Magpie 10 Geschrieben 11. Dezember 2009 Melden Teilen Geschrieben 11. Dezember 2009 Hallo, ich habe Windows Server 2003 als kleinen Webserver mit Apache, MySQL und PHP auf einer VMware eingerichtet und versuche nun schon seit Tagen herauszufinden, wie man ein Benutzerkonto ohne Active Directory zu aktivieren erstellen kann. Das Problem ist, dass das Konto die Rechte "als Dienst ausführen" und nur Zugriff auf das Apache-Verzeichnis haben soll. Damit soll dann Apache ausgeführt werden auch wenn keiner angemeldet ist. Es ist das erste Mal, dass ich mit einem Server zu tun habe, daher habe ich noch nicht viel Ahnung. Hab schon durch Ausführen von "rundll32 netplwiz.dll,UsersRunDll" ein Benutzerkonto mit Benutzerrechten anlegen können. Mit "services.msc" habe ich auch schon geschaft, dass Apache von diesem Konto ausgeführt wird. Allerdings will Apache dann bei einem Neustart nicht wieder laufen, schliesslich bin ich dann ja immer noch als Admin drin. Als Apache kann ich mich aber auch nicht extra anmelden (was auch später so sein sollte eigentlich), denn das Benutzerkonto hat keine Remotedesktopverbindungsrechte. Kann mir da bitte jemand weiterhelfen? Vielen Dank schon Mal für's Lesen! Gruß, Magpie^^ Zitieren Link zu diesem Kommentar
de.le 10 Geschrieben 11. Dezember 2009 Melden Teilen Geschrieben 11. Dezember 2009 Hallo. Na da hast du doch schon die Hälfte geschaft, zwar auf unkonventionellem Weg, aber das Ergebnis ist entscheident. Leider hast du nicht geschrieben, in welcher Gruppe dein Apache-Benutzer mitglied ist. Öffne zu erst die Computerverwaltung unter Start > Systemsteuerung > Verwaltung und geh zur lokalen Benutzerverwaltung (lokale Benutzer und Gruppen > Benutzer), dort öffnest du die Eigenschaften vom deinem Apache-Benutzer und schaust unter Mitlgiedschaft nach, in welche Grupper der "Bursche" steckt. Entfernst den Benutzer aus allen Gruppen und steckst ihn in die Gruppe "Benutzer". Nun öffnest du die Lokale Sicherheitsrichtlinie (Start > Systemsteuerung > Verwaltung) navigierst zum Punkt Lokale Richtlinien > Zuweisen von Benutzerrechten und trägst deinen Benutzer bei "Als Dienst anmelden" ein. Ab jetzt hat dein Benutzer das Rechte auch Dienst ausführen zu dürfen. Zitieren Link zu diesem Kommentar
Magpie 10 Geschrieben 11. Dezember 2009 Autor Melden Teilen Geschrieben 11. Dezember 2009 Vielen Dank! Das Benutzerkonto ist Mitglied von Benutzer und sollte sich nun auch als Dienst anmelden. Leider startet Apache immer noch nicht, auch nicht nach dem Neustart des Servers. Und wie kann ich den beschränkten Zugriff festlegen? Gruß, Magpie. Zitieren Link zu diesem Kommentar
de.le 10 Geschrieben 11. Dezember 2009 Melden Teilen Geschrieben 11. Dezember 2009 Und in der lokalen Sicherheitsrichtlinie hast du den Benutzer das Recht erteilt? Ich gehe davon aus, dass du das Passwort korrekt eingegeben hast. Bei weiteren Problemen bitte in der Ereigenisanzeige unter System nach Fehermeldungen von Quelle "Service Control Manager" schauen und posten. Den Zugriff beschränken kannst du am Einfachsten, in dem Du die Eigenschaften von der Festplatte öffnest und unter Sicherheit deinen Benutzer hinzufügst und anschließend Vollzugriff verweigerst. Dann öffnest du die Eigenschaften vom Apache-Ordner und deaktivierst die Vererbung (unter Erweitert) und erteilst deinem Benutzer lese/ausführen-Zugriff. Nur als Tipp: PHP kannst du auch mit IIS ausführen php isapi - Google-Suche, dabei hast du mehr Möglichkeiten bei Sicherheitseinstellungen. Zitieren Link zu diesem Kommentar
Magpie 10 Geschrieben 11. Dezember 2009 Autor Melden Teilen Geschrieben 11. Dezember 2009 So...ja, hab das Recht wie beschrieben erteilt und das Passwort sollte auch richtig sein. Nach längerem Probieren habe ich feststellen müssen, dass sich Apache nicht starten lässt, wenn man sich unter dem neuen Benutzerkonto "Apache" anmeldet. (Habe für's Testen das Remotedesktopverbindungsrecht zugewiesen.) Wenn ich unter "Dienste" auf Apache doppelklicke und dann das neue Benutzerkonto samt Passwort bei "anmelden als dieses Konto" angebe, sollte Apache doch von diesem Benutzer auch ausführbar sein. Oder habe ich weitere wichtige Einstellungen übersehen? Unter "Lokale Benutzer und Gruppen" kann ich bei den Eigenschaften des Benutzerkontos auch eine Umgebung angeben. Da habe ich auch schon versucht anzugeben, dass mit der Anmeldung das Programm "httpd.exe -k runservice" angemeldet werden soll. Die Ereignisanzeige konnte ich nur über den Suchbefehl finden, also hoffe ich mal, dass es die richtige ist. Dort steht als Fehler unter System von Quelle "Service Control Manager" mit Fehlerkennung 7024 und Benutzer "nicht zutreffend": "Der Dienst "Apache2.2" wurde mit folgendem dienstspezifischem Fehler beendet: 1 (0x1)." Wenigstens das mit dem Rechte Zuweisen hat geklappt. Lieben Gruß, Magpie Zitieren Link zu diesem Kommentar
de.le 10 Geschrieben 11. Dezember 2009 Melden Teilen Geschrieben 11. Dezember 2009 Starte doch mal die cmd.exe und führe folgneden Befehl aus: runas /user:Apache-user apache.exe Benutzst du xampp? Zitieren Link zu diesem Kommentar
Magpie 10 Geschrieben 11. Dezember 2009 Autor Melden Teilen Geschrieben 11. Dezember 2009 (bearbeitet) Nein, ich benutze kein xampp. Habe Apache und die anderen Anwendungen seperat installiert und konfiguriert. Wenn ich runas/user:Apache httpd.exe im Ordner C:\WWW\Apache2.2\bin aufrufe dann bekomme ich ausser folgender Meldung nix: Es wird versucht, httpd.exe als Benutzer "Apache" zu starten... Habe zuvor auch versucht den Befehl sofort in der Konsole auszuführen oder auch mit apache.exe. Dann hiess es aber, dass die Datei nicht aufzufinden ist. Unter "Dienste" steht in den Eigenschaften von Apache als Pfad zu exe Datei: "C:\WWW\Apache2.2\bin\httpd.exe" -k runservice bearbeitet 11. Dezember 2009 von Magpie Zitieren Link zu diesem Kommentar
de.le 10 Geschrieben 11. Dezember 2009 Melden Teilen Geschrieben 11. Dezember 2009 Es wird versucht, httpd.exe als Benutzer "Apache" zu starten... Hast du mal im Taskmanager geguckt, ob der Prozess anschließend nocht lief??? Zitieren Link zu diesem Kommentar
Magpie 10 Geschrieben 11. Dezember 2009 Autor Melden Teilen Geschrieben 11. Dezember 2009 (bearbeitet) Wenn ich Apache als Admin ausführe, werden beim Starten gleich 2 Prozesse namens httpd.exe angezeigt und beim Beenden verschwinden beide. Stelle ich wieder um auf "anmelden als dieses Konto: Apache" und führe das runas /user:Apache httpd.exe aus, wenn die Prozesse noch laufen, passiert nix, d.h. beide Prozesse von vorhin sind noch da. Wenn Apache beendet ist und ich den Befehl ausführe wird ganz kurz ein der Prozess runas erstellt und verschwindet wieder. Übrigens finde ich seltsam das ich als Admin, obwohl "anmelden als dieses Konto: Apache" eingestellt ist, Apache neustarten oder stoppen kann. Nur Starten kann ich es nicht mehr. Ach ja...habe in der Ereignisanzeige auch unter Anwendungen gesehn. Dort steht als Fehler beim Versuch Apache zu starten: The Apache service named reported the following error: >>> (20024)The given path is misformatted or contained invalid characters: Invalid config file path C:\\WWW\\Apache2.2\\conf\\httpd.conf Tja...aber die Datei liegt genau da! bearbeitet 11. Dezember 2009 von Magpie Zitieren Link zu diesem Kommentar
Magpie 10 Geschrieben 11. Dezember 2009 Autor Melden Teilen Geschrieben 11. Dezember 2009 Hehe...ein Benutzerkonto welches Apache als Dienst ausführen kann ist dann wohl doch nicht so einfach! Vielen Dank de.le für deine freundliche Hilfe! Ich werde am Montag wieder versuchen den Fehler zu finden, aber jetzt habe ich eine Verabredung mit einem Elektriker und meinem Ofen^^. Lieben Gruß, Magpie Zitieren Link zu diesem Kommentar
de.le 10 Geschrieben 11. Dezember 2009 Melden Teilen Geschrieben 11. Dezember 2009 Führe doch mal den Befehl cacls C:\WWW aus und Poste das Ergebnis... Zitieren Link zu diesem Kommentar
Magpie 10 Geschrieben 14. Dezember 2009 Autor Melden Teilen Geschrieben 14. Dezember 2009 Guten Morgen! Zuvor hatte ich dem Benutzerkonto "Apache" überall den Zugriff verweigert ausser im Verzeichnis C:\WWW\Apache2.2\, aber weil Du dich nach C:\WWW informierts, habe ich nun für dieses Verzeichnis dem Benutzerkonto Lesen- und Ausführen-Rechte zugewiesen. C:\WWW VORDEFINIERT\Administratoren:F COMPUTER\Apache: (OI)(CI)R COMPUTER\Apache: (OI)(CI)N VORDEFINIERT\Administratoren: (OI)(CI)F VORDEFINIERT\Benutzer: (OI)(CI)R VORDEFINIERT\Benutzer: (CI)(Neschränkter Zugriff: ) SYNCHRONIZE FILE_APPEND_DATA VORDEFINIERT\Benutzer: (CI)(Beschränkter Zugriff: ) SYNCHRONIZE FILE_WRITE_DATA ERSTELLER_BESITZER: (OI)(CI)(IO)F NT-AuTORITÄT\SYSTEM(OI)(CI)F Geändert hat sich bislang trotzdem Nichts. Stelle ich unter Dienste bei Apache ein, dass der Dienst als das Konto "Apache" angemeldet werden soll, so lässt sich Apache als Administrator im Apache Service Monitor neustarten (wenn es denn noch läuft) oder stoppen. Starten kann man es nicht, nicht als Admin, noch als "Apache" angemeldet. Wird der Rechner neugestartet, so ist Apache gestoppt. Wenn man unter Dienste bei Apache "anmelden als lokales Systemkonto" auswählt, lässt sich Apache ohne weitere Probleme vom Admin starten, neustarten, stoppen. Bei einem Neustart des Rechners wird Apache automatisch gestartet. Gruß, Magpie^^ Zitieren Link zu diesem Kommentar
Magpie 10 Geschrieben 14. Dezember 2009 Autor Melden Teilen Geschrieben 14. Dezember 2009 Gerade habe ich gelesen, dass man in der httpd.conf von Apache bei "user" den Benutzer mit eingeshränkten Zugriffsrechten angibt, um sicherzustellen, dass Besucher der Website nur Zugriff auf Daten haben, auf die auch dieser Benutzer zugreiffen darf. Also habe ich mal unter "Dienste" wieder "anmelden als lokales Systemkonto" eingestellt, und den Benutzer "Computer\Apache" in der httpd.conf erwähnt. Hoffe, dass es so nun richtig ist...zumindest läuft Apache^^. Vielen Dank nochmal, de.le! Gruß, Magpie Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.