Usern das starten/stoppen eines Dienstes erlauben

[ShadowByte 10]

Hoi @ all :)

 

Wir haben ein Programm (MIS - Management Information Service) auf einem Server laufen. Nun gibt es drei Mitarbeiter der Controllingabteilung die, zu Backup- und/oder Aktualisierungsvorgängen, den entsprechenden Dienst (und natürlich ausschließlich diesen) auf dem Server selbst starten und stoppen in der Lage sein sollen. Mein Gedankengang wäre eine batch-Lösung (tüftel tüftel).

 

Würde mich freuen, wenn mir jemand mit einer einfacheren Möglichkeit den Horizont erweitert :)

 

DC = w2k

Server = w2k3

Clients = w2k pro

 

Vielen Dank und Grüße,

 

ShadowByte.

[lefg 276]

Hallo,

 

das Kommandozeilenprogramm zum Stoppen und Starten von Diensten ist die sc.exe.

 

Viel Erfolg

 

Edgar

[grizzly999 11]

Die Berechtigung zum Starten oder Stoppen eines Dienstes kann man damit aber nicht erteilen. Das geht entweder über Gruppenrichtlinien oder mit dem Tool subinacl.exe aus dem ResourceKit

 

grizzly999

[ShadowByte 10]

Hoi Edgar, Hoi Grizzly !

 

Danke für eure schnellen Antworten. Ich werde mir das gleich mal anschauen.

Allerdings sehe ich gerade keinen Ansatzpunkt für eine Lösung per GP. Wie kann ich per GP das starten/stoppen eines einzelnen Dienstes für bestimmte user festlegen ... wenn du da bitte noch einmal Zeit für ein Statement hättest ... sehr dankbar wäre, der junge Padawan :)

 

Gruß, ShadowByte.

[grizzly999 11]

Auf dem Dc in der GPO (für den entsprechenden Computer) unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Systemdienste -> Dienst auswählen und Eintragen, wer die Start-/Beendeberechtiung hat.

 

 

grizzly999

[lefg 276]

Ich habe nun keinen 2kDC mehr zur Verfügung.

 

Bei 2k3, in einer Gruppenrichtlinie, Computerkonfiguration, Windows-Einstellungen, Sicherheitseinstellungen, Systemdienste

[lefg 276]

Zu sc.exe gibt es die commands sdshow und sdset, siehe sc /?.

 

Mit der sc.exe lassen sich ja auch Dienste einrichten, dazu Berechtigungen vergeben.

 

Mit der GrpRili ist das aber schöner, einfacher. Es es darauf zu achten, worauf wirkt die Gruppenrichtlinie!

 

Off-Topic:

Die Glocken läuten, ich gehe zu Tisch

[ShadowByte 10]

Sorry, ich habe einen wichtigen Punkt unterschlagen :rolleyes: ... die user sollen in Lage sein diesen Dienst von ihrem Arbeitsplatz aus zu starten/stoppen. Kann man das ohne Externa realisieren ? GPO ... Systemdienste ... natürlich (sich an die Stirn klatscht). Allerdings wird der Dienst auf einem anderen Server (kein DC) ausgeführt .... hmm, was tun ?

 

Gruß, ShadowByte.

[Sternenkind 11]

Das geht mit GPO? :shock:

 

Das hilft mir gerade bei einem aktuellen Problem, sag ich auch mal danke!

[IThome 10]

Mit diesem Tool funktioniert es

http://www.joeware.net/win/free/tools/svcutil.htm

mit SC.EXE habe ich es noch nicht hinbekommen, als normaler User (von seiner Workstation aus) auf einem Remoteserver einen Dienst zu beenden, nachdem dieser Dienst via GPO entsprechend konfiguriert wurde ...

[ShadowByte 10]

Hoi @ all und einen ruhigen Wochenbeginn :)

 

Danke für eure Beiträge, ich werde das mal durchprobieren.

Meine Erfahrungen mit sc.exe : Ich habe es geschafft einen Dienst (über die commandshell) remote zu starten/stoppen. Dieser Befehl wird dann noch "User-freundlich" in eine .bat gepackt und auf den Desktop verknüpft. Allerdings hat dies nach Ausführung so sehr lange gedauert, daß ich schon befürchtete, daß sich der Dienst aufgehangen hatte. Werde der Sache nochmal auf den Grund gehen.

 

Nochmal Danke an alle :)

 

Gruß, ShadowByte.

[lefg 276]

Allerdings hat dies nach Ausführung so sehr lange gedauert, daß ich schon befürchtete, daß sich der Dienst aufgehangen hatte. Werde der Sache nochmal auf den Grund gehen.

Bei mir geht das blitzschnell.

 

Wie ist denn mit der Namensauflöung, funktioniert die richtig? Gibt es da noch andere Symphome, wie lange Anmeldezeit, ewiges Laden der Servergespeicherten Benutzerprofile?

[IThome 10]

Auch als normaler Domänenbenutzer ?

[ShadowByte 10]

Hoi nochmal :)

 

Ein wenig spät ... :o ... aber besser als nie :) :

 

Der Vollständikeit halber nochmal kurz die Lösung dokumentiert :

 

step 1 :

Wie Grizzly999 (danke dafür) weiter oben bereits beschrieben hat :

 

Auf dem Dc in der GPO (für den entsprechenden Computer) unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Systemdienste -> Dienst auswählen und Eintragen, wer die Start-/Beendeberechtiung hat.

 

... diese GPO (zB. mit mmc-SnapIn ADS) natürlich LOKAL auf dem Rechner, auf dem der Dienst läuft, konfigurieren. In meinem Falle bezieht sich die Berechtigung auf eine Gruppe.

 

step 2 : zur Aktualisierung der GPO "gpupdate" ausführen (bei W2k ist das "secedit /refreshpolicy machine_policy")

 

step 3 : Kontrolle der GPO-Umsetzung mit "gpresult" (ein vergleichbarer Befehl für w2k ist mir leider unbekannt, vielleicht kann den einer der Veteranen noch einmal nachposten ;) )

 

step 4 : den korrekten Namen des Services ermitteln mit "sc \\[server] query (für eine übersichtliche step-by-step Auflistung noch ein "| more" dahinter setzten). WICHTIG : relevant ist hier der "service_name" und NICHT der display_name !

 

step 5 : Anlegen einer "user-freundlichen" .bat-Datei :

 

.bat 1 :

sc \\[server] start [Dienst]
pause

.bat 2 :

sc \\[server] stop [Dienst]
pause

BEISPIEL : sc \\srv02 start AleaService

 

step 6 : optional noch ein .bat zur Überprüfung des aktuellen Dienststatuses :

 

.bat 3 :

sc \\[server] query [Dienst]
pause

step 7 : die erstellten .bat Dateien entsprechend benennen und den entsprechenden usern zur Verfügung stellen (Desktop bietet sich an ;) )

 

Ich danke nochmals allen, die mir hier mit ihrem Wissen Beistand geleistet haben ! :)

 

Gruß, ShadowByte.

[IThome 10]

Hm, mit einem 2003 DC und XP-CLients kann ich mit SC noch nicht mal den Spoolerdienst remote neu starten (wenn der User auf der XP-Maschine nur Domänenbenutzer ist) ...

Ich probiere noch einmal, ob es mit einem 2003 Member möglich ist bzw. wenn der Client ein 2000er ist ...