sd2019 0 Geschrieben 10. Februar 2021 Melden Teilen Geschrieben 10. Februar 2021 (bearbeitet) Hi! Folgende Situation Es existiert auf jedem Client in der Domäne ein lokales Systemkonto "NT Service\"Dienstname", welches automatisch bei der Installation der Software angelegt wurde. Dieses Konto ist auch in dem Windows Dienst unter "Anmelden als" eingetragen. Problem Dieses Systemkonto hat, wie man auch unter der lokalen Sicherheitsrichtlinie > Lokale Richtlinien > Zuweisen von Benutzerrechten > Anmelden als Dienst, sieht, kein Recht diesen Dienst zu starten, da dieses Konto dort nicht eingetragen ist. Jedes Mal, also mehrere 100 Male am Tag, versucht dieser Dienst zu starten, was extrem wichtig ist, aber aufgrund fehlender Berechtigungen schlägt dies fehl. Lösungsvarianten Im Prinzip wäre die Lösung an sich ja einfach, die wie folgt aussehen könnte: Default Domain Policy -> Computerkonfiguration > Windows-Einstellungen > Sicherheitsreinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten > Anmelden als Dienst > Eintragung von "NT Service\"Dienstname" Fehlermeldung --> Folgende Konten konnten nicht überprüft werden : "NT Service\"Dienstname" Das Problem scheint hier das "NT Service" zu sein, denn wenn ich nur den Dienstnamen dort eingebe, funktioniert es. Dies ist dann allerdings sinnbefreit, weil es nicht über die GPO übertragen wird, da dieses Konto ohne das "NT Service" nicht zugeordnet werden kann. Bei uns ist über die DDP schon eine AD-Gruppe mit diesen "Anmelden als Dienst" Rechten versehen. Theoretisch könnte man also das Konto in dem Windows Dienst bei "Anmelden als" auf jedem Client in ein AD-Konto ändern und dies dann einfach in die AD-Gruppe hinzufügen. Ich habe es versucht mitNeues GPO Objekt > Computerkonfiguration > Systemsteuerungseinstellungen > Dienste Fehlermeldung --> Das CPassword-Attribut wurde verworfen, um die Sicherheitsrisiken zu minimieren. Verwenden Sie stattdessen sichere integrierte Benutzerkonten zum Erstellen von Gruppenrichtlinieneinstellungen für Dienste. Erfahren Sie, warum "CPassword" verworfen wurde und was Sie zu Ihrem Schutz tun können, indem Sie unten auf "Hilfe" klicken. Hier werde ich nicht ganz schlau draus Fragestellung Wie bekomme ich es also hin, dass auf jedem Client im Unternehmen (es sind sehr viele), dieser "NT Service\"Dienstname" in der lokalen Sicherheitsrichtlinie die Rechte unter "Anmelden als Dienst" erhält? Alternativ gibt es ja vielleicht die Möglichkeit, in Annäherung an die oben genannte 2. Lösungsvariante, den Account für "Anmelden Als" bei dem bestehen Dienst irgendwie durch ein neu erstelltes AD-Konto zu ersetzen und dieses dann über die GPO bei "Anmelden als Dienst" hinzuzufügen? Vielen Dank im Vorraus! bearbeitet 10. Februar 2021 von sd2019 Zitieren Link zu diesem Kommentar
testperson 1.728 Geschrieben 11. Februar 2021 Melden Teilen Geschrieben 11. Februar 2021 Hi, in kurz zwei Optionen: What you can do, should do and should NOT do with GPOs: Wer bin ich und was darf ich - Gruppenmitgliedschaften und Benutzerrechte (evilgpo.blogspot.com) Lokales Konto und Mitglied der Gruppe "Administratoren" - Active Directory Forum - MCSEboard.de Choose wisely. ;) Nutze aber bitte nicht die DDP. :) Gruß Jan Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 11. Februar 2021 Melden Teilen Geschrieben 11. Februar 2021 Ob meine Idee funktioniert mit Konten ala "NT Service\xyz" - kann ich leider nicht bestätigen oder verneinen. Ich hatte das nie, und mir fällt auch spontan keine Möglichkeit ein, wie ich das ausprobieren könnte. Kommt wohl auf einen Versuch an - über eine Rückmeldung würde ich mich freuen. So aus dem Gedächtnis heraus dürfte der Fehler aber gar nicht auftreten, wenn "SERVICE" das Recht "Anmelden als Dienst" hat. Wer hat das denn bei Euch so? (Sysinternals: "accesschk a *" sagt Dir das effektiv.) Die Meldung mit dem cPassword kommt wegen MS14-025 - auch schon 7 Jahre her https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2014/ms14-025 Zitieren Link zu diesem Kommentar
testperson 1.728 Geschrieben 12. Februar 2021 Melden Teilen Geschrieben 12. Februar 2021 vor 8 Stunden schrieb daabm: Ob meine Idee funktioniert mit Konten ala "NT Service\xyz" - kann ich leider nicht bestätigen oder verneinen. Ich hatte das nie, und mir fällt auch spontan keine Möglichkeit ein, wie ich das ausprobieren könnte. Kommt wohl auf einen Versuch an - über eine Rückmeldung würde ich mich freuen. Der Part, den "NT Service\XYZ" per GPP in eine lokale Gruppe zu packen, funktioniert bei uns. :) 1 Zitieren Link zu diesem Kommentar
sd2019 0 Geschrieben 12. Februar 2021 Autor Melden Teilen Geschrieben 12. Februar 2021 @daabm Ich habe mir das mal mit "accesschk -a *" ausgeben lassen und wie vermutet steht bei "SeServiceLogonRight:" die AD-Gruppe drin, die wiederum mehrere AD-Benutzer enthält, die dieses Recht per GPO schon zugewiesen bekommen haben. Diese AD-Gruppe hatte ich ja bereits in meinem Anfangspost erwähnt. @testperson 1. Warum denn nicht in der DDP? 2. Was soll mir die lokale Gruppe bringen? ich muss das Recht ja bei "Anmelden als Dienst" hinterlegen. Das heißt ich muss irgendwie auf dem Client entweder den "NT Service\XYZ" in die Benutzerrechte bei "Anmelden als Dienst" reinpacken oder aber die lokale Gruppe, in der das lokale Konto "NT Service\XYZ" Mitglied ist. Auch die Benutzerechte von "Lokal Anmeldung erlauben" bringen mich doch gar nicht weiter? Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 12. Februar 2021 Melden Teilen Geschrieben 12. Februar 2021 vor 7 Stunden schrieb sd2019: Ich habe mir das mal mit "accesschk -a *" ausgeben lassen und wie vermutet steht bei "SeServiceLogonRight:" die AD-Gruppe drin, die wiederum mehrere AD-Benutzer enthält, die dieses Recht per GPO schon zugewiesen bekommen haben. Diese AD-Gruppe hatte ich ja bereits in meinem Anfangspost erwähnt. Und was spricht jetzt dagegen, das so zu machen wie in meinem Blogpost, den Jan schon verlinkt hat? Gegen die DDP spricht, daß sie eine fixe GUID hat und Einstellungen darin mit dem Domain Head gekoppelt sind. Änderst Du z.B. auf dem PDC die Kennworteinstellungen "lokal", dann wandern diese Änderungen in die DDP zurück. Das will man i.d.R. nicht. Auch werden DDP und DDCP mit dcgpofix zurückgesetzt, was dann auch wieder b***d sein kann. Besser eine eigene machen. Zitieren Link zu diesem Kommentar
testperson 1.728 Geschrieben 12. Februar 2021 Melden Teilen Geschrieben 12. Februar 2021 vor 8 Stunden schrieb sd2019: 2. Was soll mir die lokale Gruppe bringen? ich muss das Recht ja bei "Anmelden als Dienst" hinterlegen. Das heißt ich muss irgendwie auf dem Client entweder den "NT Service\XYZ" in die Benutzerrechte bei "Anmelden als Dienst" reinpacken oder aber die lokale Gruppe, in der das lokale Konto "NT Service\XYZ" Mitglied ist. Auch die Benutzerechte von "Lokal Anmeldung erlauben" bringen mich doch gar nicht weiter? Die lokale Gruppe hilft dir, da du diese entsprechend benennen kannst, dass du sie in der gpmc.msc ohne Fehler eintragen kannst. Per GPP eine lokale Gruppe ("DeineanmeldenalsDienstGruppe") auf den Clients erstellen Per GPP den "NT Service\Dein Dienst" in die Gruppe "DeineanmeldenalsDienstGruppe" auf den Clients hinzufügen In einer Richtlinie das Recht "Anmelden als Dienst" für die Gruppe "DeineanmeldenalsDienstGruppe" auf den Clients erlauben Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.