Gadget 37 Geschrieben 19. April 2006 Melden Geschrieben 19. April 2006 Na ich denke anders herum der Server muss 2000 sein... der Client ist egal... liegt an verstärkten Sicherheitseinstellungen beim 2k3 SP1 steht auch in der Beschreibung bei joeware so: http://www.joeware.net/win/free/tools/svcutil.htm To add to the story, Microsoft made an update to Windows Server 2003 SP1 that made it so you could change the SCM ACL. This was previously not something that could be done. When they did this, they locked down who could do remote enumeration of the Services. Because most everyone opened the SCM with GENERIC_READ, this means most tools (including Microsoft's own tools pre-K3SP1) used to access the SCM broke unless the user was an administrator on the server. Even if the specific services were delegated to the some non-admin user, unless the SCM was opened properly, they wouldn't be able to control those services remotely which resulted in admins giving out admin rights again or giving interactive logon rights to servers and having the non-admins logging directly into the servers to control their one service. I understand why MS went this direction, but unfortunately it didn't seem to be fully thought out as it probably should have been more widely announced so people understood what was going on, this has broken quite a few people. LG Gadget Zitieren
IThome 10 Geschrieben 19. April 2006 Melden Geschrieben 19. April 2006 Dann hat er kein SP1 drauf auf seinem 2003er ? Oder gilt das nur für 2003er-DCs mit SP1 ? edit: offensichtlich egal, ob DC oder Member ... Zitieren
ShadowByte 10 Geschrieben 20. April 2006 Autor Melden Geschrieben 20. April 2006 Hoi again :) Wie im Eröffnungstreat erwähnt ist folgende Software vorhanden und verteilt : - DC = W2k SP 4 - Server auf dem der besagte Dienst läuft = W2k3 Standard SP 1 - Client WS = Win2000 Pro GPO wurde lokal auf dem "Service-Host" - Server (sonst sehe ich den Dienst ja nicht) eingerichtet und zwar für die Gruppe jener Abteilung, dessen user diesen Dienst zu starten/stoppen in der Lage sein sollen. Berechtigung : Starten/Stoppen + Lesen und hier natürlich auf "Manuell" eingerichtet. Gruß, ShadowByte. Zitieren
Gadget 37 Geschrieben 20. April 2006 Melden Geschrieben 20. April 2006 Hm muss ich auch nochmal testen... denke nicht dass der 2k DC hier den Unterschied macht. vielleicht hab ich beim letzten Test das Leserecht nicht vergeben... Zitieren
ShadowByte 10 Geschrieben 20. April 2006 Autor Melden Geschrieben 20. April 2006 Das Leserecht wird als default vergeben. Wird auch nur unter "Erweitert" angezeigt. Ich denke auch, daß es hier das Server-OS nicht relevant ist. Gruß, ShadowByte. Zitieren
IThome 10 Geschrieben 20. April 2006 Melden Geschrieben 20. April 2006 Teste ich auch noch mal, mit dem Spooler ... Zitieren
IThome 10 Geschrieben 20. April 2006 Melden Geschrieben 20. April 2006 Funktioniert auch mit SC.EXE ... Zitieren
ShadowByte 10 Geschrieben 20. April 2006 Autor Melden Geschrieben 20. April 2006 Kannst Du im Detail noch einmal aufführen wie Du deine GPO konfiguriert hast ? Ich kann nicht recht beurteilen, ob ich zuviel oder überflüssig konfiguriert habe. Beispielsweise habe ich die GPO mit einer OU verknüpft, in der sich noch andere Mitgliedsserver befinden. Hier habe ich der GPO aufgegeben, daß sie sich explizit nur auf den "Service-Host" - Server anwenden soll. Gruß, ShadowByte. Zitieren
IThome 10 Geschrieben 20. April 2006 Melden Geschrieben 20. April 2006 Ja, das ist doch okay. Ich habe zwar den Server in einer eigenen OU (Domain Controllers) und muss deshalb nicht mit der Sicherheitsfilterung arbeiten. In dem GPO habe ich ausschliesslich die relevanten Teile in der Computerkonfiguration konfiguriert und habe den Benutzerteil abgeschaltet ... Zitieren
Gadget 37 Geschrieben 20. April 2006 Melden Geschrieben 20. April 2006 so auch nochmal gestestet u. ich habs wieder geschafft, dass es mit sc.exe nicht geht... :D Testumgebung 2k3 SP1 DC (DC1) u. XP Workstation, User Benutzer1 (Domänenbenutzer) soll den Spooler auf DC1 steuern können. Benutzer1 ist mitglied der Domänenlokalen Gruppe "IT" 1. Dienst konfiguriert u. der Gruppe IT nur Start, Stop Rechte vergeben geht nicht mit sc.exe u. svcutil 2. Dienst konfiguriert der Gruppe IT u. Lesen + Start, Stop rechte ... geht sc.exe u. svcutil 3. .... die Erweiterten Berechtigungen verändert (Berechtigung Lesen Rechte) entfernt => geht garnicht mehr 4. Dienst konfiguriert die Gruppe IT wieder komplett entfernt, danach hinzugefügt u. start, stop u. Leserechte vergeben.. => mit svcutil gehts mit sc.exe nicht... [sC] OpenSCManager Failed 5: Zugriff verweigert LG Gadget Zitieren
Gadget 37 Geschrieben 20. April 2006 Melden Geschrieben 20. April 2006 C:\Dokumente und Einstellungen\Benutzer1\Eigene Dateien>sc \\dc1 stop spooler [sC] OpenSCManager FAILED 5: Zugriff verweigert C:\Dokumente und Einstellungen\Benutzer1\Eigene Dateien>svcutil.exe dc1\spooler view SvcUtil V02.04.00cpp Joe Richards (joe@joeware.net) June 2005 SERVICE_NAME: spooler DISPLAY NAME: Druckwarteschlange TYPE : 272 WIN32_OWN_PROCESS (interactive) STATE : 4 RUNNING (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0 C:\Dokumente und Einstellungen\Benutzer1\Eigene Dateien>svcutil.exe dc1\spooler stop SvcUtil V02.04.00cpp Joe Richards (joe@joeware.net) June 2005 Stopping service... Service stopped successfully. naja is mir jetzt auch wurst, lass ich jetzt einfach mal auf sich beruhen. LG Gadget Zitieren
ShadowByte 10 Geschrieben 21. April 2006 Autor Melden Geschrieben 21. April 2006 Ich traue mich gar nicht euch kund zu tun, warum SC.exe bei mir funktionierte :( . Mir ist ein peinlicher (klitzekleiner) Fehler unterlaufen ... ein blutiger Anfängerfehler ... :o. Aber hey, ich bin ja noch Anfänger und daher traue ich mich doch : Ich habe in unserer Testumgebung den dummy-user "Test" für gleichnamige Zwecke eingerichtet. Mit diesem habe ich oben beschriebenes getestet. Leider hatte ich übersehen, daß sich dieser "user" noch von einer vorangegangenen Teststellung in der Grp "Administratoren" befand .... Nun ist klar warum SC.exe bei mir funktionierte. Nachdem ich "Test" aus der Grp genommen hatte, funktionierte es natürlich auch nicht mehr. Sorry, wenn ich jemanden mit meiner Falschaussage zu einem Mehraufwand an "Testzeit" veranlasst habe ("... das muss doch bei mir auch funktionieren ... :suspect: ..."). @ Kohn : Ist das Tool svcutil.exe Bestandteil des ressourceKit´s bzw. AdminPak´s ? Läuft das auch auf W2k Pro Clients ? Danke nochmal für eure Bemühungen ! Gruß, ShadowByte. Zitieren
ShadowByte 10 Geschrieben 21. April 2006 Autor Melden Geschrieben 21. April 2006 ...and btw : der server der den Dienst hosted (W2k3 standart) ist lediglich ein Mitgliedsserver in einer W2k sp4 Domäne (DC). Da werde ich sicher Schwierigkeiten mit einer domänenlokalen Gruppe bekommen oder ? Man ist das ein Theater ... :D Gruß, Shadowbyte. Zitieren
IThome 10 Geschrieben 21. April 2006 Melden Geschrieben 21. April 2006 Wenn die Domäne im nativen Modus ist, ist es kein Problem. Ich habe es hier mit einem Domänenbenutzer und SC.EXE gemacht und das klappt (ich benutze aber trotzdem lieber SVCUTIL) ... Zitieren
ShadowByte 10 Geschrieben 8. Mai 2006 Autor Melden Geschrieben 8. Mai 2006 War einige Zeit verhindert ... sorry. Unsere Domäne läuft leider nicht im nativ-mode, da es hier scheinbar noch ein paar Dienste geben soll, die in diesem mode nicht mehr auszuführen wären ( :suspect: ) ... frag mich nicht ... (achselzuck). In der GPO habe ich nun der grp ABTEILUNG die Berechtigung starten/stoppen des entsprechenden Dienstes erteilt. Die Mitarbeiter arbeiten auf einer Win2k Pro WS. Das tool SC.exe ist dem OS der WS offensichtlich nicht "bekannt" ... wie hast Du das realisiert ? Gruß, ShadowByte. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.