Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Dienst ohne Adminrechte soll Script ausführen welches Adminrechte benötigt - wie lösen.

Frage Entwicklung Batch & Shell

Mitglied: MarcoNB

MarcoNB (Level 1) - Jetzt verbinden

09.07.2010 um 17:14 Uhr, 6263 Aufrufe, 4 Kommentare

Hallo, bite um eine kurze Hilfestellung.

Ich habe eine USV die im E-Falle per dort hinterlegtem Batchdateiverweis, die entsprechenden Befehle ausführt.

In dieser Batchdatei, will ich nun den SQLServer Dienst herunter fahren. Hierzu benötige ich Adminrechte, da der Standardaccount des Computers nur Benutzerrechte hat.

Um dieses Problem zu Lösen habe ich mit runasspc eine verschlüsselte ausführung von dem Befehl erstellt.

Wenn ich die Batchdatei nun per Hand starte, funktioniert alles hervorragend.

Führe ich einen USV Test aus, wird der SQL Server Dienst jedoch nicht beendet. Vermutlich liegt es daran, das der Dienst der für die USV läuft nur mit Benutzerrechten ausgestattet ist (lokales System). Stelle ich nun ein, dass der USV Dienst mit Adminrechten ausgeführt wird, dann lässt sich der SQL Server Dienst auch beim Shutdown vernünftig beenden.

Soweit so gut.

Nun möchte ich aber ungerne den Dienst als Admin ausführen lassen. Sicherheitsrisiko wäre z.B. das an der Batchdatei von jemandem was geändert wird und dann sonstwas mit dem System gemacht werden könnte, da ja alles als Admin ausgeführt wird.

Ich gehe mal davon aus, das der USV Dienst die rechte auf die Batchdatei vererbt, kann man das nicht irgendwie abändern? Die Lösung mit meinem verschlüsselten runasspc Befehl wäre ja eigentlich viel sicherer und praktikablerer was auch den Einrichtungsaufwand für viele solcher Systeme anginge.

Schon mal Danke für Hilfe.
Mitglied: kingkong
09.07.2010 um 17:40 Uhr
Wenn Du die Batchdatei so abspeicherst, dass nur ein Admin an sie heran kommt, dann sollte das doch kein Problem sein. Außerdem war ich bisher der Meinung, dass das Systemkonto durchaus quasi Adminrechte (= Vollzugriff auf das System) hätte. Schau mal unter [1]. Nach dieser Beschreibung zu urteilen ist dem auch so...

[1] http://technet.microsoft.com/de-de/library/bb680595.aspx
Bitte warten ..
Mitglied: DerWoWusste
09.07.2010 um 22:04 Uhr
Hi.
Du lässt ein paar Infos bei Seite: Welches Betriebssystem? Arbeitet die USV-Software wirklich nicht bereits mit Systemrechten (als Dienst)? Wäre anzunehmen.
Andernfalls: erstelle einen geplanten Task mit geeignetem Benutzerkonto. Diesen kann Dann Deine Batch starten. Was der Task wiederum macht, steht in einer Batch, die möglichst gar nicht auf dem Rechner selbst liegt, sondern auf einer Freigabe, auf die alle nur Lesezugriff haben. Der Task ist nur vom Ersteller veränderbar.
Bitte warten ..
Mitglied: filippg
10.07.2010 um 01:22 Uhr
Hallo,

bist du dir sicher, dass der Dienst die Batchdatei überhaupt ausführen kann? Ich kenne das von Scheduled Tasks: man erstellt eine Batchdatei, testet die mit Nutzer x, richtet dann einen Scheduled Task ein, der als Nutzer x ausgeführt wird, und passieren tut - nichts. Die cmd kann von "herkömmlichen" Nutzern nämlich nur ausgeführt werden, wenn diese auch interaktiv angemeldet sind (Berechtigung über entsprechende Built-In Gruppe) - was weder ein Scheduled Task, noch ein Dienst ist. Siehe http://support.microsoft.com/kb/867466

Gruß

Filipp

Edit: okay, Local System sollte per default zum Ausführen berechtigt sein. Aber sicherheitshalber mal checken.
Bitte warten ..
Mitglied: MarcoNB
12.07.2010 um 14:56 Uhr
Hallo noch mal,

heute wieder Arbeit und ich bin wieder an dem Thema dran.

Also, auch wenn der Link zum lokalen Konto (unter dem mein Dienst standardgemäß, wie oben bereits erwähnt, ausgeführt wird) sich um System Center Configuration Manager handelt, wird das Prinzip ja sicher systemübergreifend so sein.

Betriebssystem hatte ich in der Tat nicht angegeben, es ist: Windows XP

Ja der Dienst kann die Batch ausführen, da ja einige Teile der Batchdatei abgearbeitet werden.

Nach einigem rumtesten, geht nun heute einfach net stop in der Batchdatei, wie von Anfang an gewünscht. Somit ist die Datei auch vor unberechtigtem Editieren geschützt. Es funktioniert nun erstmal, aber keiner weiß warum. ;-p

Evtl. hätte es ja immer funktioniert, weil der Dienst die erforderlichen Rechte hat, die Ausführung über die CMD per Hand jedoch nicht und dann bin ich auf den runasspc Trick gekommen, der aber komischer Weise nicht im Zusammenhang mit dem Dienst funktioniert, jedoch aber einzelen per CMD. Also das hört sich sicher alles verwirrend an, aber ist es auch für mich ein wenig.

Da dies so ist, lasse ich den Beitrag zunächst noch offen. Vielleicht hat ja jemand hier noch interessante weitere Hinweise o. Erklärungen.

Die USV ist übrigens eine Galaxy 3000 von MGE, läuft jetzt unter Schneider Electric bzw. APC.

Schon mal schönen Dank für die bisherige Hilfe.
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
VB for Applications
Powershell Script aus VBA heraus ausführen (2)

Frage von mcnico1978 zum Thema VB for Applications ...

Microsoft Office
Access ein Script alle X Minuten ausführen und bei Bedarf stoppen (5)

Frage von thomas1972 zum Thema Microsoft Office ...

Batch & Shell
gelöst Powershell-Script als Admin über CMD ausführen (2)

Frage von Tobiased zum Thema Batch & Shell ...

Windows Server
Batch Script bei Start ausführen (3)

Frage von KEFHVDI zum Thema Windows Server ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (13)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...