen eines Profils der Systemleistung
  • Erstellen globaler Objekte

Wenn mit gpedit vom lokalen PC, an welchem der Test-User angemeldet ist, bei den drei Zugewiesenen Benutzerrechten nachschaue, dann steht dort die zugewiesene Gruppe.

 

Die Berechtigungsinformationen, die whoami ausgibt, sind aber wie folgt:

 

Berechtigungsname             Beschreibung                                    Status
============================= =============================================== ===========
SeSystemProfilePrivilege      Erstellen eines Profils der Systemleistung      Deaktiviert
SeShutdownPrivilege           Herunterfahren des Systems                      Deaktiviert
SeChangeNotifyPrivilege       Auslassen der durchsuchenden Überprüfung        Aktiviert
SeUndockPrivilege             Entfernen des Computers von der Docking-Station Deaktiviert
SeCreateGlobalPrivilege       Erstellen globaler Objekte                      Aktiviert
SeIncreaseWorkingSetPrivilege Arbeitssatz eines Prozesses vergrößern          Deaktiviert
SeTimeZonePrivilege           Ändern der Zeitzone                             Deaktiviert

 

Warum ist SeSystemProfilePrivilege Deaktiviert? Habt Ihr vielleicht eine Idee?

 

Share this post


Link to post
Share on other sites

Moin,

 

sicher, dass du die "Default Domain Policy" genommen hast und nicht die "Default Domain Controllers Policy"?

 

Mit den Benutzerrechten kenne ich mich im Detail ncht aus, aber zumindest gibt es welche, die man für den jeweiligen Prozess erst aktivieren muss. Vielleicht ist das hier auch so.

Ansonsten kann ich dazu jetzt nicht mehr viel beitragen.

 

Gruß, Nils

 

 

Share this post


Link to post
Share on other sites

Wenn es um die Auslastung geht, dann kannst das mit der Leistungsüberwachung machen.

perfmon.exe /sys

 ...ausführen und dann einfach die benötigten/gewünschten Leistungsindikatoren hinzufügen. Fertig.

 

Edit:

Eine Antwort eines MS-Mitarbeiters im Forum besagte, dass definitiv administrative Berechtigungen benötigt werden. Der Ressourcen-Monitor liefert Dir die aktuell geöffneten Dateien des Systems. Allein diese Funktion benötigt administrative Berechtigungen. Das wirst du nicht verändern/anpassen können.

Edited by MurdocX

Share this post


Link to post
Share on other sites

@NilsK ja ich bin mir sicher dass ich die Benutzerrechte in der "Default Domain Policy" gesetzt habe und nicht in der Default Domain Controlers Policy. Weitergekommen mit den Berechtigungen bin ich aber nicht. Ich weiß auch nicht ob ich das weiter verfolge; denke eher nicht.

 

@MurdocX thx für den Hinweis. Aber da kann ich doch nicht sehen wie gerade ein bestimmter Prozeß das System auslastet oder doch? Ansonsten schliesse ich das Thema hier für mich, mit der Erkenntnis ab, dass es nicht möglich ist.

 

@all Danke für Eure Beiträge. Die ein oder andere Erkenntnis habe ich dennoch gewonnen. Thx :)

 

mfg knl

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...