Jump to content

Usern das starten/stoppen eines Dienstes erlauben


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Na ich denke anders herum der Server muss 2000 sein... der Client ist egal...

 

liegt an verstärkten Sicherheitseinstellungen beim 2k3 SP1 steht auch in der Beschreibung bei joeware so:

 

http://www.joeware.net/win/free/tools/svcutil.htm

To add to the story, Microsoft made an update to Windows Server 2003 SP1 that made it so you could change the SCM ACL. This was previously not something that could be done. When they did this, they locked down who could do remote enumeration of the Services. Because most everyone opened the SCM with GENERIC_READ, this means most tools (including Microsoft's own tools pre-K3SP1) used to access the SCM broke unless the user was an administrator on the server. Even if the specific services were delegated to the some non-admin user, unless the SCM was opened properly, they wouldn't be able to control those services remotely which resulted in admins giving out admin rights again or giving interactive logon rights to servers and having the non-admins logging directly into the servers to control their one service. I understand why MS went this direction, but unfortunately it didn't seem to be fully thought out as it probably should have been more widely announced so people understood what was going on, this has broken quite a few people.

 

LG Gadget

Link zu diesem Kommentar

Hoi again :)

 

Wie im Eröffnungstreat erwähnt ist folgende Software vorhanden und verteilt :

 

- DC = W2k SP 4

- Server auf dem der besagte Dienst läuft = W2k3 Standard SP 1

- Client WS = Win2000 Pro

 

GPO wurde lokal auf dem "Service-Host" - Server (sonst sehe ich den Dienst ja nicht) eingerichtet und zwar für die Gruppe jener Abteilung, dessen user diesen Dienst zu starten/stoppen in der Lage sein sollen.

 

Berechtigung : Starten/Stoppen + Lesen und hier natürlich auf "Manuell" eingerichtet.

 

Gruß, ShadowByte.

Link zu diesem Kommentar

Kannst Du im Detail noch einmal aufführen wie Du deine GPO konfiguriert hast ? Ich kann nicht recht beurteilen, ob ich zuviel oder überflüssig konfiguriert habe. Beispielsweise habe ich die GPO mit einer OU verknüpft, in der sich noch andere Mitgliedsserver befinden. Hier habe ich der GPO aufgegeben, daß sie sich explizit nur auf den "Service-Host" - Server anwenden soll.

 

Gruß, ShadowByte.

Link zu diesem Kommentar

so auch nochmal gestestet u. ich habs wieder geschafft, dass es mit sc.exe nicht geht... :D

 

Testumgebung 2k3 SP1 DC (DC1) u. XP Workstation, User Benutzer1 (Domänenbenutzer) soll den Spooler auf DC1 steuern können. Benutzer1 ist mitglied der Domänenlokalen Gruppe "IT"

 

1. Dienst konfiguriert u. der Gruppe IT nur Start, Stop Rechte vergeben geht nicht mit sc.exe u. svcutil

 

2. Dienst konfiguriert der Gruppe IT u. Lesen + Start, Stop rechte ... geht sc.exe u. svcutil

 

3. .... die Erweiterten Berechtigungen verändert (Berechtigung Lesen Rechte) entfernt => geht garnicht mehr

 

4. Dienst konfiguriert die Gruppe IT wieder komplett entfernt, danach hinzugefügt u. start, stop u. Leserechte vergeben.. => mit svcutil gehts mit sc.exe nicht...

 

[sC] OpenSCManager Failed 5:
Zugriff verweigert 

 

LG Gadget

Link zu diesem Kommentar

C:\Dokumente und Einstellungen\Benutzer1\Eigene Dateien>sc \\dc1 stop spooler
[sC] OpenSCManager FAILED 5:

Zugriff verweigert


C:\Dokumente und Einstellungen\Benutzer1\Eigene Dateien>svcutil.exe dc1\spooler
view

SvcUtil V02.04.00cpp  Joe Richards (joe@joeware.net) June 2005

SERVICE_NAME: spooler
DISPLAY NAME: Druckwarteschlange
       TYPE                 : 272  WIN32_OWN_PROCESS (interactive)
       STATE                : 4  RUNNING
                                 (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
       WIN32_EXIT_CODE      : 0  (0x0)
       SERVICE_EXIT_CODE    : 0  (0x0)
       CHECKPOINT           : 0x0
       WAIT_HINT            : 0x0

C:\Dokumente und Einstellungen\Benutzer1\Eigene Dateien>svcutil.exe dc1\spooler
stop

SvcUtil V02.04.00cpp  Joe Richards (joe@joeware.net) June 2005

Stopping service...
Service stopped successfully. 

 

naja is mir jetzt auch wurst, lass ich jetzt einfach mal auf sich beruhen.

 

LG Gadget

Link zu diesem Kommentar

Ich traue mich gar nicht euch kund zu tun, warum SC.exe bei mir funktionierte :( . Mir ist ein peinlicher (klitzekleiner) Fehler unterlaufen ... ein blutiger Anfängerfehler ... :o.

 

Aber hey, ich bin ja noch Anfänger und daher traue ich mich doch :

 

Ich habe in unserer Testumgebung den dummy-user "Test" für gleichnamige Zwecke eingerichtet. Mit diesem habe ich oben beschriebenes getestet. Leider hatte ich übersehen, daß sich dieser "user" noch von einer vorangegangenen Teststellung in der Grp "Administratoren" befand .... :cry:

Nun ist klar warum SC.exe bei mir funktionierte. Nachdem ich "Test" aus der Grp genommen hatte, funktionierte es natürlich auch nicht mehr.

 

Sorry, wenn ich jemanden mit meiner Falschaussage zu einem Mehraufwand an "Testzeit" veranlasst habe ("... das muss doch bei mir auch funktionieren ... :suspect: ...").

 

@ Kohn : Ist das Tool svcutil.exe Bestandteil des ressourceKit´s bzw. AdminPak´s ? Läuft das auch auf W2k Pro Clients ?

 

Danke nochmal für eure Bemühungen !

 

Gruß, ShadowByte.

Link zu diesem Kommentar
  • 3 Wochen später...

War einige Zeit verhindert ... sorry.

 

Unsere Domäne läuft leider nicht im nativ-mode, da es hier scheinbar noch ein paar Dienste geben soll, die in diesem mode nicht mehr auszuführen wären ( :suspect: ) ... frag mich nicht ... (achselzuck).

 

In der GPO habe ich nun der grp ABTEILUNG die Berechtigung starten/stoppen des entsprechenden Dienstes erteilt. Die Mitarbeiter arbeiten auf einer Win2k Pro WS. Das tool SC.exe ist dem OS der WS offensichtlich nicht "bekannt" ... wie hast Du das realisiert ?

 

Gruß, ShadowByte.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...