Jump to content
Sign in to follow this  
lefg

Ausführen mit erhöhen Rechten

Recommended Posts

Hallo Gemeinde,

 

ich habe ein Problem und stecke im Stau. :)

 

Es gibt eine 2k3-Domäne und eine Reihe von Computerräumen. Das Drucken mit den Rechnern der einzelnen Räume soll durch Stoppen und Starten der Spooler der WS geregelt werden.

 

Dafür gibt es auf einem DC eine Batch je Raum , diese spricht die WS per psservice von Sysinternals.com an. Das Funktioniert auch ohne Probleme. Die Batch soll auf dem Server/DC ablaufen.

 

Der Dozent soll am Dozentenrechner das Drucken ermlöglichen oder verbieten können. Das soll mit psexec(Sysinternals) und Parameter auf DozWS auf der WS geschehen. Eine Verknüpfung der psexec liegt auf dem Desktop des Dozenten. Mit administrativen Rechten funktioniert das auch:

- ein Administrator kann es ausführen

- ist die Gruppe der Dozenten Mitglied der Gruppe der Administratoren, ist die Ausführung möglich

- Mit Ausführen als lokaler Administrator, als Administrator der Domäne funktioniert es auch

 

Nun meine ich einen Möglichkeit in Erinnerung zu haben, ein Programm immer mit erhöhten Rechten ausführen zu können. Ich meine, es sei eine Gruppenrichtlinie. Ich werde im Moment aber nicht fündig.

 

Hat jemand einen Tipp für mich?

 

Dank für Aufmerksamkeit und Rat.

 

Edgar

Share this post


Link to post
Share on other sites
meinst du vielleicht das Thema " runas " ?
Hallo XP-Fan,

 

ich denke denke mal, Runas ist nicht anderes als "Ausführen als" in seiner CMD-Form. Dazu muss ein Benutzername und ein PW angegeben werden.

 

Das ist nicht praktikabel, bei Änderung des PW im AD läuft das nicht mehr. Es darf keine Bastellösung sein, die bei Änderung anderer Parameter nicht mehr funktioniert.

 

Dank und Gruß

 

Edgar

Share this post


Link to post
Share on other sites

Hi Edgar

 

Versteh ich dich richtig, dass die Dozenten WS die Printserver der jeweiligen Räume sind? Wenn ja, wäre es dann nicht praktikabler über GPO das Starten und Stoppen des Spooler Service den Dozenten zu gewähren?

 

 

Gruss

Velius

Share this post


Link to post
Share on other sites
Versteh ich dich richtig, dass die Dozenten WS die Printserver der jeweiligen Räume sind?
Hallo Velius,

 

nein, die Dozentenrechner sind nicht Printserver.

 

PS sind Geräte aus dem SB-Bereich, die Preisgünstigen.

 

Gestartet und Gestoppt werden die Spooler auf den Rechnern der Studierenden. Sie sollen erst garnicht zum Drucken kommen, keine Jobs in die Queue schicken.

 

Man hat mir vorgeschlagen, einen richtigen Printserver zu nehmen und mit Berechtigungen zu arbeiten. Derjenige hat mal Netware 3.11 administriert. Was nützt es, wenn Jobs abschickt und in die Queue eines PS landen? Nach dem Enable werden diese abgearbeitet. Die grossen PS haben wir extra abgeschafft, die liefen entweder dauernd (Strom-, Wartungskosten) oder wurden abgeschaltet und vergessen wieder einzuschalten (wir können schon wieder nicht drucken). Im günstigenFall schreibt jemand (ein Kunde, die Studierenden sind zahlende Kunden) einen Brief an die Leitung. Ungünstiger ist das Gerücht in den Kneipen der Schüler und Studenten über unsere Unfähigkeit und nichtfunktionierende Ausstattung.

 

Ich habe mir das Konzept ausgedacht, vom Prinzip her funktioniert es. Mit den Ausführungsrechten für die psexec auf dem Dozentenrechner habe ich den vorkommenden Hänger. Ich kann die Gruppe der Dozenten natürlich auch in die der Domänenadmins aufnehmen. Früher waren die Dozenten deren Mitglieder. Das wurde abgeschafft, soll möglichst nicht wieder eingeführt werden.

 

Die Gruppe der Dozenten könnte wohl auch in die Gruppe der Administratoren der lokalen Rechner(Dozentenrechner) aufgenommen werden.

 

Gruß

 

Edgar

Share this post


Link to post
Share on other sites

Ach jetzt versteh ich das. Du möchtest also durch das Bacth-File die Spooler auf den Client WS Starten/Stoppen.....

 

Hmm...knifflig. Es gibt eine GPO Einstellung die MSI Pakete mit erhöhten Rechten ausführt, aber für Batches wäre mir das neu.

Share this post


Link to post
Share on other sites
Du möchtest also durch das Bacth-File die Spooler auf den Client WS Starten/Stoppen......
Genau das mache ich, es fuktioniert wunderbar. Eine Startskript in der Computerkonfiguration führt den Stopp durch.
Es gibt eine GPO Einstellung die MSI Pakete mit erhöhten Rechten ausführt, aber für Batches wäre mir das neu
Daher kommt mein Erinnerungsfragment, inzwischen ist mir das wieder eingefallen. Das ist natürlich in diesem Falle nicht brauchbar.

Share this post


Link to post
Share on other sites

Hintergrund für die ganze Geschichte sind die Druckkosten.

 

Bislang werden in eingen zeitweise frei Räumen Skripte gedruckt ohne Ende. Diejenigen gehen natürlich nicht zum kostenpflichtigen Kopierer.

Ein Haufen Papier landet auch in der Altpapierkiste, dazu kommen noch Toner- und Wartungskosten.

 

Wir wollen auf die Bremse treten:

 

- die Studierenden sollen per Default nicht drucken können

- zur Dokumentation der Unterrichtsarbeit soll der Dozent das Drucken erlauben können und auch wieder die Erlaubnis entziehen. Das per Mausklick auf ein Icon

- mit Abmelden des Dozenten am Rechner erlischt die Druckerlaubnis

- der Dozent wird bei Inaktivität automatisch abgemeldet

Share this post


Link to post
Share on other sites

also wenn ich das recht verstehe dann sollen die dozenten den spooler auf den lokalen clients starten können?

 

eine frage:

 

wäre es eine idee eine domänen gruppe "dozenten" zu schaffen, wenn es diese nicht schon gibt. dieser domänen gruppe "dozenten" erlaubst du auf den lokalen PC's per GPO dienste starten zu dürfen. damit wären sie keine domänen-admins und können dennoch den dienst starten und du musst kein PW irgendwo hinterlegen. habe ich einen aspekt vergessen oder etwas falsch verstanden?

Share this post


Link to post
Share on other sites

Sowas ähnliches hatten wir vor kurzem (das Thema, einen Spoolerdienst remote mit Benutzerrechten zu starten). Vielleicht hilft es Dir ja ...

http://www.mcseboard.de/showthread.php?t=81160&page=2&pp=10&highlight=sc.exe

An PSEXEC und SC (wenn der User keine Administrationsrechte hat) bin ich gescheitert, mit diesem Tool klappt es auch ohne ...

Share this post


Link to post
Share on other sites
also wenn ich das recht verstehe dann sollen die dozenten den spooler auf den lokalen clients starten können??
Nur indirekt.

 

Das Programm -eine Batch- zum Beenden/Starten der Spooler auf den WS wird und soll auf dem Server ausgeführt werden, nicht auf den jeweiligen Dozentenrechner.

wäre es eine idee eine domänen gruppe "dozenten" zu schaffen, wenn es diese nicht schon gibt. dieser domänen gruppe "dozenten" erlaubst du auf den lokalen PC's per GPO dienste starten zu dürfen.
Das hatte ich gestern vorgestern für eine andere OU (R201) bereits gemacht, es brachte keinen Erfolg. Ich muss gestehen, ich habe es vergessen, deshalb nicht erwähnt.

 

Für diese OU (R411) habe ich es nun nochmals durchgeführt per GPO. Ein Dozent kann an seinem lokalen Rechner den Spooler beenden und starten.

habe ich einen aspekt vergessen oder etwas falsch verstanden?

Ich habe es einige Zeilen vorstehend schon geschildert. Die Batch zum Starten und Stoppen soll auf dem Server ablaufen und nur dort.

 

Es sind zwei Batches, eine StartP.bat und eine StopP.bat.

 

Zum Ablaufen der Batches habe ich mir psexec ausgewählt und umbenannt in StartP.exe und StopP.exe.

 

Davon habe habe ich jeweils eine Verknüpfung angelegt, mit den nötigen Parametern und einem geeigneten Icon versehen.

 

Das jeweil nötige Icon erscheint auf dem Desktop des Dozenten. Ist der Spooler gestartet, erscheint das Icon mit der Verknüpfung zum Stoppen auf dem Desktop des Dozenten. Mit Betätigen des Icons wird StopP.exe mit den nötigen Parametern aufgerufen und startet auf dem Server die StopP.bat.

Diese beendet macht folgendes:

 

- auf den WS werden die Spooler beendet

- der Spoolerstatus wird ermittelt und in eine Datei geschrieben

- das Icon (Verbiete das Drucken) auf dem Dozentendesktop wird gelöscht

- die Informations-Icon (Drucken ist erlaubt) verschwindet von allen Desktops der betroffenen Rechner

- das Icon (Erlaube das Drucken) wird auf den Dozentendesktop kopiert

- das Informations-Icon (Drucken ist gesperrt) wird auf die Desktops aller betroffener Rechner kopiert

 

Mit dem Betätigen der Verknüpfung "Erlaube das Drucken" führt die StartP.exe(psexec.exe) die StartP.bat aus:

- die Spooler auf den WS werden gestartet

- die Stati werden ermittelt und in eine Datei geschrieben

- das Icon "Erlaube das Drucken" verschwindet von Desktop des Dozenten

- das Informations-Icon "Drucken ist gesperrt" verscwindet vom Desktop der betroffenen Rechner

- das Icon "Verbiete das Drucken2 wird auf den Dozentendesktop kopiert

- das Informations-Icon "Drucken ist ERLAUBR2 wird auf die Desktops aller betroffener Rechner kopiert

 

- Das Ganze ist alse ein Wechselspiel, eine Umschaltung.

 

Es funktioniert scheinbar sehr zufriedenstellend.

 

Das eine schon geschilderte Problem ist die Ausführung auf Server. Ist der Dozent nicht Angehöriger der Administratoren, wird die jeweilige Batch auf dem server nicht gestartet.

 

Ein zweites Problem ist mir inzwischen aufgefallen. Mit Beenden des Spoolers werden nicht nur die Jobs realen Drucker unwirksam, auch die virtuellen Drucker Adobe-PDF, Lexmark-PDF können nicht mehr genutzt werden.

Share this post


Link to post
Share on other sites
Sowas ähnliches hatten wir vor kurzem (das Thema, einen Spoolerdienst remote mit Benutzerrechten zu starten). Vielleicht hilft es Dir ja ...

http://www.mcseboard.de/showthread.php?t=81160&page=2&pp=10&highlight=sc.exe

An PSEXEC und SC (wenn der User keine Administrationsrechte hat) bin ich gescheitert, mit diesem Tool klappt es auch ohne ...

Die Spooler selbst werden mit psservice \\Host start/stop spooler bearbeitet.

 

Das funktioniert ohne Probleme.

 

Die obrige Empfehlung werde ich mir morgen nochmals anschauen.

 

Off-Topic:

Ich denke, es wird Zeit für Feierabend, meine alte Dame wartet auf ihren Sohn, der das Treppenhaus reinigt. :)

Ich danke allen Beteiligten für Rat und Hilfe, einen schönen Abend wünsche ich.

 

Edgar

Share this post


Link to post
Share on other sites
Da muss ich ja zugeben, dass ich das Problem offensichtlich gar nicht verstanden hatte :rolleyes:
Es ist auch nicht einfach zu schilden, meine ich. Das schrieb ich heute Nachmittag im OT schon an Velius.

 

Ich gebe hier gern nochmals eine grobe Übersicht:

 

Den Studierenden soll per Default das Drucken verweigert und nur durch den Dozenten bei Bedarf erlaubt und auch wieder entzogen werden.

 

- das Startskript einer GP beendet nach dem Systemstart den Spooler

- beim Anmelden eines Benutzers wir eine Datei %computername auf den Server geschrieben, meldet sich ein Benutzer ab, wird der Eintrag gelöscht

 

- der Dozent kann das Drucken erlauben

- beim Erlauben werden die Rechnernamen (%computername%) mit Dir /b > in eine CollectingHost.txt gefasst. Diese bildet eine Datenbasis, damit sind die angemeldeten Rechner bekannt, denen das Drucken erlaubt oder die Erlaubnis wieder entzogen werden kann.

 

Das Andere ist prinzipiell geschildert, einige Einzelheiten fehlen noch.

 

Hat der Dozent das Drucken gestattet, und komme User verspätet hinzu, erhalten sie automatisch das Druckrecht, der Dozent muss nicht nachbessern. Diese Feature muss ich noch bauen.

 

Meldet sich der Dozent an seinem Rechner ab, erlischt das Druckrecht für die User. vergisst der Dozent das Abmelden, hat er den Rechner gesperrt, ist er inaktiv, wird er nach 30 Minuten abgemeldet, das Druckrecht erlischt. Ich kenne meine Pappenheimer. :D

Share this post


Link to post
Share on other sites

*Lautüberleg*, wäre es nicht möglich, sowas zu realisieren, ohne den Spoolerdienst abzuschalten, sondern wenn man dynamisch entsprechende Berechtigungen auf die speziellen Drucker gewährt bzw. verweigert (mit SUBINACL) ?

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...