Jump to content

Herunterfahren für Nicht-Admins erlauben

Gill

Von Gill
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Gill Enthusiast

Gill   16

Geschrieben
Geschrieben

Hallo,

 

ich habe einen Windows Server 2008 (R1) stehen mit eingerichtetem Active Directory. Ich habe auch bereits mehrere Gruppen erfolgreich angelegt und die Rechte entsprechenden angepasst.

 

Jetzt stehe ich vor folgendem Problem; eine Gruppe (nennen wir sie mal "blah") die nicht den Administratoren angehört, soll in der Lage sein, den Server herunterzufahren bzw. neu zu starten. Habe im Gruppenrichtlinien-Manager für die Gruppe "blah" unter

 

Computerkonfig. > Richtlinien > Sicherheitsrichtlinien > Lokale Richtlinien > Zuweisen von Benutzerrechten > Herunterfahren des Systems

 

die selbige eingetragen. Wenn ich mich dann als Benutzer dieser Gruppe anmelde und via "shutdown -r -f -t 0" versuche den Server neu zu starten bekomme ich "Zugriff verweigert(5)".

 

Kann ich überhaupt einer Nicht-Admin-Gruppe das Recht zum Herunterfahren geben?

 

Danke im Voraus!

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.930

Geschrieben
Geschrieben

Moin,

 

das "-f" beim Shutdown-Befehl bedeutet im Wesentlichen, dass Applikationen auch dann beendet werden, wenn sie auf eine Benutzereingabe warten. Meist ist das die Frage "Wollen Sie ungespeicherte Daten speichern?".

 

Für Dienste usw. bedeutet -f keinen Abbruch. Diese werden normal beendet. Das Herunterfahren/Neustarten ist der normale gesteuerte Prozess und nicht mit dem Reset- oder netzschalter zu verwechseln.

 

In sofern stellt das hier kein zusätzliches Problem dar. Die eigentliche Frage, ob es sinnvoll ist, Nichtadministratoren das Herunterfahren/Neustarten zu erlauben, bleibt davon unberührt. Meist verbirgt sich dahinter ein wenig sinnvoller Umgang mit nicht vernünftig arbeitenden Applikationen.

 

Gruß, Nils

Link zu diesem Kommentar
Gill Enthusiast

Gill   16

Geschrieben
  • Autor
Geschrieben

@ XP-Fan:

 

Öhm ... ja ... ich meinte mehr im Sinne von keine SQL-Datenbank. :D

 

Was ich noch vergessen habe; auf dem Server sind Terminaldienste installiert, falls das eine Rolle spielt.

 

Also, in der lokalen Gruppenrichtlinie des Servers kann ich nichts einstellen, alle relevanten Felder sind deaktiviert. Bin dann bin in der Gruppenrichtlinienverwaltung der "Default Domain Policy" auf diese Einstellung gestoßen und habe auch die besagte Gruppe eingetragen sowie mit "gpupdate /force" die Übernahme der Regeln erzwungen. Allerdings brachte dies nichts.

 

@ NilsK:

 

Dieses Recht wird nur an zwei vertrauenswürdige Personen übertragen (diese sind dann in der besagten Gruppe), von daher wäre das kein Problem. Diese sollen jedoch nur dieses Sonderrecht erhalten. Ist etwas umständlich zu erklären, aber "nicht auf meinem Mist gewachsen" wie man so schön sagt. Bin da nur die ausführende Kraft.

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.930

Geschrieben
Geschrieben

Moin,

 

Was ich noch vergessen habe; auf dem Server sind Terminaldienste installiert, falls das eine Rolle spielt.

 

ja, spielt es. Aus gutem Grund sind Terminaldienste auf einem DC "not recommended".

(Wenn ich der PSS wäre, wäre es sogar "not supported" ...)

 

Also, in der lokalen Gruppenrichtlinie des Servers kann ich nichts einstellen, alle relevanten Felder sind deaktiviert.

 

Klar. Ist ja auch ein DC.

 

Bin dann bin in der Gruppenrichtlinienverwaltung der "Default Domain Policy" auf diese Einstellung gestoßen und habe auch die besagte Gruppe eingetragen sowie mit "gpupdate /force" die Übernahme der Regeln erzwungen. Allerdings brachte dies nichts.

 

Klar. Ist ja auch die falsche Policy. Du hast das Recht gerade auf alle Rechner deiner Domäne ausgerollt ... mit Ausnahme der DCs. Für die bräuchtest du die Default Domain Controllers Policy.

 

Das "force" ist übrigens hier völlig unnötig. Dir fehlen anscheinend einige Grundlagen - schau dich mal auf Gruppenrichtlinien - Übersicht, FAQ und Tutorials um.

 

Gruß, Nils

Link zu diesem Kommentar
Gill Enthusiast

Gill   16

Geschrieben
  • Autor
Geschrieben

Hallo,

 

erst nochmal vielen Dank für die schnellen Antworten! :)

 

ja, ich weiss dass das mit DC und Terminal "nicht so empfehlenswert" ist, haben mir schon mehrere Leute gesagt, bin aber wie schon gesagt nur die Exekutive, die Entscheidungen treffen andere. Habe diese Information jedoch schon weitergeleitet an die entsprechenden Personen.

 

Bin was Domaincontroller angeht leider noch recht unerfahren, ist auch komplettes Neuland für mich (also bin ich im Moment auf dem Gebiet noch das ganze Gegenteil von einem MVP). Muss mich da erst noch einarbeiten. :confused: Ich werde mir mal den von dir geposteten Link vornehmen. :)

 

Btw., noch wird der Server nicht produktiv eingesetzt, von daher macht das mit dem falschen ausrollen des Rechts nicht wirklich etwas. Habe es aber logischerweise wieder rückgängig gemacht.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...