Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst File Zugriff - Domain User auf Domain Controller ohne Admin Rechte

Mitglied: eyetSolutions

eyetSolutions (Level 1) - Jetzt verbinden

14.11.2017, aktualisiert 16:14 Uhr, 324 Aufrufe, 8 Kommentare

Hallo,

ich möchte gerne einem normalen Domain User (genutzt als Service User) Zugriff auf 2 Unterordner auf dem Domain Controller geben.

C:\*Ordner*

Außerdem soll er auf:

C:\Windows\System32\... auf einem Unterordner eine .exe ausführen dürfen.

Ich möchte dem Service User aber keine Admin Rechte bzw. Domain Admin Rechte geben. Dieser soll nur das können, also nicht auf die Active Directory zugreifen dürfen usw.

Probiert habe ich folgendes:

1. Dem User Rechte auf den entsprechenden Unterordner gegeben (Full Rights) -> kann diesen Ordner trotzdem nicht öffnen. Über eine Freigabe im Netzwerk funktioniert dann, es muss aber im Script der Explizite Ordner
\\*IP des Servers*\c$\*Ordner* angegeben werden

2. Über Group Policy - Default Domain Controller Policy - Dort unter der Local Policy -> Allow log on locally / Den User eingetragen. gpupdate /force und Neustart aber hat nichts gebracht.

Könnt ihr mir helfen wie ich das am besten bewerkstelligen kann. Problem ist halt das dies der Haupt Domain Controller ist. Bei jedem anderen Server könnte ich ja über die Local Users and Groups gehen.

Viele Grüße
David
Mitglied: emeriks
LÖSUNG 14.11.2017 um 16:31 Uhr
Hi,
2. Über Group Policy - Default Domain Controller Policy - Dort unter der Local Policy -> Allow log on locally / Den User eingetragen. gpupdate /force und Neustart aber hat nichts gebracht.
Allow log on locally
Das ist nur notwendig, wenn sich ein Benutzer interaktiv am Server anmelden können muss. Also direkt an der Konsole oder per RDP. Es ist nicht notwendig, wenn man auf eine Freigabe zugreifen will.
C:\*Ordner*
Hast Du diesen Ordner denn überhaupt freigeben und wenn ja, wie?
C:\Windows\System32\... auf einem Unterordner eine .exe ausführen dürfen.
Also soll er sich doch lokal anmelden dürfen? Ansonnsten müsstest Du auch diesen betreffenden Unterordner explizit freigeben.
Ich möchte dem Service User aber keine Admin Rechte bzw. Domain Admin Rechte geben.
Das ist sehr sinnvoll.
1. Dem User Rechte auf den entsprechenden Unterordner gegeben (Full Rights) -> kann diesen Ordner trotzdem nicht öffnen. Über eine Freigabe im Netzwerk funktioniert dann, es muss aber im Script der Explizite Ordner
\\*IP des Servers*\c$\*Ordner* angegeben werden
Zugriff über C$ geht nur für Admins, bei einem DC also Mitglieder der BuiltIn-Administratoren. Das kommt also für Dein Szenario nicht in Frage.
s.o. --> Gib diesen Ordner explizit frei und benutze diese Freigabe.

E.
Bitte warten ..
Mitglied: eyetSolutions
14.11.2017 um 16:54 Uhr
Zugriff über C$ geht nur für Admins, bei einem DC also Mitglieder der BuiltIn-Administratoren. Das kommt also für Dein Szenario nicht in Frage.
s.o. --> Gib diesen Ordner explizit frei und benutze diese Freigabe.

E.

Top danke, glaube das beantwortete meine Frage am besten. Ich wollte eben keine "Freigabe" machen sondern über den Tab "Security" des Ordners die Rechte vergeben für dies User. Dann über den Explorer über die Eingabe von \\*IP des Servers*\c$\*Ordner* auf diesen zugreifen. Wenn das nur für Builtin-Administratoren geht auf dem DC dann klappt das so wohl nicht. Auf den anderen Servern, die nicht DC sind, konnte ich das eben über Local Users and Groups regeln.

Ich probiere es jetzt über eine ganz normale "Freigabe". Da kann ich dann natürlich auch auf die Ordner zugreifen. Dadurch das es ein System Ordner ist lässt sich dort die "Security" Einstellung nicht anpassen. Dort ist allerdings die Gruppe "Users" der Domain bereits angelegt als RW Zugriff. Ich habe den Service User also der Domain Group "Users" hinzugefügt. Nun werde ich mal testen ob das mit den Netzwerk Shares und dem Zugriff soweit klappt.
Bitte warten ..
Mitglied: SlainteMhath
14.11.2017 um 17:01 Uhr
Moin,

2. Über Group Policy - Default Domain Controller Policy - Dort unter der Local Policy -> Allow log on locally
Damit darf sich der Service user an ALLEN DCs in deinem AD anmelden... ist das das was du willst?

C:\Windows\System32\... auf einem Unterordner eine .exe ausführen dürfen.
Darf ich fragen was das für eine exe ist, die normaler User übers Nertzwerk ausführen soll?

lg,
Slainte
Bitte warten ..
Mitglied: eyetSolutions
14.11.2017, aktualisiert um 17:38 Uhr
Zitat von SlainteMhath:

Moin,

2. Über Group Policy - Default Domain Controller Policy - Dort unter der Local Policy -> Allow log on locally
Damit darf sich der Service user an ALLEN DCs in deinem AD anmelden... ist das das was du willst?
Bisher gibt es zumindest nur einen Domain Controller aber nein sollte er eigentlich nicht.

C:\Windows\System32\... auf einem Unterordner eine .exe ausführen dürfen.
Darf ich fragen was das für eine exe ist, die normaler User übers Nertzwerk ausführen soll?

lg,
Slainte

Problem ist das dieser Domain Controller gleichzeitig der Webservice Server ist. Folgendes Szenario. Unser lokaler Jenkins greift über VPN Tunnel auf diesen Server zu und müsste auf folgende Datei zugreifen können:
C:\Windows\System32\inetsrv\appcmd.exe

Dafür muss beim Jenkins ein User hinterlegt werden (Service User). Dieser muss diese Datei ausführen und auf C:\inetpub Zugriff haben.

Lg
Bitte warten ..
Mitglied: Holle1991
14.11.2017 um 20:14 Uhr
Wenn du den Ordner freigibst, kannst du ihn doch über \\ip\freigabe\ordner einbinden?

Beispiel:

Der Ordner Test unter c:\xy\test soll eingebunden werden. Gib xy frei und Greif über \\ip\\xy\test darauf zu.
Bitte warten ..
Mitglied: eyetSolutions
14.11.2017 um 21:00 Uhr
Ja wie gesagt darüber wird es auch jetzt probiert. Unsere Entwickler haben es bisher über den direkten File Path ohne Share eingebunden.

Muss man sehen ob das gleich funktioniert in dem Code.

Lg
Bitte warten ..
Mitglied: SlainteMhath
15.11.2017 um 08:54 Uhr
Problem ist das dieser Domain Controller gleichzeitig der Webservice Server ist. Folgendes Szenario. Unser lokaler Jenkins greift über VPN
Tunnel auf diesen Server zu und müsste auf folgende Datei zugreifen können:
C:\Windows\System32\inetsrv\appcmd.exe
Ok, die Diskussion über die Sinnhafigkeit dieser Konstellation erspare ich uns jetzt mal an dieser Stelle...

Dafür muss beim Jenkins ein User hinterlegt werden (Service User). Dieser muss diese Datei ausführen und auf C:\inetpub Zugriff haben.
Die appcmd muss aber doch dann am Server(DC) ausgeführt werden - also muss der Jenkins sich doch an dem DC anmelden oder von Remote einen Prozess starten und je nachdem was via appcmd gemacht werden soll braucht er evtl. sogar noch entsprechende Rechte im IIS/Apppool und/oder der Registry...
Bitte warten ..
Mitglied: eyetSolutions
15.11.2017, aktualisiert um 13:06 Uhr
Ok, die Diskussion über die Sinnhafigkeit dieser Konstellation erspare ich uns jetzt mal an dieser Stelle...

Die komplette Konstellation kann ich dir nicht schildern. Das DC und Webservice Server ein und der selbe Server sind ist auch nicht ideal, voerst aber nun mal nicht anders zu lösen. Es ist aber so das dies aktuell so laufen muss, da es zwingend erforderlich ist das dieser auf einem Mac läuft. Da in dem RZ aber kein Mac Server oder Client zur Verfügung gestellt werden muss ist es so das wir aktuell diesen Umweg gehen müssen.


Dafür muss beim Jenkins ein User hinterlegt werden (Service User). Dieser muss diese Datei ausführen und auf C:\inetpub Zugriff haben.
Die appcmd muss aber doch dann am Server(DC) ausgeführt werden - also muss der Jenkins sich doch an dem DC anmelden oder von Remote einen Prozess starten und je nachdem was via appcmd gemacht werden soll braucht er evtl. sogar noch entsprechende Rechte im IIS/Apppool und/oder der Registry...

Er muss die appcmd ausführen, diese greift dann wiederrum auf den iis zu. Ich habe dem User aber Rechte über die appcmd gegeben indem ich diesen in die Gruppe genommen habe, die RW Rechte auf die appcmd hat.
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung
Domain Admin Rechte auf FileServer
Frage von BlueShadow9Windows Userverwaltung3 Kommentare

Hallo allerseits, ein Kollege und ich sind dabei, unser AD aufzuräumen. Bisher ist es so, dass es keine Domain ...

Windows Server

Domain Controller muss Admin immer angemeltet sein?

gelöst Frage von timo123Windows Server5 Kommentare

Hallo, muss eigentlich am DC immer ein Admin angemeldet sein oder recht es wenn der DC gestartet wird und ...

Windows Server

Programm Funktioniert nur mit Domain Admin Rechte

gelöst Frage von ImTrainingWindows Server4 Kommentare

Guten Tag, Habe ein etwas kleineres Problem, aber suche dennoch die richtige Lösung dafür noch. Ich habe vor kurzem ...

Datenschutz

CMD - Admin Check - User mit Admin Rechten finden

Anleitung von K-ist-KDatenschutz8 Kommentare

Hallo Werte IT Kollegen, hier ein kleines Script womit man heraus findet ob ein User Admin Rechte hat. Wenn ...

Neue Wissensbeiträge
Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 2 StundenAdministrator.de Feedback7 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 19 StundenHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 1 TagGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Sicherheit

Intel gibt neue Spectre V2-Microcode-Updates frei (20.02.2018)

Information von kgborn vor 1 TagSicherheit

Intel hat zum 20. Februar 2018 weitere Microcode-Updates für OEMs freigegeben, um Systeme mit neueren Prozessoren gegen die Spectre ...

Heiß diskutierte Inhalte
Server-Hardware
Welche Rolle spielt Design bei Enterprise IT Hardware?
Frage von ApolloXServer-Hardware17 Kommentare

Ich arbeite für einen internationalen Elektronikhersteller in der Forschung und meine Aufgabe ist es, Feedback von Nutzern in Hinsicht ...

Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...