-TylerDurden- 10 Geschrieben 27. Mai 2008 Melden Geschrieben 27. Mai 2008 Hallo zusammen, Gegegebenheiten: - Server: Win2k3 Server Std. SP2 in Domäne mit spezieller Applikation und passenden Diensten - Clients: WinXP SP2 in Domäne Anforderung: - Zwei User sollen keine Admin-Rechte auf dem System bekommen und sich auch nicht per RDP anmelden, sondern lediglich einige Dienste der Spezialapplikation stoppen/starten können Vorgehensweise: Auf dem Server angemeldet und per GPMC eine neue Richtlinie erstellt, in der in den Computereinstellungen die Spezialdienste für eine spezielle Gruppe(in der die beiden User Mitglied sind), berechtigt werden GPO nur mit dem jeweiligen Server verknüpft Mit einem der beiden User testweise per RDP angemeldet und getestet, ob Dienstneustart funktioniertErgebnis: OK, nur die berechtigten Dienste lassen sich verwalten MMC mit Dienste-SNAP-In erstellt, in dem direkt der spezielle Server angegeben wird MMC mit einem der beiden User gestartet und versucht, auf die Dienste zuzugreifenErgebnis: Fehle 5: Kein Zugriff auf RPC-Prozess oder so ähnlich Folgenden Artikel gefunden: Non-administrators cannot remotely access the Service Control Manager after you install Windows Server 2003 Service Pack 1--> Berechtigung gesetztErgebnis: Zugriff auf Dienste funktioniert per MMC, Aber: Ich sehe nur die allgemeinen Dienste und eben nicht die Spezialdienste, um die es mir ja geht. Führe ich die MMC als Admin aus, sehe ich alle Dienste. Hoffe, mir kann jemand helfen. Besten Dank im Voraus. Gruß, Stefan Zitieren
Wurstsalat 10 Geschrieben 27. Mai 2008 Melden Geschrieben 27. Mai 2008 hm warum du die nicht siehst wüsst ich jetzt nicht aber wieso löst du das nicht über ne batch mittels sc oder net? Zitieren
-TylerDurden- 10 Geschrieben 27. Mai 2008 Autor Melden Geschrieben 27. Mai 2008 Weil ich gerne vorhandene Mittel nutzen würde. Es sind ca. 10 Dienste und dann für jeden Dienst nen eigenen Eintrag mit Starten und stoppen...wäre natürlich möglich, aber es muss doch auch irgendwie anders gehen. Trotzdem danke für die Anregung. Zitieren
NorbertFe 2.167 Geschrieben 27. Mai 2008 Melden Geschrieben 27. Mai 2008 Ich sehe nur die allgemeinen Dienste und eben nicht die Spezialdienste, um die es mir ja geht. Führe ich die MMC als Admin aus, sehe ich alle Dienste. Was heißt Spezialdienste? Du siehst also von der XP Maschine aus alle Dienste ausser diese beiden? Falls ja, hast du die Berechtigungen auf diese Beiden Dienste denn bereits vergeben? Achso du bist übrigens nicht der Erste mit solchem Problem ;) Service Control Manager - Remotezugriff auf die Dienste eines Windows Server 2003 SP1 System Bye Norbert Zitieren
gysinma1 13 Geschrieben 28. Mai 2008 Melden Geschrieben 28. Mai 2008 Hallo Zusammen Das geht ... und zwar ohne Probleme jedoch nicht mit RDP sondern mit dem Rückgängigmachen, dass die services.msc auf den XP clients wieder angezeigt wird (siehe Gruppenrichtlinien - Übersicht, FAQ und Tutorials). Beide User in eine Domaingruppe (Domain Local) machen und diese Gruppe mit setacl auf die acl der Dienste berechtigen. Danach können die Dienste (auch wenns 10 sind) über services gestoppt und gestartet werden ohne Adminrechte. Machen wir oft bei unseren Kunden DB Server. Gruss MAtthias Zitieren
-TylerDurden- 10 Geschrieben 28. Mai 2008 Autor Melden Geschrieben 28. Mai 2008 Was heißt Spezialdienste? Du siehst also von der XP Maschine aus alle Dienste ausser diese beiden? Falls ja, hast du die Berechtigungen auf diese Beiden Dienste denn bereits vergeben? Moin und danke für deine Antwort. Mit Spezialdiensten meine ich die Dienste der Applikation (ca. 10 Dienste). Alle Windows-Standard-Dienste (Nachrichtendienst etc.) sehe ich. Falls ja, hast du die Berechtigungen auf diese Beiden Dienste denn bereits vergeben? Ja, die beiden User haben per GPO die Berechtigungen bekommen und per RDP funzt die Verwaltung ja auch. Nur halt nicht per Remote-Verwaltung. Das geht ... und zwar ohne Probleme jedoch nicht mit RDP sondern mit dem Rückgängigmachen, dass die services.msc auf den XP clients wieder angezeigt wird (siehe Gruppenrichtlinien - Übersicht, FAQ und Tutorials). Beide User in eine Domaingruppe (Domain Local) machen und diese Gruppe mit setacl auf die acl der Dienste berechtigen. Auch dir danke für deine Antwort, auch wenn ich nicht ganz schlau draus werde. Was bedeutet "Rückgängigmachen"? Und bei GruRiLi finde ich auch nicht direkt was Passendes. Hast du vielleicht nen Direktlink? Wie oben geschrieben, haben die User ja schon die Berechtigung zum Verwalten der Dienste, sie sehen sie halt nur nicht per Remote-Verwaltung. Zitieren
gysinma1 13 Geschrieben 28. Mai 2008 Melden Geschrieben 28. Mai 2008 Ja ic habe einen Direktlink. Mit dem SP2 von Windows 2003 ist es nicht mehr möglich, dass die Dienste alle angezeigt werden. (Das muss rückgängig gemacht werden). Mit einem sc-kommando ist das möglich. Ich bin leider bis am 9. Juni in den Ferien.Danach könnte ich Dir eine step-by-step Anleitung senden. Gruss Matthias Zitieren
-TylerDurden- 10 Geschrieben 28. Mai 2008 Autor Melden Geschrieben 28. Mai 2008 Mit dem SP2 von Windows 2003 ist es nicht mehr möglich, dass die Dienste alle angezeigt werden. (Das muss rückgängig gemacht werden). Ok, danke für die Info und das Angebot mit der Anleitung, aber ich muss das etwas schneller hinbekommen. Ich finde per google aber leider überhaupt keine Infos zu der Sache. Vielleicht kannst du mir ein paar Schlagworte zur Selbsthilfe liefern? Danke im Voraus. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.