Jump to content

Standard-Domäne-User - Ressourcenmonitor


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

eins vorweg, ich habe bisher im Bereich AD wenig bis keine Erfahrung. Ich stehe aktuell vor folgender Frage- / Problemstellung. Ist es möglich einen Standard-Domänen-User in die Lage zu versetzten
den Ressourcen-Monitor aufzurufen ohne ihm lokale Adminrechte zu vermachen? Meine bisherigen Recherchen ergaben, dass dies nicht möglich ist. Ist dies so korrekt?

 

Vielen Dank für Eure Rückmeldungen
Mfg Knl

 

P.S. Der Domänencontroller läuft mit Win2012 R2.

Link zu diesem Kommentar

Ich habe meinen Test-User zu beiden Gruppen "Leistungsprotokollbenutzer" und "Leistungsüberwachungsbenutzer" hinzugefügt.

Was mich wundert ist, dass "whoami -all", die beiden Gruppen jedoch nicht anzeigt. Ist das normal? Der Test-User wurde nach Zuordnung zu den beiden Gruppen mehrfach ab- und wieder angemeldet.

 

Darüberhinaus habe ich dem User folgende Benutzerrechte zugewiesen (als Default Domain Policy).

  • Anmelden als Stapelverarbeitungsauftrag
  • Erstellen eines Profils der Systemleistung
  • Erstellen globaler Objekte

 

Die Ausgabe von whoami gibt aber bei "Erstellen eines Profils der Systemleistung" - "Deaktiviert" zurück - warum?

 

Hier einmal das Resultat von whoami -all:

 

Microsoft Windows [Version 10.0.17134.48]
(c) 2018 Microsoft Corporation. Alle Rechte vorbehalten.

C:\Windows\System32>whoami -all

BENUTZERINFORMATIONEN
---------------------

Benutzername SID
============ =============================================
hls1\knltest S-1-5-21-2393647219-961682751-4230391756-3137


GRUPPENINFORMATIONEN
--------------------

Gruppenname                                              Typ             SID                                            Attribute
======================================================== =============== ============================================== ==============================================================================
Jeder                                                    Bekannte Gruppe S-1-1-0                                        Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
KNLPC\USERS                                              Alias           S-1-5-21-2831190314-4161004716-2260719556-1004 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Benutzer                                    Alias           S-1-5-32-545                                   Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\INTERAKTIV                                  Bekannte Gruppe S-1-5-4                                        Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
KONSOLENANMELDUNG                                        Bekannte Gruppe S-1-2-1                                        Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Authentifizierte Benutzer                   Bekannte Gruppe S-1-5-11                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Diese Organisation                          Bekannte Gruppe S-1-5-15                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
LOKAL                                                    Bekannte Gruppe S-1-2-0                                        Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
Von der Authentifizierungsstelle bestätigte ID           Bekannte Gruppe S-1-18-1                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
HLS1\HLSUser                                             Alias           S-1-5-21-2393647219-961682751-4230391756-1604  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Lokale Gruppe
Verbindliche Beschriftung\Mittlere Verbindlichkeitsstufe Bezeichnung     S-1-16-8192


BERECHTIGUNGSINFORMATIONEN
--------------------------

Berechtigungsname             Beschreibung                                    Status
============================= =============================================== ===========
SeSystemProfilePrivilege      Erstellen eines Profils der Systemleistung      Deaktiviert
SeShutdownPrivilege           Herunterfahren des Systems                      Deaktiviert
SeChangeNotifyPrivilege       Auslassen der durchsuchenden Überprüfung        Aktiviert
SeUndockPrivilege             Entfernen des Computers von der Docking-Station Deaktiviert
SeCreateGlobalPrivilege       Erstellen globaler Objekte                      Aktiviert
SeIncreaseWorkingSetPrivilege Arbeitssatz eines Prozesses vergrößern          Deaktiviert
SeTimeZonePrivilege           Ändern der Zeitzone                             Deaktiviert


INFORMATIONEN ZU BENUTZERANSPRÜCHEN
-----------------------------------

Die Benutzeransprüche sind unbekannt.

Die Kerberos-Unterstützung für die dynamische Zugriffssteuerung auf diesem Gerät wurde deaktiviert.

C:\Windows\System32>

 

Link zu diesem Kommentar

Moin,

 

vermutlich hast du die Einstellungen im AD gemacht? Dann hast du den User den betreffenden lokalen Gruppen auf den DCs zugewiesen (denn nur dort gelten die Gruppen aus dem Container "Builtin"). Wenn du jetzt auf deinem Client ein whoami ausführst, siehst du die Gruppenmitgliedschaften für lokale Gruppen auf dem Client, nicht die vom DC (und dort bestehen die Mitgliedschaften eben nicht). Dasselbe gilt für die Userrechte: Die hat dein User dann auf dem DC, nicht auf dem Client (wodurch du sie auf dem Client auch nicht siehst).

 

Du müsstest aber beides auf dem Client ausführen, d.h. dort als Admin anmelden und den User über "lusrmgr.msc" in die betreffenden Gruppen aufnehmen.

 

Aber ziehen wir das Ganze doch mal von der richtigen Seite auf: Was ist denn das eigentliche Problem, das du lösen willst?

 

Gruß, Nils

 

Link zu diesem Kommentar

Nuja, was ist mein Ziel? Mein Ziel ist es den Anwendern nur so wenig Berechtigungen wie nötig zu geben und sie dabei aber auch nicht in Ihrer Arbeitsweise einzuschränken oder gar zu behindern. Soweit es geht möchte ich darauf verzichten jeden Anwender zum lokalen Administrator zu  machen.

 

Der Ressourcenmonitor ist für einen Teil der User ein normales, gewohntes Tool, so dass sich mir die oben genannte Frage stellt.

 

Das Ziel ist eigentlich dass der User überall d.h. egal an welchem PC er sich innerhalb der Domäne mit seinem Domänenkonto anmeldet den Ressourcenmonitor aufrufen kann, ohne ihn gleich zum Admin zu machen.

Link zu diesem Kommentar

hmm... wir sind hier ja auch alle nicht "normal" ;) ... wir bewegen uns hier im Bereich der System-Softwareentwicklung und da kann es eben schon mal interessieren wie gerade ein bestimmter Prozeß das System belastet.

 

Dank Eurer Hilfe bin ich soweit dass mein Test-User nun mittels der Restricted Groups in den beiden lokalen Gruppen "Leistungsprotokollbenutzer" und "Leistungsüberwachungsbenutzer"  zugeordnet ist.

Das whoami spuckt nun die erwarteten Gruppenzugehörigkeiten aus.

 

Einen erfolgreicher Aufruf des Ressourcenmonitors ist aber noch immer nicht möglich. Der Vorgang benötigt höherere Rechte.

 

Darüberhinaus werden dem User (exakter einer neuen Gruppe, in der der user aufgenommen ist) folgende Benutzerrechte zugewiesen (per Default Domain Policy).

  • Anmelden als Stapelverarbeitungsauftrag
  • Erstellen eines Profils der Systemleistung
  • Erstellen globaler Objekte

Wenn mit gpedit vom lokalen PC, an welchem der Test-User angemeldet ist, bei den drei Zugewiesenen Benutzerrechten nachschaue, dann steht dort die zugewiesene Gruppe.

 

Die Berechtigungsinformationen, die whoami ausgibt, sind aber wie folgt:

 

Berechtigungsname             Beschreibung                                    Status
============================= =============================================== ===========
SeSystemProfilePrivilege      Erstellen eines Profils der Systemleistung      Deaktiviert
SeShutdownPrivilege           Herunterfahren des Systems                      Deaktiviert
SeChangeNotifyPrivilege       Auslassen der durchsuchenden Überprüfung        Aktiviert
SeUndockPrivilege             Entfernen des Computers von der Docking-Station Deaktiviert
SeCreateGlobalPrivilege       Erstellen globaler Objekte                      Aktiviert
SeIncreaseWorkingSetPrivilege Arbeitssatz eines Prozesses vergrößern          Deaktiviert
SeTimeZonePrivilege           Ändern der Zeitzone                             Deaktiviert

 

Warum ist SeSystemProfilePrivilege Deaktiviert? Habt Ihr vielleicht eine Idee?

 

Link zu diesem Kommentar

Moin,

 

sicher, dass du die "Default Domain Policy" genommen hast und nicht die "Default Domain Controllers Policy"?

 

Mit den Benutzerrechten kenne ich mich im Detail ncht aus, aber zumindest gibt es welche, die man für den jeweiligen Prozess erst aktivieren muss. Vielleicht ist das hier auch so.

Ansonsten kann ich dazu jetzt nicht mehr viel beitragen.

 

Gruß, Nils

 

 

Link zu diesem Kommentar

Wenn es um die Auslastung geht, dann kannst das mit der Leistungsüberwachung machen.

perfmon.exe /sys

 ...ausführen und dann einfach die benötigten/gewünschten Leistungsindikatoren hinzufügen. Fertig.

 

Edit:

Eine Antwort eines MS-Mitarbeiters im Forum besagte, dass definitiv administrative Berechtigungen benötigt werden. Der Ressourcen-Monitor liefert Dir die aktuell geöffneten Dateien des Systems. Allein diese Funktion benötigt administrative Berechtigungen. Das wirst du nicht verändern/anpassen können.

bearbeitet von MurdocX
Link zu diesem Kommentar

@NilsK ja ich bin mir sicher dass ich die Benutzerrechte in der "Default Domain Policy" gesetzt habe und nicht in der Default Domain Controlers Policy. Weitergekommen mit den Berechtigungen bin ich aber nicht. Ich weiß auch nicht ob ich das weiter verfolge; denke eher nicht.

 

@MurdocX thx für den Hinweis. Aber da kann ich doch nicht sehen wie gerade ein bestimmter Prozeß das System auslastet oder doch? Ansonsten schliesse ich das Thema hier für mich, mit der Erkenntnis ab, dass es nicht möglich ist.

 

@all Danke für Eure Beiträge. Die ein oder andere Erkenntnis habe ich dennoch gewonnen. Thx :)

 

mfg knl

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...