Jump to content

Zuweisen eines Systemkontos für Anmelden als Dienst mit GPO


Recommended Posts

Hi!

 

Folgende Situation

Es existiert auf jedem Client in der Domäne ein lokales Systemkonto "NT Service\"Dienstname", welches automatisch bei der Installation der Software angelegt wurde.

Dieses Konto ist auch in dem Windows Dienst unter "Anmelden als" eingetragen.

 

Problem

Dieses Systemkonto hat, wie man auch unter der lokalen Sicherheitsrichtlinie > Lokale Richtlinien > Zuweisen von Benutzerrechten > Anmelden als Dienst, sieht, kein Recht diesen Dienst zu starten, da dieses Konto dort nicht eingetragen ist.

Jedes Mal, also mehrere 100 Male am Tag, versucht dieser Dienst zu starten, was extrem wichtig ist, aber aufgrund fehlender Berechtigungen schlägt dies fehl.

 

Lösungsvarianten

Im Prinzip wäre die Lösung an sich ja einfach, die wie folgt aussehen könnte:

 


  1. Default Domain Policy -> Computerkonfiguration > Windows-Einstellungen > Sicherheitsreinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten > Anmelden als Dienst > Eintragung von "NT Service\"Dienstname" 
    Fehlermeldung --> Folgende Konten konnten nicht überprüft werden : "NT Service\"Dienstname"

    Das Problem scheint hier das "NT Service" zu sein, denn wenn ich nur den Dienstnamen dort eingebe, funktioniert es. Dies ist dann allerdings sinnbefreit, weil es nicht über die GPO übertragen wird, da dieses Konto ohne das "NT Service" nicht zugeordnet werden kann.
     

  2. Bei uns ist über die DDP schon eine AD-Gruppe mit diesen "Anmelden als Dienst" Rechten versehen. Theoretisch könnte man also das Konto in dem Windows Dienst bei "Anmelden als" auf jedem Client in ein AD-Konto ändern und dies dann einfach in die AD-Gruppe hinzufügen.
    Ich habe es versucht mit
    Neues GPO Objekt > Computerkonfiguration > Systemsteuerungseinstellungen > Dienste 
    Fehlermeldung --> Das CPassword-Attribut wurde verworfen, um die Sicherheitsrisiken zu minimieren. Verwenden Sie stattdessen sichere integrierte Benutzerkonten zum Erstellen von Gruppenrichtlinieneinstellungen für Dienste. Erfahren Sie, warum "CPassword" verworfen wurde und was Sie zu Ihrem Schutz tun können, indem Sie unten auf "Hilfe" klicken.

    Hier werde ich nicht ganz schlau draus

 

Fragestellung
Wie bekomme ich es also hin, dass auf jedem Client im Unternehmen (es sind sehr viele), dieser "NT Service\"Dienstname" in der lokalen Sicherheitsrichtlinie die Rechte unter "Anmelden als Dienst" erhält?

Alternativ gibt es ja vielleicht die Möglichkeit, in Annäherung an die oben genannte 2. Lösungsvariante, den Account für "Anmelden Als" bei dem bestehen Dienst irgendwie durch ein neu erstelltes AD-Konto zu ersetzen und dieses dann über die GPO bei "Anmelden als Dienst" hinzuzufügen?

 

Vielen Dank im Vorraus!

 

 

 

 

 

 

 

 

Edited by sd2019
Link to post

Ob meine Idee funktioniert mit Konten ala "NT Service\xyz" - kann ich leider nicht bestätigen oder verneinen. Ich hatte das nie, und mir fällt auch spontan keine Möglichkeit ein, wie ich das ausprobieren könnte. Kommt wohl auf einen Versuch an - über eine Rückmeldung würde ich mich freuen.

 

So aus dem Gedächtnis heraus dürfte der Fehler aber gar nicht auftreten, wenn "SERVICE" das Recht "Anmelden als Dienst" hat. Wer hat das denn bei Euch so? (Sysinternals: "accesschk a *" sagt Dir das effektiv.)

Die Meldung mit dem cPassword kommt wegen MS14-025 - auch schon 7 Jahre her :-)https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2014/ms14-025

Link to post
vor 8 Stunden schrieb daabm:

Ob meine Idee funktioniert mit Konten ala "NT Service\xyz" - kann ich leider nicht bestätigen oder verneinen. Ich hatte das nie, und mir fällt auch spontan keine Möglichkeit ein, wie ich das ausprobieren könnte. Kommt wohl auf einen Versuch an - über eine Rückmeldung würde ich mich freuen.

Der Part, den "NT Service\XYZ" per GPP in eine lokale Gruppe zu packen, funktioniert bei uns. :)

  • Thanks 1
Link to post

@daabm

 

Ich habe mir das mal mit "accesschk -a *" ausgeben lassen und wie vermutet steht bei "SeServiceLogonRight:" die AD-Gruppe drin, die wiederum mehrere AD-Benutzer enthält, die dieses Recht per GPO schon zugewiesen bekommen haben. Diese AD-Gruppe hatte ich ja bereits in meinem Anfangspost erwähnt.

 

@testperson 

 

1. Warum denn nicht in der DDP?

2. Was soll mir die lokale Gruppe bringen? ich muss das Recht ja bei "Anmelden als Dienst" hinterlegen. Das heißt ich muss irgendwie auf dem Client entweder den "NT Service\XYZ" in die Benutzerrechte bei "Anmelden als Dienst" reinpacken oder aber die lokale Gruppe, in der das lokale Konto "NT Service\XYZ" Mitglied ist. Auch die Benutzerechte von "Lokal Anmeldung erlauben" bringen mich doch gar nicht weiter?

 

 

Link to post
vor 7 Stunden schrieb sd2019:

Ich habe mir das mal mit "accesschk -a *" ausgeben lassen und wie vermutet steht bei "SeServiceLogonRight:" die AD-Gruppe drin, die wiederum mehrere AD-Benutzer enthält, die dieses Recht per GPO schon zugewiesen bekommen haben. Diese AD-Gruppe hatte ich ja bereits in meinem Anfangspost erwähnt.

Und was spricht jetzt dagegen, das so zu machen wie in meinem Blogpost, den Jan schon verlinkt hat?

 

Gegen die DDP spricht, daß sie eine fixe GUID hat und Einstellungen darin mit dem Domain Head gekoppelt sind. Änderst Du z.B. auf dem PDC die Kennworteinstellungen "lokal", dann wandern diese Änderungen in die DDP zurück. Das will man i.d.R. nicht. Auch werden DDP und DDCP mit dcgpofix zurückgesetzt, was dann auch wieder b***d sein kann. Besser eine eigene machen.

Link to post
vor 8 Stunden schrieb sd2019:

2. Was soll mir die lokale Gruppe bringen? ich muss das Recht ja bei "Anmelden als Dienst" hinterlegen. Das heißt ich muss irgendwie auf dem Client entweder den "NT Service\XYZ" in die Benutzerrechte bei "Anmelden als Dienst" reinpacken oder aber die lokale Gruppe, in der das lokale Konto "NT Service\XYZ" Mitglied ist. Auch die Benutzerechte von "Lokal Anmeldung erlauben" bringen mich doch gar nicht weiter?

Die lokale Gruppe hilft dir, da du diese entsprechend benennen kannst, dass du sie in der gpmc.msc ohne Fehler eintragen kannst.

  • Per GPP eine lokale Gruppe ("DeineanmeldenalsDienstGruppe") auf den Clients erstellen
  • Per GPP den "NT Service\Dein Dienst" in die Gruppe "DeineanmeldenalsDienstGruppe" auf den Clients hinzufügen
  • In einer Richtlinie das Recht "Anmelden als Dienst" für die Gruppe "DeineanmeldenalsDienstGruppe" auf den Clients erlauben
Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...