Horatio 10 Geschrieben 7. Juli 2005 Melden Teilen Geschrieben 7. Juli 2005 System: Windows2003 Server SP1 ger (Memberserver an Domäne) Berechtigung: nur in Gruppe RemoteDesktopbenutzer Folgendes Problem: Bei uns sollen die Benutzer per RemoteDesktop auf den Server zugreiffen können. Von der Berechtigung habe ich es so einstellen können, dass sie auf dem Laufwerk C: nur lesen dürfen und auf d: alles machen. Sie besitzen natürlich auch keine Admin Rechte geschweige denn etwas ändern wie z.b. die Auflösung usw. Damit schütze ich sie auch vor sich selber :-) Das Problem ist dass diese mit einem Programm arbeiten wo der Dienst teilweise neu gestartet werden muss. Nehmen wir mal als Beispiel den SQL Dienst. Der Remotedesktop Benutzer den ich zur verfügung stelle kann diesen Dienst nicht neu starten. Was kann ich tun damit der Benutzer auf dem Server diesen Dienst (meinetwegen auch alle Dienste das wär nicht so tragisch) neustarten kann aber sonst keine zusätzliche Rechte erhält am System etwas zu verändern oder löschen. Danke im Voraus für alle hilfreichen Antworten Zitieren Link zu diesem Kommentar
Operator 10 Geschrieben 7. Juli 2005 Melden Teilen Geschrieben 7. Juli 2005 Hi und willkommen an Board, über eine Richtlinie kannst Du das einstellen. Dazu könntest Du den Server in eine seperate OU packen und eine Richtlinie damit verknüpfen. Computerkonfiguration / Windows-Einstellungen / Sicherheitseinstellungen / Systemdienste Dort kannst Du dann für verschiedene Dienste einstellen, wer diese Starten/Beenden usw. darf. Weitere Hinweise gibt es hier: http://www.gruppenrichtlinien.de/index.html?/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm Gruß Andre Zitieren Link zu diesem Kommentar
Horatio 10 Geschrieben 7. Juli 2005 Autor Melden Teilen Geschrieben 7. Juli 2005 Danke für Deine schnelle Antwort Mein Problem ist aber, dass ich am Domain und am Memberserver Computerkonfiguration / Windows-Einstellungen / Sicherheitseinstellungen / Systemdienste gar nicht habe. Siehe Anhang Bild.doc Bis später Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 7. Juli 2005 Melden Teilen Geschrieben 7. Juli 2005 Du kannst dir eine eigene MMC erstelln mit dem SnapIn Sicherheitsvorlagen, erstellst dir dort eine eigene Sicherheitsvorlage, die hat den Reiter. Diese Vorlage dann mit secedit /configure oder dem weiteren SnapIn Sicherheitskonfiguration und -analyse ins System einschießen. Ansonsten kann es auch das Tool subinacl aus dem Resource Kit grizzly999 Zitieren Link zu diesem Kommentar
Horatio 10 Geschrieben 7. Juli 2005 Autor Melden Teilen Geschrieben 7. Juli 2005 Super Danke jetzt hab ich es gefunden. Noch eine weitere Frage dazu: Wo kann ich den User Berechtigen einen Dienst hinzuzufügen? Wir haben da so ein Programm das für jede Konfiguration einen eigenen Dienst hat, und dass verschiedene Konfigurationen nebeneinander laufen können muss sich immer ein neuer Dienst vom Programm aus auch einrichten können. Anders gesagt: wie kann ich den User Berechtigen einen Dienst zu installieren der dann auch für alle sichtbar bleibt Zitieren Link zu diesem Kommentar
Operator 10 Geschrieben 7. Juli 2005 Melden Teilen Geschrieben 7. Juli 2005 Ich weiß nicht, ob Hauptbenutzer dafür ausreichend ist. Spontan würde ich aber zum Administrator tendieren. Mir ist kein Benutzerrecht bekannt, daß es einem Benutzer via Richtlinie erlaubt Dienste zu erstellen?!?! Probiers einfach mal aus. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.