7
Berechtigung für Dienstausführung - welche Berechtigungen im Dateisystem sind notwendig?
Hallo,
ich habe einen neuen Benutzer in Windows 2003 Web Edition angelegt, um mit diesem den Apache Webserver als Dienst zu starten.
Nach der Basisinstallation des Windows Servers habe ich zunächst einmal der Gruppe "Users" und der Gruppe "jeder" alle Lese- und Schreibeberechtigungen auf dem Systemlaufwerk entzogen (warum sind die eigentlich standardmäßig gesetzt?). Dem Apache Benutzer habe ich die Berechtigung für das Apache Verzeichnis und das document root gegeben, zusätzlich noch den Vollzugriff auf den Profilordner des Benutzers unter Dokumente und Einstellungen. Leider kann der Benutzer den Dienst nicht starten, als Fehler wird gemeldet: "Sie konnten nicht angemeldet werden, da das lokal gespeicherte Profil nicht geladen werden konnte. Überprüfen Sie, das eine Netzwerkverbindung besteht und das Netzwerk korrekt arbeitet. Wenden Sie sich an den Netzwerkadministrator, wenn das Problem weiterhin besteht. Details - Zugriff verweigert " Quelle userenv Ereigniskennung 1500.
Vielen Dank,
Rudolf
ich habe einen neuen Benutzer in Windows 2003 Web Edition angelegt, um mit diesem den Apache Webserver als Dienst zu starten.
Nach der Basisinstallation des Windows Servers habe ich zunächst einmal der Gruppe "Users" und der Gruppe "jeder" alle Lese- und Schreibeberechtigungen auf dem Systemlaufwerk entzogen (warum sind die eigentlich standardmäßig gesetzt?). Dem Apache Benutzer habe ich die Berechtigung für das Apache Verzeichnis und das document root gegeben, zusätzlich noch den Vollzugriff auf den Profilordner des Benutzers unter Dokumente und Einstellungen. Leider kann der Benutzer den Dienst nicht starten, als Fehler wird gemeldet: "Sie konnten nicht angemeldet werden, da das lokal gespeicherte Profil nicht geladen werden konnte. Überprüfen Sie, das eine Netzwerkverbindung besteht und das Netzwerk korrekt arbeitet. Wenden Sie sich an den Netzwerkadministrator, wenn das Problem weiterhin besteht. Details - Zugriff verweigert " Quelle userenv Ereigniskennung 1500.
Vielen Dank,
Rudolf
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 105008
Url: https://administrator.de/contentid/105008
Printed on: April 16, 2024 at 15:04 o'clock
7 Comments
Latest comment
Hallo,
eine 2k3 Webedition mit Apache? Aber nun gut... dem User fehlt das Recht "Als Dienst anmelden..." Kannst Du in den Sicherheitsrichtlinien vergeben. Wenn der Ohne AD läuf Systemsteuerung > Verwaltung > Lokale Sicherheitsrichtlinien. Da dann Lokale Richtlinien > Zuweisen von Benutzerrichtlinien
eine 2k3 Webedition mit Apache? Aber nun gut... dem User fehlt das Recht "Als Dienst anmelden..." Kannst Du in den Sicherheitsrichtlinien vergeben. Wenn der Ohne AD läuf Systemsteuerung > Verwaltung > Lokale Sicherheitsrichtlinien. Da dann Lokale Richtlinien > Zuweisen von Benutzerrichtlinien
Vielen Dank für die schnelle Antwort. Die Berechtigung "Als Dienst anmelden.." wurde schon automatisch vergeben als ich dem Dienst den Benutzer zugeodnet habe, daran liegt es also nicht. Der Benutzer kann sich auch so nicht anmelden, es kommt immer obiger Fehler, irgendeine Schreibberechtigung fehlt noch. Sollte ich vielleicht "Users" und "Jeder" die globalen Berechtigungen auf dem Systemlaufwerk wieder zuordnen?
P.S.: Ja, ich weiß, ungewöhnlich Kombi von Server und Apache, hab mich schon geärgert, weil die Webedition nur 2GB Hauptspeicher unterstützt.
P.S.: Ja, ich weiß, ungewöhnlich Kombi von Server und Apache, hab mich schon geärgert, weil die Webedition nur 2GB Hauptspeicher unterstützt.
Also ich kenne nur "normale" W2k3s, bei denen hat "jeder" in den Verzeichnissen nix zu suchen, "Users" aber natürlich mit lesen, ausführen, Ordnerauflisten und lesen. Jeder User muß natürlich z.B. im Windowsverzwichnis INI-Dateien etc. auslesen können.
An den Berechtigungen auf dem Systemlaufwerk würde ich nie was ändern, das ist bei Windows schon so gemacht, dass "Normals" nur da hin dürfen, wo sie sollen.
Genau so mit dem Profilordner, der wir auch so angelegt und verrechtet, wie er muß.
Und wenn Du die die Orginalrechte von "Jeder" auf C: selbst anschaust, dann darf der nur auf die C:-Root lesend zugreifen, sonst nix.
An den Berechtigungen auf dem Systemlaufwerk würde ich nie was ändern, das ist bei Windows schon so gemacht, dass "Normals" nur da hin dürfen, wo sie sollen.
Genau so mit dem Profilordner, der wir auch so angelegt und verrechtet, wie er muß.
Und wenn Du die die Orginalrechte von "Jeder" auf C: selbst anschaust, dann darf der nur auf die C:-Root lesend zugreifen, sonst nix.
Wahrscheinlich liegt es dann daran, dass der Apache Benutzer zu "Users" gehört und in windows nichts mehr darf. Bin aber doch überrascht, dass das Users alles lesen und ausführen dürfen. Wird der Apache kompromittiert, kann man mit dem Benutzer ja alles sehen und lesen. Außerdem hätte ich gedacht, dass die Inis von Systemprozessen gelesen/geschrieben werden und der Benutzer die nicht benötigt. Aber gut, jetzt bekommen User erst einmal die Rechte zum Lesen und Ausführen mit Vererbung zurück.
Hab auf meine Server auch einen Apachen laufen, der User dafür ist nicht mal in der Gruppe "Users". Der darf nur auf dem apachenverzeichnis hin wo er muß, sonst nix außer eben als Dienst.
Mist, jetzt läuft mein SQL Server 2005 Express nicht mehr und Dienste lassen sich auch nicht mehr beenden, hat bestimmt damit zu tun, dass nur noch Administrator, Users und System Lesen und Ausführen dürfen. Gibts andere Gruppen, die standardmäßig Zugriff auf Verzeichnisse haben sollten?
Moin,
System und Admins natürlich, aber mit Vollzugriff.
System und Admins natürlich, aber mit Vollzugriff.