Usern das starten/stoppen eines Dienstes erlauben

[IThome 10]

Vielleicht solltest Du mal vom Memberserver aus die Richtlinie konfigurieren und dann die Berechtigungen für den Dienst auf "Starten, Anhalten und Unterbrechen" und auf "Lesen" stellen (sollte vom 2000er aus eigentlich genauso laufen) Setze zum Test keine speziellen Berechtigungen, sondern benutze die Default-Berechtigungen.

Wenn Du das machst, musst Du auf dem 2000 DC noch einen Patch installieren ...

http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=BA478B46-3AF7-4EAF-9CE6-E34EA2C74FAF

Übrigens brauchst Du das GPO nicht nach der Gruppe Controlling filtern, da sich in der OU des Servers keine Benutzerkonten befinden und ausserdem im GPO nur Computerkonfigurationen durchgeführt wurden. Benutze die "Authentifizierten Benutzer" oder besser noch, lasse den Standard ...

[ShadowByte 10]

Die GPO wurde auf dem memberserver konfiguriert und mit besagten Rechten für die Gruppe Controlling versehen. Anders habe ich ja auch keine Möglichkeit, an den Dienst des memberservers heranzukommen.

 

Übrigens brauchst Du das GPO nicht nach der Gruppe Controlling filtern, da sich in der OU des Servers keine Benutzerkonten befinden und ausserdem im GPO nur Computerkonfigurationen durchgeführt wurden.

Ok, daß ist erkannt. War eigentlich schon klar, jedoch beginnt man irgentwann "herumzuspinnen" wenn etwas nicht funktioniert :)

 

Die Fehlermeldung, die den erwähnten patch notwendig macht, erscheint in diesem Zusammenhang nicht. Soll ich den trotzdem installieren ?

 

Die Berechtigungen für diesen Dienst über die GPO lauten nun :

 

Startmodus = manuell

Admins = voll

Controlling = voll

Interaktiv = lesen

SYSTEM = voll

Filter = Authentifizierte Benutzer (default)

 

Die Berechtigungen des Ordners, in dem sich SC.exe + die .bat auf den desktops der Benutzer befinden = Controlling = voll

 

Alle Mitglieder der Abteilung Controlling gehören auch der Gruppe Controlling an.

Die GPO wird laut gpresult auf den memberserver angewand und es schauen auch kein Dreizack, Hörner oder Hufe aus dem Servergehäuse !

Es ist doch eigentlich alles richtig konfiguriert..... ich werde noch wahnsinnig mit diesem Thema :)

 

Gruß

[ShadowByte 10]

Ich meine, falls mit SC die Gruppe in der ACL des Dienstes nicht gelistet wird, dann steht sie auch nicht drin und die GPO ist wirksam.

Ich kann aus den kryptischen Abfolgen von Zahlen und Buchstaben leider keine Zugehörigkeit erkennen. Kannst Du vielleicht nochmal erläutern, wie ich mir eine ACL eines Objektes ansehen kann, um diese dann mit den ACL des Dienstes zu vergleichen ? Habe ich noch nicht gemacht soetwas ... /blush.

 

Gruß.

[IThome 10]

Was heisst "Filter = Authentifizierte Benutzer" ? Reden wir jetzt aneinander vorbei ?

[ShadowByte 10]

Nein, wars***einlich habe ich mich nur mißverständlich ausgedrückt. Ich meine den Sicherheitsfilter den man bei einem GPO noch setzen kann um eben dieses auf nur bestimmte Objekte innerhalb einer OU anzuwenden. Dieser Sicherheitsfilter behinhaltet bei der Erstellung eines GPO als default "Authentifizierte Benutzer".

[IThome 10]

Und was hast Du in der GPO in den Dienstberechtigungen für die entsprechende Gruppe eingestellt ? Hast Du es auch mal mit SVCUTIL probiert anstelle von SC.EXE ?

[lefg 276]

Ich kann aus den kryptischen Abfolgen von Zahlen und Buchstaben leider keine Zugehörigkeit erkennen. Kannst Du vielleicht nochmal erläutern, wie ich mir eine ACL eines Objektes ansehen kann, um diese dann mit den ACL des Dienstes zu vergleichen ? Habe ich noch nicht gemacht soetwas ... /blush.

 

Gruß.

An einem 2k3, regedit, HKEY_Local_machine, system, controlsetxxx, currentcontrolset.

 

Suche da mal den Service raus, schaue die Eigenschaften an!

 

Etwas Bessers habe ich im Moment nicht.

[ShadowByte 10]

Hast Du es auch mal mit SVCUTIL probiert anstelle von SC.EXE ?

SVCUTIL hatte ich noch nicht versucht.

 

Und was hast Du in der GPO in den Dienstberechtigungen für die entsprechende Gruppe eingestellt ?

 

Wie ich weiter oben beschrieben habe :

 

Die Berechtigungen für diesen Dienst über die GPO lauten nun :

 

Startmodus = manuell

Admins = voll

Controlling = voll

Interaktiv = lesen

SYSTEM = voll

Sicherheitsfilter = Authentifizierte Benutzer (default)

 

... oder meinst Du etwas anderes ?

[IThome 10]

Ich meine unter Computerkonfiguration - Windowseinstellungen - Systemdienste - "Dienstname" - Sicherheit bearbeiten

in dem GPO, ich meine nicht die Sicherheitsfilterung des GPOs ...

Dort die Gruppe zufügen und die Berechtigung "Starten,anhalten und unterbrechen" UND "Lesen" gewähren

[ShadowByte 10]

Ganz genau. Dann sprechen wir beide doch von der selben Sache. Das habe ich getan, schon von Beginn an und mit der bereits erwähnten Konfiguration für die Gruppe Controlling. :)

 

edit : Ich habe der Gruppe sogar bereits Vollzugriff eingerichtet ... funktioniert einfach nicht ! GRRR ! :)

[IThome 10]

Dann benutze mal SVCUTIL ...

edit: ich hab das jetzt noch mal ausprobiert, von einem Client mit Benutzerrechten auf einem 2003 SP1 (DC) einen Dienst remote mit SC zu stoppen, ich bekomme keine Verweigerung ...

[ShadowByte 10]

Mit svcutil.exe funktioniert es .... ENDLICH !!! :D

Ich habe langsam wirklich keine Idee mehr, warum es mit sc.exe nicht funktionieren will. Kann es vielleicht doch an unserem mixed-mode liegen ? Interessieren würde es mich schon, woran es letztendlich scheitert.

 

ABER, ich freue mich darüber, daß es mit svcusti.exe nun endlich funktioniert ... :D ... und ich bin WIRKLICH dankbar für eure sehr geduldige Unterstützung !

 

Gruß, ShadowByte.