Ebenezer 17 Geschrieben 16. Februar 2024 Melden Geschrieben 16. Februar 2024 (bearbeitet) Hallo, wie bekommt man auf einem DC das Konto "NT SERVICE\ALL SERVICES" wieder in "Anmelden als Dienst" eingetragen? Danke, Nico bearbeitet 16. Februar 2024 von Ebenezer Zitieren
testperson 1.761 Geschrieben 16. Februar 2024 Melden Geschrieben 16. Februar 2024 Hi, was findet sich denn derzeit bei euch in "SeServiceLogonRight", was ist passiert und welche Probleme gibt es? User Rights Assignment - Windows Security | Microsoft Learn Log on as a service - Windows Security | Microsoft Learn Gruß Jan 1 Zitieren
Ebenezer 17 Geschrieben 16. Februar 2024 Autor Melden Geschrieben 16. Februar 2024 Hi, offensichtlich hat Jemand an der Default Domain und Domain Controller Policy herumgefummelt. Die beiden Policy sind nun wieder okay, aber auf dem DC fehlt dieser Eintrag, Probleme scheint es aber keine zu geben. Standardmäßig scheint das aber dort reinzugehören, danke! Zitieren
daabm 1.391 Geschrieben 16. Februar 2024 Melden Geschrieben 16. Februar 2024 Ja dann nimm's halt rein, was hindert Dich daran? Schwierig wird das immer nur dann, wenn irgendwer nen Dienst unter NT SERVICE\xyz laufen lassen will. Der wäre in ALL SERVICES, aber wenn die das Recht nicht haben, startet dann der Dienst nicht. Spolier: ESU und himds Zitieren
Ebenezer 17 Geschrieben 17. Februar 2024 Autor Melden Geschrieben 17. Februar 2024 Zitat Ja dann nimm's halt rein, was hindert Dich daran? Das Konto wird nicht gefunden! Zitieren
Beste Lösung testperson 1.761 Geschrieben 17. Februar 2024 Beste Lösung Melden Geschrieben 17. Februar 2024 Dann schreibe notfalls die SID in die "GptTmpl.inf" unter "\\%USERDNSDOMAIN%\sysvol\%USERDNSDOMAIN%\Policies\{Id des GPOs}\Machine\Microsoft\Windows NT\SecEdit" ... SeServiceLogonRight = *S-1-5-80-0 ... Ggfs. kannst du auch einen "Dummy Eintrag" in der GPMC hinzufügen und im Anschluss diesen in der Datei einfach durch die SID ersetzen. Zitieren
daabm 1.391 Geschrieben 18. Februar 2024 Melden Geschrieben 18. Februar 2024 Scope beim Suchen auf der Domäne? Da sollte dann der lokale Member Computer ausgewählt werden Oder wie @testperson schreibt. Zitieren
Ebenezer 17 Geschrieben 21. Februar 2024 Autor Melden Geschrieben 21. Februar 2024 (bearbeitet) Am 17.2.2024 um 14:46 schrieb testperson: Dann schreibe notfalls die SID in die "GptTmpl.inf" unter "\\%USERDNSDOMAIN%\sysvol\%USERDNSDOMAIN%\Policies\{Id des GPOs}\Machine\Microsoft\Windows NT\SecEdit" ... SeServiceLogonRight = *S-1-5-80-0 ... Ggfs. kannst du auch einen "Dummy Eintrag" in der GPMC hinzufügen und im Anschluss diesen in der Datei einfach durch die SID ersetzen. Hallo Jan, vielen dank für Deine kreative Lösung! Alle anderen Ansätze haben leider nicht geholfen! bearbeitet 21. Februar 2024 von Ebenezer Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.