blub 115 Geschrieben 7. Juli 2011 Melden Teilen Geschrieben 7. Juli 2011 Hallo, Gut und sicher geht sowas auch mit der Remotefunktionalität von Powershell und Sessionconfigurationen. Damit kann sich ein User eine Remoteshell (evtl. noch zertifikatsgesichert) zu einem Remoterechner aufmachen und darf dort genau nur die cmdlets (z.B. start-service oracle) ausführen, die in der Sessionconfiguration definiert sind. PowerShell Powershell Remote - PowerShellPraxis.de blub Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 7. Juli 2011 Melden Teilen Geschrieben 7. Juli 2011 ....Ist das denn sooooo weit hergegriffen, dass ein User einen Dienst auf einem Server starten will? Ich meine ja, es ist schon weit her; sowas ist Aufgabe eines Administrators. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 7. Juli 2011 Melden Teilen Geschrieben 7. Juli 2011 Service Control Manager - Remotezugriff auf die Dienste eines Windows Server 2003 SP1 System Ich habe es mal versucht: dsget group -sid "CN=Dienstezugriff,OU=Security,OU=Groups,DC=AD,DC=MYDOMAIN,DC=COM" bin damit gescheitert. Allerdings habe ich nur 2003 SP1, nicht RTM. Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 7. Juli 2011 Melden Teilen Geschrieben 7. Juli 2011 Ich habe es mal versucht: dsget group -sid "CN=Dienstezugriff,OU=Security,OU=Groups,DC=AD,DC=MYDOMAIN,DC=COM" bin damit gescheitert. Allerdings habe ich nur 2003 SP1, nicht RTM. Du hast die obige Zeile an deine Umgebung angepasst? Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 7. Juli 2011 Melden Teilen Geschrieben 7. Juli 2011 Ich habe es mal versucht: dsget group -sid "CN=Dienstezugriff,OU=Security,OU=Groups,DC=AD,DC=MYDOMAIN,DC=COM" bin damit gescheitert. Und womit genau? ;) Allerdings habe ich nur 2003 SP1, nicht RTM. Das hat mit der Version wenig bis gar nichts zu tun. ;) Bye Norbert Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 7. Juli 2011 Melden Teilen Geschrieben 7. Juli 2011 (bearbeitet) Ich stelle die Zeile mal zu Begutachtung ein. dsget group -sid "CN=Dienstezugriff,OU=Security,OU=groups,DC=lubeca,DC=WAK,DC=local" Ich habe auch ausgeführt von MS: http://support.microsoft.com/kb/907460/en-us sc sdset SCMANAGER D:(A;;CCLCRPRC;;;AU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD) Es gibt einfach keine Gruppe Dienstezugriff bearbeitet 7. Juli 2011 von lefg Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 7. Juli 2011 Melden Teilen Geschrieben 7. Juli 2011 Ich stelle die Zeile mal zu Begutachtung ein. dsget group -sid "CN=Dienstezugriff,OU=Security,OU=groups,DC=lubeca,DC=WAK,DC=local" DU hast also eine Gruppe Dienstezugriff und eine OU Security und eine OU Groups angelegt? Bye Norbert Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 7. Juli 2011 Melden Teilen Geschrieben 7. Juli 2011 DU hast also eine Gruppe Dienstezugriff und eine OU Security und eine OU Groups angelegt? Bye Norbert :shock: Natürlich nicht, davon stand ja auch nichts im Artikel. Oder? :o Seltsam nach Ausführen von sc sdset SCMANAGER D:(A;;CCLCRPRC;;;........ kann ich jetzt über dien MMC des Clients auf den SCM des Server zugreifen. Ich werde jetzt mal die Gruppe und OU anlegen. Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 7. Juli 2011 Melden Teilen Geschrieben 7. Juli 2011 :shock: Natürlich nicht, davon stand ja auch nichts im Artikel. Oder? :o OK, wenn das so ist, werde ich das demnächst reinschreiben und dazu auch noch meine Kontonummer auf die die Überweisungen erfolgen sollen. ;) Im Übrigen steht dort: Zusätzlich zu den obigen Berechtigungen des SP1 soll eine Domänengruppe Dienstezugriff die Berechtigungen erhalten, welche Authentifizierten Benutzer unter Windows Server 2003 RTM haben. Seltsam nach Ausführen von sc sdset SCMANAGER D:(A;;CCLCRPRC;;;........ kann ich jetzt über dien MMC des Clients auf den SCM des Server zugreifen. Ich werde jetzt mal die Gruppe und OU anlegen. Was ist daran seltsam? Ich dachte genau das wolltest du erreichen? Bye Norbert Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 7. Juli 2011 Melden Teilen Geschrieben 7. Juli 2011 ....Was ist daran seltsam? Ich dachte genau das wolltest du erreichen? Hallo Norbert, ich wollte das ja nicht für mich, ich wollte es nachvollziehen als Hilfe für den TO, so er die benötigt. Dem Anschein nach reicht also das Ausführen des einen Satzes, wofür noch den anderen Kram? Ich frage mich, wofür die Sicherheitsgruppe und die beiden OU`s? Die Sicherheitsgrppe habe ich im Ordner users angelegt als globale, die beiden OU`s in der Root. Oder ist das anders gedacht? Das Skript ist ein .wsh, oder? Ich bekomme die Meldung, es sei kein Skript angegeben, in der Registry keine Änderung. Es scheint, ich brauche lead by hand. Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 7. Juli 2011 Melden Teilen Geschrieben 7. Juli 2011 Hallo Norbert, ich wollte das ja nicht für mich, ich wollte es nachvollziehen als Hilfe für den TO, so er die benötigt. Aha. Dem Anschein nach reicht also das Ausführen des einen Satzes, wofür noch den anderen Kram? Weil ich es, wenn ich es denn anfasse, auch gleich richtig machen kann. Oder läßt du durch die Firewall einfach alles durch, und verbietest es dann für einzelne Leute wieder? Ich lege eine Gruppe an (ja, die muß auch nicht in der dritten OU liegen) und alle die in dieser Gruppe sind, dürfen remote an den Dienstemanager überhaupt ran. Bei deiner Lösung dürfen es alle, da das den Default von Windows 2000 und Windows 2003 RTM wieder herstellt. Ist aber auch dort dokumentiert. Ich frage mich, wofür die Sicherheitsgruppe und die beiden OU`s? Siehe oben. Die Sicherheitsgrppe habe ich im Ordner users angelegt als globale, die beiden OU`s in der Root. Oder ist das anders gedacht? Siehe oben. Ich glaube, du denkst grad viel komplizierter, als notwendig. Das Skript ist ein .wsh, oder? Ich bekomme die Meldung, es sei kein Skript angegeben. Versuchs mit .vbs. Bye Norbert Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 7. Juli 2011 Melden Teilen Geschrieben 7. Juli 2011 Meist denke ich einfach linear, manchmal brauche ich aber einen Schubs oder zarten Hinweis, muss aber auch schon mal mit der Nase drauf. Bitte helfe mir doch noch mal weiter und erkäre die Struktur mit den OU`s und der Gruppe Dienstzugriff. Wo gehört das wie hin? Des Skript, ist das OK für 2003SP2? Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 7. Juli 2011 Melden Teilen Geschrieben 7. Juli 2011 Bitte helfe mir doch noch mal weiter und erkäre die Struktur mit den OU`s und der Gruppe Dienstzugriff. Wo gehört das wie hin? Vollkommen wurscht wo du die hinpackst oder wie die heißt. Ich wollte es nur per Gruppenmitgliedschaft regelbar machen, weil man dann nur ein oder zwei SDDL Syntax rauspopeln muß. Wenn du jedesmal von vorn anfängst wird sowas lästig. Du hast mit obigem Befehl einfach den Standard (RTM) wieder hergestellt (also unsicherer), und benötigst dann überhaupt keine Gruppe mehr, da "Authentifizierte Benutzer" das Recht haben. Bei meinem Bespiel wird, wie bereits geschrieben "Authentifizierte Benutzer" gegen die Gruppe "Dienstzugriff" ersetzt. Was soviel bedeutet, dass jeder der in dieses Gruppe Mitglied ist, remote auf die Dienste zugreifen kann. Ob er sie starten/stoppen usw. kann ist noch was ganz anderes. Des Skript, ist das OK für 2003SP2? Ja. Ich habs aber seit Jahren nicht mehr gebraucht. Das war damals das Ergebnis eines Kundenbesuchs (mit der Anleihe dort angegebener Quelle). Bye Norbert Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 7. Juli 2011 Melden Teilen Geschrieben 7. Juli 2011 Allerdings habe ich nur 2003 SP1, nicht RTM. was bedeutet in dem Zusammenhang eigentlich RTM? Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 7. Juli 2011 Melden Teilen Geschrieben 7. Juli 2011 Release to Manufacturing also das, was man als erste Version kaufen kann. Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.