Usern das starten/stoppen eines Dienstes erlauben

[Gadget 37]

Na ich denke anders herum der Server muss 2000 sein... der Client ist egal...

 

liegt an verstärkten Sicherheitseinstellungen beim 2k3 SP1 steht auch in der Beschreibung bei joeware so:

 

http://www.joeware.net/win/free/tools/svcutil.htm

To add to the story, Microsoft made an update to Windows Server 2003 SP1 that made it so you could change the SCM ACL. This was previously not something that could be done. When they did this, they locked down who could do remote enumeration of the Services. Because most everyone opened the SCM with GENERIC_READ, this means most tools (including Microsoft's own tools pre-K3SP1) used to access the SCM broke unless the user was an administrator on the server. Even if the specific services were delegated to the some non-admin user, unless the SCM was opened properly, they wouldn't be able to control those services remotely which resulted in admins giving out admin rights again or giving interactive logon rights to servers and having the non-admins logging directly into the servers to control their one service. I understand why MS went this direction, but unfortunately it didn't seem to be fully thought out as it probably should have been more widely announced so people understood what was going on, this has broken quite a few people.

 

LG Gadget

[IThome 10]

Dann hat er kein SP1 drauf auf seinem 2003er ? Oder gilt das nur für 2003er-DCs mit SP1 ?

edit: offensichtlich egal, ob DC oder Member ...

[ShadowByte 10]

Hoi again :)

 

Wie im Eröffnungstreat erwähnt ist folgende Software vorhanden und verteilt :

 

- DC = W2k SP 4

- Server auf dem der besagte Dienst läuft = W2k3 Standard SP 1

- Client WS = Win2000 Pro

 

GPO wurde lokal auf dem "Service-Host" - Server (sonst sehe ich den Dienst ja nicht) eingerichtet und zwar für die Gruppe jener Abteilung, dessen user diesen Dienst zu starten/stoppen in der Lage sein sollen.

 

Berechtigung : Starten/Stoppen + Lesen und hier natürlich auf "Manuell" eingerichtet.

 

Gruß, ShadowByte.

[Gadget 37]

Hm muss ich auch nochmal testen...

 

denke nicht dass der 2k DC hier den Unterschied macht.

vielleicht hab ich beim letzten Test das Leserecht nicht vergeben...

[ShadowByte 10]

Das Leserecht wird als default vergeben. Wird auch nur unter "Erweitert" angezeigt.

 

Ich denke auch, daß es hier das Server-OS nicht relevant ist.

 

Gruß, ShadowByte.

[IThome 10]

Teste ich auch noch mal, mit dem Spooler ...

[IThome 10]

Funktioniert auch mit SC.EXE ...

[ShadowByte 10]

Kannst Du im Detail noch einmal aufführen wie Du deine GPO konfiguriert hast ? Ich kann nicht recht beurteilen, ob ich zuviel oder überflüssig konfiguriert habe. Beispielsweise habe ich die GPO mit einer OU verknüpft, in der sich noch andere Mitgliedsserver befinden. Hier habe ich der GPO aufgegeben, daß sie sich explizit nur auf den "Service-Host" - Server anwenden soll.

 

Gruß, ShadowByte.

[IThome 10]

Ja, das ist doch okay. Ich habe zwar den Server in einer eigenen OU (Domain Controllers) und muss deshalb nicht mit der Sicherheitsfilterung arbeiten. In dem GPO habe ich ausschliesslich die relevanten Teile in der Computerkonfiguration konfiguriert und habe den Benutzerteil abgeschaltet ...

[Gadget 37]

so auch nochmal gestestet u. ich habs wieder geschafft, dass es mit sc.exe nicht geht... :D

 

Testumgebung 2k3 SP1 DC (DC1) u. XP Workstation, User Benutzer1 (Domänenbenutzer) soll den Spooler auf DC1 steuern können. Benutzer1 ist mitglied der Domänenlokalen Gruppe "IT"

 

1. Dienst konfiguriert u. der Gruppe IT nur Start, Stop Rechte vergeben geht nicht mit sc.exe u. svcutil

 

2. Dienst konfiguriert der Gruppe IT u. Lesen + Start, Stop rechte ... geht sc.exe u. svcutil

 

3. .... die Erweiterten Berechtigungen verändert (Berechtigung Lesen Rechte) entfernt => geht garnicht mehr

 

4. Dienst konfiguriert die Gruppe IT wieder komplett entfernt, danach hinzugefügt u. start, stop u. Leserechte vergeben.. => mit svcutil gehts mit sc.exe nicht...

 

[sC] OpenSCManager Failed 5:
Zugriff verweigert 

 

LG Gadget

[Gadget 37]

C:\Dokumente und Einstellungen\Benutzer1\Eigene Dateien>sc \\dc1 stop spooler
[sC] OpenSCManager FAILED 5:

Zugriff verweigert


C:\Dokumente und Einstellungen\Benutzer1\Eigene Dateien>svcutil.exe dc1\spooler
view

SvcUtil V02.04.00cpp  Joe Richards (joe@joeware.net) June 2005

SERVICE_NAME: spooler
DISPLAY NAME: Druckwarteschlange
       TYPE                 : 272  WIN32_OWN_PROCESS (interactive)
       STATE                : 4  RUNNING
                                 (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
       WIN32_EXIT_CODE      : 0  (0x0)
       SERVICE_EXIT_CODE    : 0  (0x0)
       CHECKPOINT           : 0x0
       WAIT_HINT            : 0x0

C:\Dokumente und Einstellungen\Benutzer1\Eigene Dateien>svcutil.exe dc1\spooler
stop

SvcUtil V02.04.00cpp  Joe Richards (joe@joeware.net) June 2005

Stopping service...
Service stopped successfully. 

 

naja is mir jetzt auch wurst, lass ich jetzt einfach mal auf sich beruhen.

 

LG Gadget

[ShadowByte 10]

Ich traue mich gar nicht euch kund zu tun, warum SC.exe bei mir funktionierte :( . Mir ist ein peinlicher (klitzekleiner) Fehler unterlaufen ... ein blutiger Anfängerfehler ... :o.

 

Aber hey, ich bin ja noch Anfänger und daher traue ich mich doch :

 

Ich habe in unserer Testumgebung den dummy-user "Test" für gleichnamige Zwecke eingerichtet. Mit diesem habe ich oben beschriebenes getestet. Leider hatte ich übersehen, daß sich dieser "user" noch von einer vorangegangenen Teststellung in der Grp "Administratoren" befand ....

Nun ist klar warum SC.exe bei mir funktionierte. Nachdem ich "Test" aus der Grp genommen hatte, funktionierte es natürlich auch nicht mehr.

 

Sorry, wenn ich jemanden mit meiner Falschaussage zu einem Mehraufwand an "Testzeit" veranlasst habe ("... das muss doch bei mir auch funktionieren ... :suspect: ...").

 

@ Kohn : Ist das Tool svcutil.exe Bestandteil des ressourceKit´s bzw. AdminPak´s ? Läuft das auch auf W2k Pro Clients ?

 

Danke nochmal für eure Bemühungen !

 

Gruß, ShadowByte.

[ShadowByte 10]

...and btw : der server der den Dienst hosted (W2k3 standart) ist lediglich ein Mitgliedsserver in einer W2k sp4 Domäne (DC). Da werde ich sicher Schwierigkeiten mit einer domänenlokalen Gruppe bekommen oder ?

 

Man ist das ein Theater ... :D

 

Gruß, Shadowbyte.

[IThome 10]

Wenn die Domäne im nativen Modus ist, ist es kein Problem. Ich habe es hier mit einem Domänenbenutzer und SC.EXE gemacht und das klappt (ich benutze aber trotzdem lieber SVCUTIL) ...

[ShadowByte 10]

War einige Zeit verhindert ... sorry.

 

Unsere Domäne läuft leider nicht im nativ-mode, da es hier scheinbar noch ein paar Dienste geben soll, die in diesem mode nicht mehr auszuführen wären ( :suspect: ) ... frag mich nicht ... (achselzuck).

 

In der GPO habe ich nun der grp ABTEILUNG die Berechtigung starten/stoppen des entsprechenden Dienstes erteilt. Die Mitarbeiter arbeiten auf einer Win2k Pro WS. Das tool SC.exe ist dem OS der WS offensichtlich nicht "bekannt" ... wie hast Du das realisiert ?

 

Gruß, ShadowByte.