Benutzer auf nur einen Dienst berechtigen

[m43stro 10]

Hallo Leute,

 

besteht die Möglichkeit einen normalen User das Recht zu geben einen Dienst starten und stoppen zu können?

Er soll z. B. nur DHCP via cli starten und stoppen können, sonst nichts anderes, damit er kein Unfug veranstalten kann.

 

Danke

[IThome 10]

Das kannst Du mit SC.EXE machen oder mit SVCUTIL ...

SvcUtil

Die Dienstberechtigungen kannst Du via GPO einstellen ...

Computerkonfiguration - Windowseinstellungen - Sicherheitseinstellungen - Systemdienste

[m43stro 10]

Danke für die prompte Antwort.

Mit dem Tool kann ich ja alle Dienste kontrollieren.

Außerdem wird doch das Tool mit dem Recht des Users ausgeführt.

So wie ich verstanden habe, fragt das Tool bei bestimmten Diensten die Berechtigung ab.

Somit das Dienstkonto oder?

 

Mich würde interessieren ob ich dem User in einer Domain das Recht geben darf ein Dienst auf einem 2k3 Server stoppen zu dürfen.

Ich würde da gerne auf das Tool verzichten.

Schließlich kann man auch mit net stop den Dienst stoppen.

Das Tool erleichtert es nur oder übersehe ich da etwas?

[lefg 276]

Wir geben unseren Usern keine Berechtigungen für sowas; es besteht dafür nämlich kein Grund, es darf keinen (scheinbaren) Grund dafür geben.

[m43stro 10]

Der Grund ist einfach, dass der Admin des Kunden nicht auf die Maschinen von uns komplett zugreifen soll. Wir wollen somit den einschränken. Gründe gibt es immer, die Frage ist nur was man installiert. Der User soll einen Dienst stopen dürfen um user importieren zu können. Anschließend muss der Dienst wieder gestartet werden.

[IThome 10]

Das Tool beendet einen Dienst auf einem anderen Gerät. Die Berechtigung dafür musst Du auf dem Rechner einstellen, auf dem dieser Dienst läuft ...Mit NET STOP kannst Du nur lokal einen Dienst beenden oder starten. Wenn es NET STOP sein soll, dann kannst Du Dich vorher mit PSEXEC zu dem entsprechenden Server verbinden. Die Dienstberechtigungen müssen in jedem Fall gesetzt werden.

[m43stro 10]

Nein sorry, der Dienst muss natürlich auf einer anderen Kiste beendet werden.

net stop bietet es ja nicht, Asche über mein Haupt.

 

Die letzte Frage ist nur, wie setzte ich die Dienstberechtigungen?

Auf ein Laufwerk kann ich ja einen Benutzer berechtigen oder eben Gruppenrichtlinien aber wie berechtige ich ihn lokal auf ein Dienst?

[IThome 10]

Via GPO, wie in #2 beschrieben ...

[lefg 276]

Möglicherweise hilft das auch weiter.

 

Microsoft Corporation

[m43stro 10]

Via GPO, wie in #2 beschrieben ...

 

Also Systemdienste kann ich nicht auffinden.

Was ich finde ist:

 

Local Computer Policy

-Computer Configuration

--Windows Settings

---Security Settings

----Account Policies

----Local Policies

----Public key Policies

----Software Restriction Policies

----IP Security Policies on local Computer

 

Services fehlen da irgendwo.

Schaue ich an der falschen Stelle?

 

edit: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/03bf3f15-cad4-423c-95b4-a284e35cd589.mspx?mfr=true

Hinweise

• Diese Einstellung wird im lokalen Computerrichtlinienobjekt nicht angezeigt.

 

Scheint eine Funktion in der Domain zu sein.

Ich benötige jedoch eine lokale Lösung.

Daher gilt es leider nicht.

 

Jemand eine Idee?

[Canni 11]

Hallo,

 

ist ganz einfach, musste das auch machen, weil unser Chef Zugriff auf die Dienste der Buchhaltungssoftware benötigt, um Backups zurück zu spielen. Dass er damit eines Tages Mist baut, weiß ich ganz genau, das ist aber ein anderes Thema :-)

 

1. Du musst dafür sorgen, dass der User auf Deinem Server Zugriff auf den Dienst hat. Erstelle in der OU Deines Servers ein neues GPO und definiere dort in den Computereinstellungen --> Windows-Einstellungen --> Sicherheitseinstellungen --> Systemdienste die entsprechenden Berechtigungen auf den Dienst (ist selbsterklärend).

 

Ob das wirklich nur in der Domäne geht?

 

2. Ermögliche dem User, z.B. mit SC.EXE, die Steuerung dieses Dienstes.

 

Gruß

Canni

[IThome 10]

Du musst dafür sorgen, dass der User auf Deinem Server Zugriff auf den Dienst hat. Erstelle in der OU Deines Servers ein neues GPO und definiere dort in den Computereinstellungen --> Windows-Einstellungen --> Sicherheitseinstellungen --> Systemdienste die entsprechenden Berechtigungen auf den Dienst (ist selbsterklärend).

Domäne ist offensichtlich nicht verfügbar ;)

@TO

Dann musst Du Dir eine Sicherheitsvorlage mit der entsprechenden MMC-Konsole erzeugen und die via SECEDIT oder der MMC-Konsole Sicherheitskonfiguration- und Analyse anwenden.

[m43stro 10]

Danke für die beiden Möglichkeiten.

Da ich mit Sicherheitsvorlagen noch nie gearbeitet habe, würde ich gerne die Lösung von Canni zuerst probieren.

 

Ich gehe davon aus, dass man die Steuerung eines Dienstes via sc config ermöglichen kann oder?

 

Zumindest ist es der einzige Parameter, der die Konfiguration ändert.

 

sc config

 

Modifies a service entry in the registry and Service Database.

SYNTAX:

sc <server> config [service name] <option1> <option2>...

CONFIG OPTIONS:

NOTE: The option name includes the equal sign.

type= <own|share|interact|kernel|filesys|rec|adapt>

start= <boot|system|auto|demand|disabled>

error= <normal|severe|critical|ignore>

binPath= <BinaryPathName>

group= <LoadOrderGroup>

tag= <yes|no>

depend= <Dependencies(separated by / (forward slash))>

obj= <AccountName|ObjectName>

DisplayName= <display name>

password= <password>

 

Wie lääst sich damit ein Benutzer auf den Dienst berechtigen?

Es ist nicht wirklich ersichtlich.

[IThome 10]

Soweit ich weiss, kannst Du mit SC die Berechtigungen nur in SDDL-Syntax vornehmen ...

Empfohlene Vorgehensweisen und Leitfaden für Verfasser von DACLs für Dienste

Was ist da jetzt einfacher zu konfigurieren ?

[m43stro 10]

in eier Domäne scheint es viel einfacher zu sein:

Das habt Ihr ja bereits in dem Beitrag ausgiebig diskutiert.

http://www.mcseboard.de/windows-forum-ms-backoffice-31/usern-starten-stoppen-dienstes-erlauben-8-86287.html

 

Habe gerade eine neue Vorlage laut Deinem Hinweis gebastelt.

In der Vorlage habe ich nur bei dem jeweiligen Service Startupmode auf Automatic gestellt und einem TestUser das stoppen, starten und pausieren erlaubt.

Anschließend habe ich das Template gespeichert und mit dem Analysetool eingespielt.

 

Habe eine cmd als Testuser mit runas geöffnet und getestet und es funktioniert.

Vorher bekam ich eine Fehlermeldung nr. 5 Zugriff Verweigert und nun läuft es.

Danke Dir sehr.

 

Mein letztes Problem besteht darin, dass ich von einem anderen Rechner keinen Zugriff erhalten. Bis jetzt habe ich das nur lokal auf der Kiste getestet.

Jetzt arbeitet der User ja auf einer XP-Kiste und soll von da aus mit dem svcutil den Dienst stoppen können. Habe schon versucht eine cmd als

>runas /user:10.1.1.4\testuser cmd

zu öffnen doch vergeblich.

 

Eine Idee womit ich das erledigen kann?

 

edit: habe gerade mit runas /netonly /user:10.1.1.4\testuser cmd geschafft die cmd zu öffnen.

Komischerweise verbietet er mir den Dienst zu stoppen.

Lokal geht es, remote von einem xp-client via runas nicht ?!?