KNL 0 Geschrieben 1. Juni 2018 Melden Teilen Geschrieben 1. Juni 2018 Hallo zusammen, eins vorweg, ich habe bisher im Bereich AD wenig bis keine Erfahrung. Ich stehe aktuell vor folgender Frage- / Problemstellung. Ist es möglich einen Standard-Domänen-User in die Lage zu versetzten den Ressourcen-Monitor aufzurufen ohne ihm lokale Adminrechte zu vermachen? Meine bisherigen Recherchen ergaben, dass dies nicht möglich ist. Ist dies so korrekt? Vielen Dank für Eure Rückmeldungen Mfg Knl P.S. Der Domänencontroller läuft mit Win2012 R2. Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 1. Juni 2018 Melden Teilen Geschrieben 1. Juni 2018 Um welches Betriebssystem geht es? Zitieren Link zu diesem Kommentar
KNL 0 Geschrieben 4. Juni 2018 Autor Melden Teilen Geschrieben 4. Juni 2018 Win2012 R2 - Essentials Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 4. Juni 2018 Melden Teilen Geschrieben 4. Juni 2018 Es gibt doch die Gruppen "Leistungsprotokollbenutzer" und "Leistungsüberwachungsbenutzer". Ich habe diese Gruppen noch nie benutzt. Vielleicht kommst du damit weiter. Zitieren Link zu diesem Kommentar
KNL 0 Geschrieben 4. Juni 2018 Autor Melden Teilen Geschrieben 4. Juni 2018 Ich habe meinen Test-User zu beiden Gruppen "Leistungsprotokollbenutzer" und "Leistungsüberwachungsbenutzer" hinzugefügt. Was mich wundert ist, dass "whoami -all", die beiden Gruppen jedoch nicht anzeigt. Ist das normal? Der Test-User wurde nach Zuordnung zu den beiden Gruppen mehrfach ab- und wieder angemeldet. Darüberhinaus habe ich dem User folgende Benutzerrechte zugewiesen (als Default Domain Policy). Anmelden als Stapelverarbeitungsauftrag Erstellen eines Profils der Systemleistung Erstellen globaler Objekte Die Ausgabe von whoami gibt aber bei "Erstellen eines Profils der Systemleistung" - "Deaktiviert" zurück - warum? Hier einmal das Resultat von whoami -all: Microsoft Windows [Version 10.0.17134.48] (c) 2018 Microsoft Corporation. Alle Rechte vorbehalten. C:\Windows\System32>whoami -all BENUTZERINFORMATIONEN --------------------- Benutzername SID ============ ============================================= hls1\knltest S-1-5-21-2393647219-961682751-4230391756-3137 GRUPPENINFORMATIONEN -------------------- Gruppenname Typ SID Attribute ======================================================== =============== ============================================== ============================================================================== Jeder Bekannte Gruppe S-1-1-0 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe KNLPC\USERS Alias S-1-5-21-2831190314-4161004716-2260719556-1004 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe VORDEFINIERT\Benutzer Alias S-1-5-32-545 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe NT-AUTORITÄT\INTERAKTIV Bekannte Gruppe S-1-5-4 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe KONSOLENANMELDUNG Bekannte Gruppe S-1-2-1 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe NT-AUTORITÄT\Authentifizierte Benutzer Bekannte Gruppe S-1-5-11 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe NT-AUTORITÄT\Diese Organisation Bekannte Gruppe S-1-5-15 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe LOKAL Bekannte Gruppe S-1-2-0 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe Von der Authentifizierungsstelle bestätigte ID Bekannte Gruppe S-1-18-1 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe HLS1\HLSUser Alias S-1-5-21-2393647219-961682751-4230391756-1604 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Lokale Gruppe Verbindliche Beschriftung\Mittlere Verbindlichkeitsstufe Bezeichnung S-1-16-8192 BERECHTIGUNGSINFORMATIONEN -------------------------- Berechtigungsname Beschreibung Status ============================= =============================================== =========== SeSystemProfilePrivilege Erstellen eines Profils der Systemleistung Deaktiviert SeShutdownPrivilege Herunterfahren des Systems Deaktiviert SeChangeNotifyPrivilege Auslassen der durchsuchenden Überprüfung Aktiviert SeUndockPrivilege Entfernen des Computers von der Docking-Station Deaktiviert SeCreateGlobalPrivilege Erstellen globaler Objekte Aktiviert SeIncreaseWorkingSetPrivilege Arbeitssatz eines Prozesses vergrößern Deaktiviert SeTimeZonePrivilege Ändern der Zeitzone Deaktiviert INFORMATIONEN ZU BENUTZERANSPRÜCHEN ----------------------------------- Die Benutzeransprüche sind unbekannt. Die Kerberos-Unterstützung für die dynamische Zugriffssteuerung auf diesem Gerät wurde deaktiviert. C:\Windows\System32> Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 4. Juni 2018 Melden Teilen Geschrieben 4. Juni 2018 Moin, vermutlich hast du die Einstellungen im AD gemacht? Dann hast du den User den betreffenden lokalen Gruppen auf den DCs zugewiesen (denn nur dort gelten die Gruppen aus dem Container "Builtin"). Wenn du jetzt auf deinem Client ein whoami ausführst, siehst du die Gruppenmitgliedschaften für lokale Gruppen auf dem Client, nicht die vom DC (und dort bestehen die Mitgliedschaften eben nicht). Dasselbe gilt für die Userrechte: Die hat dein User dann auf dem DC, nicht auf dem Client (wodurch du sie auf dem Client auch nicht siehst). Du müsstest aber beides auf dem Client ausführen, d.h. dort als Admin anmelden und den User über "lusrmgr.msc" in die betreffenden Gruppen aufnehmen. Aber ziehen wir das Ganze doch mal von der richtigen Seite auf: Was ist denn das eigentliche Problem, das du lösen willst? Gruß, Nils Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 4. Juni 2018 Melden Teilen Geschrieben 4. Juni 2018 vor 31 Minuten schrieb NilsK: Aber ziehen wir das Ganze doch mal von der richtigen Seite auf: Was ist denn das eigentliche Problem, das du lösen willst? Gruß, Nils Das wollte ich auch gerade fragen. Auf welchem Rechner soll der was machen? Zitieren Link zu diesem Kommentar
KNL 0 Geschrieben 4. Juni 2018 Autor Melden Teilen Geschrieben 4. Juni 2018 Nuja, was ist mein Ziel? Mein Ziel ist es den Anwendern nur so wenig Berechtigungen wie nötig zu geben und sie dabei aber auch nicht in Ihrer Arbeitsweise einzuschränken oder gar zu behindern. Soweit es geht möchte ich darauf verzichten jeden Anwender zum lokalen Administrator zu machen. Der Ressourcenmonitor ist für einen Teil der User ein normales, gewohntes Tool, so dass sich mir die oben genannte Frage stellt. Das Ziel ist eigentlich dass der User überall d.h. egal an welchem PC er sich innerhalb der Domäne mit seinem Domänenkonto anmeldet den Ressourcenmonitor aufrufen kann, ohne ihn gleich zum Admin zu machen. Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 4. Juni 2018 Melden Teilen Geschrieben 4. Juni 2018 "Restricted Groups" und die User (besser eine Gruppe) in die lokale Gruppe des/der PCs hinzufügen. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 4. Juni 2018 Melden Teilen Geschrieben 4. Juni 2018 Moin, trotzdem bleibt der Ressourcenmonitor ja ein Mittel - zu welchem Zweck? Vielleicht gibt es ja alternative oder bessere Wege zum Ziel. Gruß, Nils Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 4. Juni 2018 Melden Teilen Geschrieben 4. Juni 2018 Ich kenne keinen "normalen" User der den Ressourcenmonitor nutzt. Zitieren Link zu diesem Kommentar
KNL 0 Geschrieben 4. Juni 2018 Autor Melden Teilen Geschrieben 4. Juni 2018 hmm... wir sind hier ja auch alle nicht "normal" ;) ... wir bewegen uns hier im Bereich der System-Softwareentwicklung und da kann es eben schon mal interessieren wie gerade ein bestimmter Prozeß das System belastet. Dank Eurer Hilfe bin ich soweit dass mein Test-User nun mittels der Restricted Groups in den beiden lokalen Gruppen "Leistungsprotokollbenutzer" und "Leistungsüberwachungsbenutzer" zugeordnet ist. Das whoami spuckt nun die erwarteten Gruppenzugehörigkeiten aus. Einen erfolgreicher Aufruf des Ressourcenmonitors ist aber noch immer nicht möglich. Der Vorgang benötigt höherere Rechte. Darüberhinaus werden dem User (exakter einer neuen Gruppe, in der der user aufgenommen ist) folgende Benutzerrechte zugewiesen (per Default Domain Policy). Anmelden als Stapelverarbeitungsauftrag Erstellen eines Profils der Systemleistung Erstellen globaler Objekte Wenn mit gpedit vom lokalen PC, an welchem der Test-User angemeldet ist, bei den drei Zugewiesenen Benutzerrechten nachschaue, dann steht dort die zugewiesene Gruppe. Die Berechtigungsinformationen, die whoami ausgibt, sind aber wie folgt: Berechtigungsname Beschreibung Status ============================= =============================================== =========== SeSystemProfilePrivilege Erstellen eines Profils der Systemleistung Deaktiviert SeShutdownPrivilege Herunterfahren des Systems Deaktiviert SeChangeNotifyPrivilege Auslassen der durchsuchenden Überprüfung Aktiviert SeUndockPrivilege Entfernen des Computers von der Docking-Station Deaktiviert SeCreateGlobalPrivilege Erstellen globaler Objekte Aktiviert SeIncreaseWorkingSetPrivilege Arbeitssatz eines Prozesses vergrößern Deaktiviert SeTimeZonePrivilege Ändern der Zeitzone Deaktiviert Warum ist SeSystemProfilePrivilege Deaktiviert? Habt Ihr vielleicht eine Idee? Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 4. Juni 2018 Melden Teilen Geschrieben 4. Juni 2018 Moin, sicher, dass du die "Default Domain Policy" genommen hast und nicht die "Default Domain Controllers Policy"? Mit den Benutzerrechten kenne ich mich im Detail ncht aus, aber zumindest gibt es welche, die man für den jeweiligen Prozess erst aktivieren muss. Vielleicht ist das hier auch so. Ansonsten kann ich dazu jetzt nicht mehr viel beitragen. Gruß, Nils Zitieren Link zu diesem Kommentar
MurdocX 953 Geschrieben 6. Juni 2018 Melden Teilen Geschrieben 6. Juni 2018 (bearbeitet) Wenn es um die Auslastung geht, dann kannst das mit der Leistungsüberwachung machen. perfmon.exe /sys ...ausführen und dann einfach die benötigten/gewünschten Leistungsindikatoren hinzufügen. Fertig. Edit: Eine Antwort eines MS-Mitarbeiters im Forum besagte, dass definitiv administrative Berechtigungen benötigt werden. Der Ressourcen-Monitor liefert Dir die aktuell geöffneten Dateien des Systems. Allein diese Funktion benötigt administrative Berechtigungen. Das wirst du nicht verändern/anpassen können. bearbeitet 6. Juni 2018 von MurdocX Zitieren Link zu diesem Kommentar
KNL 0 Geschrieben 6. Juni 2018 Autor Melden Teilen Geschrieben 6. Juni 2018 @NilsK ja ich bin mir sicher dass ich die Benutzerrechte in der "Default Domain Policy" gesetzt habe und nicht in der Default Domain Controlers Policy. Weitergekommen mit den Berechtigungen bin ich aber nicht. Ich weiß auch nicht ob ich das weiter verfolge; denke eher nicht. @MurdocX thx für den Hinweis. Aber da kann ich doch nicht sehen wie gerade ein bestimmter Prozeß das System auslastet oder doch? Ansonsten schliesse ich das Thema hier für mich, mit der Erkenntnis ab, dass es nicht möglich ist. @all Danke für Eure Beiträge. Die ein oder andere Erkenntnis habe ich dennoch gewonnen. Thx :) mfg knl Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.