torsten73 10 Geschrieben 18. Oktober 2005 Melden Teilen Geschrieben 18. Oktober 2005 Hallo, habe folgendes Problem wo ich noch keine Lösung für gefunden habe. Ich möchte die Ereignisanzeige auf mehren Mitgildsserver der Domäne A, bestimmten Gruppen der Domäne B zugreifbar machen. Aber dabei soll gewährleistet bleiben das sie nur die Ereignisanzeige über eine vordifinierte MMC sehen können. Folgendes habe ich bereits schon ausprobiert. Die NTFS Berechtigen unter \\%system%\system32\config dementsprechen abgeändertdas die Gruppen Leseberechtigungen haben. Die Lokalesicherheitsrichtline soweit angepasst das die Gruppen aus Domäne B Zugriffsrechte hat Lokale Richtline => Zuweisen von Benutzerrechten => Verwalten und Überwachungs- und Sicherheitsprotokollen Das bewirkte das sie in der Ereignisanzeige aufs Sicherheitsprotokoll zugreifen konnte. Danach habe ich dann noch eine Dömänenrichtliene angepasst die den Zugriff der Services (Dienste) auf den Server steuert. Windows Einstellungen => Sicherheitseinstellungen => Systemdienste => Ereignisprotokoll Dort habe ich die Richtline so definiert das derDienst Automatisch gestartet wird und die Gruppen der Domäne B drauf zugreifen können. Leider hat das den den gewünschten Erfolg gebracht der Zugriff auf Anwendungs und Systemprotokoll wird immer noch verweigert. :-( Hat jemand noch eine Idee welchen Schalten man noch setzen muss ? Zitieren Link zu diesem Kommentar
onewayticket 10 Geschrieben 18. Oktober 2005 Melden Teilen Geschrieben 18. Oktober 2005 hallo, hast du eine vertrauensstellung eingerichtet so dass domäne a der domäne b vertraut? mfg onewayticket Zitieren Link zu diesem Kommentar
torsten73 10 Geschrieben 18. Oktober 2005 Autor Melden Teilen Geschrieben 18. Oktober 2005 ja ist eingerichtet .. aber nur einseitig. die Konten kann man sehen.... Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 18. Oktober 2005 Melden Teilen Geschrieben 18. Oktober 2005 Was für ein Trust ist das und welche Art der Authentifizierung benutzt (domänenweit oder selektiv) Zitieren Link zu diesem Kommentar
torsten73 10 Geschrieben 18. Oktober 2005 Autor Melden Teilen Geschrieben 18. Oktober 2005 Die Domäne A vertraut der Domäne B. Es sind zwei seperate Domänen die sonst nichts miteinander zu tun haben, jede hat seine eignene Struktur. Aber ich denke an der Vertrauensstellung liegt es nicht da bereits mehre Freigaben auf dieser Art Domänenübergreifend eingerichtet sind die Problemlos funktionieren. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 18. Oktober 2005 Melden Teilen Geschrieben 18. Oktober 2005 Das Problem an der ganzen Sache ist, dass sich meines Wissens nach nur das Sicherheitsprotokoll über Benutzerrechte öffnen lässt. Die Protokolle werden durch DACLs geschützt, die sich normalerweise über eine GUI nicht einstellen lassen. Ich kann ja auch als normaler User der eigenen Domäne nicht remote die Ereignisanzeigen eines Servers sehen (und mehr Berechtigungen hat der Benutzer der fremden Domäne ja auch nicht). Ist der fremde Benutzer oder die fremde Gruppe Mitglied z.B. der Administratoren des Servers (was sicherlich nicht erwünscht ist), kann problemlos auf alle Ereignisanzeigen zugegriffen werden. Deine Einstellungen für das config-Verzeichnis und für den Systemdienst lösen dieses Problem natürlich auch nicht. Ich habe im Internet mehrere Artikel gefunden, wie man diese Standard-DACLs entweder über die Registry oder über eine Gruppenrichtlinie verändern kann (alles nur Windows 2003). Wenn Du möchtest, kann ich Dir diese Artikel mal posten, aber ich kann Dir gleich sagen, dass es da richtig ins Eingemachte geht (man muss die Berechtigungen in der SDDL-Syntax angeben, ich persönlich habs ne Weile probiert und habe es nicht hinbekommen, was aber nicht viel zu sagen hat :D ). Ich habe auch diverse Versuche mit dem winreg-Key gemacht, die aber auch nicht gefruchtet haben. Es wäre natürlich möglich, dass ich im Moment auf dem total falschen Dampfer bin und es eine furchtbar einfache Ein-Klick Lösung gibt. Aber im Moment fällt mir beim besten Willen nichts anderes ein . Ich bitte um Korrektur, damit ich nicht **** sterbe :D Zitieren Link zu diesem Kommentar
torsten73 10 Geschrieben 19. Oktober 2005 Autor Melden Teilen Geschrieben 19. Oktober 2005 Hallo IThome, wäre nett wenn du mit die Infos an folgender Adresse torsten_ahlers@email.de schicken könntest. Auf eine andere Möglichkeit dir mir bis jetzt genannt worden ist das man sich eine MMC bastelt und die unter RUNAS diese MMC mit einen Benutzerkonto ausführt was die entsprechenden Rechte hat. Problem ist dabei das Passwort müsste im Klartext übergeben werden. Und die Sicherheitslücke ist einfach zu grosse ne Domäneadminaccout im Klartest zu hinterlegen. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 19. Oktober 2005 Melden Teilen Geschrieben 19. Oktober 2005 Aber das Kennwort wird doch gar nicht gespeichert, das gibst Du beim Ausführen des runas-Befehls ein (oder wahrscheinlich soll der das gar nicht wissen). Ich schicke Dir das heute abend mal zu oder poste es hier ... Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 19. Oktober 2005 Melden Teilen Geschrieben 19. Oktober 2005 Ich stelle diese Artikel einfach mal rein, hoffe aber, dass mir jemand, der begabter ist als ich, diese Syntax erklären kann :D http://support.microsoft.com/default.aspx?scid=kb;en-us;323076 http://www.codeproject.com/win32/accessctrl1.asp http://msdn.microsoft.com/library/default.asp?url=/library/en-us/secauthz/security/sid_strings.asp Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 20. Oktober 2005 Melden Teilen Geschrieben 20. Oktober 2005 Schade :( Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 20. Oktober 2005 Melden Teilen Geschrieben 20. Oktober 2005 Es gibt ein Benutzerrecht in den Gruppenrichtlinien "Verwalten von Überwachungs- und Sicherheitsprotokollen", ich glaube, dieses Recht sollte der Gruppe den Zugriff gewähren grizzly999 Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 20. Oktober 2005 Melden Teilen Geschrieben 20. Oktober 2005 Das gilt nur für das Sicherheitsprotokoll (alles schon durchprobiert) :) Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 20. Oktober 2005 Melden Teilen Geschrieben 20. Oktober 2005 Oh, sorry, nicht genau genug gelesen, ich dachte, genau das wolle er, aber er hatte das ja schon eingestellt :o grizzly999 Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 20. Oktober 2005 Melden Teilen Geschrieben 20. Oktober 2005 Interessant finde ich das schon, die Berechtigungen der Ereignisanzeigen via Gruppenrichtlinien einstellbar zu machen , ich frage mich nur, warum die das so kompliziert machen :suspect: Zitieren Link zu diesem Kommentar
torsten73 10 Geschrieben 21. Oktober 2005 Autor Melden Teilen Geschrieben 21. Oktober 2005 Komme erst am Montag oder Dienst dazu das hierumzusetzen Antwort werde ich dann hier posten. Danke für die Links Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.