4
Anmelden als Dienst - wie am besten definieren
Hallo,
Ich benötige innerhalb meiner Domäne für bestimmte Benutzer das Recht Anmelden als Dienst - auch auf einzelnen Domänencontrollern.
Beispiel: Benutzerkonto der Sicherungssoftware, Benutzer für als Dienst laufende Anwendungssoftware.
Ich habe folgende Seite gefunden: http://www.morgantechspace.com/2013/11/Set-or-Grant-Logon-As-A-Service- ... und soweit verstanden. Allerdings handelt es sich bei den verschiedenen Varianten ja um dezentrale Lösungen - ich muss also pro Computer entweder ein Skript ausführen oder manuell tätig werden.
Eigentlich wollte ich das Ganze per GPO machen. Soweit ich das sehe werden dabei aber die Definitionen überschrieben, wenn sie in mehreren nacheinander angewendeten GPOs definiert werden.
mein Fragen sind nun folgende:
1.) ist das so
2.) ist das auch mit der Default Domain Policy und der Default Domain Controller Policy so (wenn 1 dann vermutlich?)
3.) geht es auch anders zentral?
- Beispielsweise über das Hinzufügen der Dienstkonto-Benutzer zu bereits bestehenden Gruppen die dieses Recht haben (können Gruppen das überhaupt haben?)
Danke
lcer
Ich benötige innerhalb meiner Domäne für bestimmte Benutzer das Recht Anmelden als Dienst - auch auf einzelnen Domänencontrollern.
Beispiel: Benutzerkonto der Sicherungssoftware, Benutzer für als Dienst laufende Anwendungssoftware.
Ich habe folgende Seite gefunden: http://www.morgantechspace.com/2013/11/Set-or-Grant-Logon-As-A-Service- ... und soweit verstanden. Allerdings handelt es sich bei den verschiedenen Varianten ja um dezentrale Lösungen - ich muss also pro Computer entweder ein Skript ausführen oder manuell tätig werden.
Eigentlich wollte ich das Ganze per GPO machen. Soweit ich das sehe werden dabei aber die Definitionen überschrieben, wenn sie in mehreren nacheinander angewendeten GPOs definiert werden.
mein Fragen sind nun folgende:
1.) ist das so
2.) ist das auch mit der Default Domain Policy und der Default Domain Controller Policy so (wenn 1 dann vermutlich?)
3.) geht es auch anders zentral?
- Beispielsweise über das Hinzufügen der Dienstkonto-Benutzer zu bereits bestehenden Gruppen die dieses Recht haben (können Gruppen das überhaupt haben?)
Danke
lcer
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 346260
Url: https://administrator.de/contentid/346260
Printed on: April 26, 2024 at 05:04 o'clock
4 Comments
Latest comment
Hi Icer,
dazu sind doch die GPOs optimal.
dazu sind doch die GPOs optimal.
Zitat von @lcer00:
Eigentlich wollte ich das Ganze per GPO machen. Soweit ich das sehe werden dabei aber die Definitionen überschrieben, wenn sie in mehreren nacheinander angewendeten GPOs definiert werden.
Warum erstellst du mehrere GPOs und sich widersprechende Definitionen für den selben Bereich?Eigentlich wollte ich das Ganze per GPO machen. Soweit ich das sehe werden dabei aber die Definitionen überschrieben, wenn sie in mehreren nacheinander angewendeten GPOs definiert werden.
Hi,
für einzelne DC's derselben Domäne kann man das meines Wissens nicht separat und verschieden einstellen. Die lokale Sicherheitsrichtlinie eines DC ist die Sicherheitsrichtlinie der Domäne und gilt für alle DC's. --> Habe ich verwechselt.
Ansonsten
GPO - Computereinstellungen - Richtlinien - Windows Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Benutzerrechte - Als Dienst Anmelden
Das muss man einmal in der GPO "Default Domain Controller Policy" für die Domaincontroller einrichten und dann in einer separaten GPO für die betreffenden Member Computer extra.
Beachte!
Wenn Du das per GPO machst, dann beachte, dass diese Einstellung nicht additiv ist. Du musst also in der GPO alle Konten und Gruppen drin haben, welche dort standardmäßig eingetragen sind und zusätzlich jene hinzufügen, welche Du zusätzlich berechtigen willst.
E.
Ansonsten
GPO - Computereinstellungen - Richtlinien - Windows Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Benutzerrechte - Als Dienst Anmelden
Das muss man einmal in der GPO "Default Domain Controller Policy" für die Domaincontroller einrichten und dann in einer separaten GPO für die betreffenden Member Computer extra.
Beachte!
Wenn Du das per GPO machst, dann beachte, dass diese Einstellung nicht additiv ist. Du musst also in der GPO alle Konten und Gruppen drin haben, welche dort standardmäßig eingetragen sind und zusätzlich jene hinzufügen, welche Du zusätzlich berechtigen willst.
E.
Warum erstellst du mehrere GPOs und sich widersprechende Definitionen für den selben Bereich?
Na ja, ich hatte wohl ursprünglich die Idee dass man die GPO-Einstellungen so "vererbt" würden, ähnlich der Sicherheitseinstellungen für Ordner. Das ist mir aber schon klar geworden.
Unabhängig davon:
Die (meine) Default Domain Controller Policy enthält diverse Einträge in "Anmelden als Dienst", "Anpassen von Speicherkontingenten für einen Prozess", "Ersetzen eines Tokens auf Prozessebene" .... Einige sind eingetragen von einer Softwareinstallation, andere, sind vordefiniert?!? z.B: Netzwerkdienst, alle mit SID *S-1-5-80-....
Wenn ich dann eine GPO erstelle, die Vorrang vor der Default Domain Controller Policy hat, werden die offenbar alle diese Einträge überschrieben, wenn ich ein einzelnes Dienstkonto bei "Anmelden als Dienst" definiere. Jedenfalls zeigen die Gruppenrichtlinienergebnisse die Einträge der Default Domain Controller Policy nicht mehr an.
Wenn ich dann "überschreiben" der Default Domain Controller Policy -Einträge vermeiden möchte, muss ich dann alle Einträge in der neuen Policy duplizieren?!
Irgendwie scheint die Default Domain (Controller) Policy aber nicht das Gleiche zu sein, wie eine normale GPO (die Diskussion gab es hier sicher schon ein paar mal...) https://www.gruppenrichtlinien.de/artikel/default-domain-policy-und-defa ... Auch deshalb die Frage..
Andererseits kann ich mir nicht so richtig vorstellen, dass man die Berechtiungseinträge für die Konten auf den Domänkontrollern händisch eintragen muss. Eine separate GPO für jeden unterschiedlich konfigurierten DC scheint mir aber auch irgendwie zu kompliziert.
lcer
Wenn ich dann eine GPO erstelle, die Vorrang vor der Default Domain Controller Policy hat, werden die offenbar alle diese Einträge überschrieben, wenn ich ein einzelnes Dienstkonto bei "Anmelden als Dienst" definiere.
Ja, das habe ich u.a. in meinem ersten Kommentar geschrieben: "nicht additiv".Jedenfalls zeigen die Gruppenrichtlinienergebnisse die Einträge der Default Domain Controller Policy nicht mehr an.
Nur für diese Einstellung.Wenn ich dann "überschreiben" der Default Domain Controller Policy -Einträge vermeiden möchte, muss ich dann alle Einträge in der neuen Policy duplizieren?!
Ja.Irgendwie scheint die Default Domain (Controller) Policy aber nicht das Gleiche zu sein, wie eine normale GPO (die Diskussion gab es hier sicher schon ein paar mal...) https://www.gruppenrichtlinien.de/artikel/default-domain-policy-und-defa ... Auch deshalb die Frage..
Die Default Domain Controller Policy schon. Aber sie gilt standardmäßig nur für DC's.Die Default Domain Policy ist auch eine "normale" GPO. Nur die Kennwort-Einstellungen sind hier gesondert zu erwähnen, weil sie dann für das Domänen-Objekt gelten, sprich, von den DC's für die Domäne so angewendet werden.
Andererseits kann ich mir nicht so richtig vorstellen, dass man die Berechtiungseinträge für die Konten auf den Domänkontrollern händisch eintragen muss. Eine separate GPO für jeden unterschiedlich konfigurierten DC scheint mir aber auch irgendwie zu kompliziert.
Nicht händisch aber auch nicht für jeden eine GPO ... Wie dann? Zaubern? Telekinese?Du könntest für die DC's ein Startupscript schreiben, welches Du in der Default Domain Controller Policy verteilst und welches abhängig vom DC dort was anderes einstellt.
