Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Dienst ohne Adminrechte soll Script ausführen welches Adminrechte benötigt - wie lösen.

Frage Entwicklung Batch & Shell

Mitglied: MarcoNB

MarcoNB (Level 1) - Jetzt verbinden

09.07.2010 um 17:14 Uhr, 6479 Aufrufe, 4 Kommentare

Hallo, bite um eine kurze Hilfestellung.

Ich habe eine USV die im E-Falle per dort hinterlegtem Batchdateiverweis, die entsprechenden Befehle ausführt.

In dieser Batchdatei, will ich nun den SQLServer Dienst herunter fahren. Hierzu benötige ich Adminrechte, da der Standardaccount des Computers nur Benutzerrechte hat.

Um dieses Problem zu Lösen habe ich mit runasspc eine verschlüsselte ausführung von dem Befehl erstellt.

Wenn ich die Batchdatei nun per Hand starte, funktioniert alles hervorragend.

Führe ich einen USV Test aus, wird der SQL Server Dienst jedoch nicht beendet. Vermutlich liegt es daran, das der Dienst der für die USV läuft nur mit Benutzerrechten ausgestattet ist (lokales System). Stelle ich nun ein, dass der USV Dienst mit Adminrechten ausgeführt wird, dann lässt sich der SQL Server Dienst auch beim Shutdown vernünftig beenden.

Soweit so gut.

Nun möchte ich aber ungerne den Dienst als Admin ausführen lassen. Sicherheitsrisiko wäre z.B. das an der Batchdatei von jemandem was geändert wird und dann sonstwas mit dem System gemacht werden könnte, da ja alles als Admin ausgeführt wird.

Ich gehe mal davon aus, das der USV Dienst die rechte auf die Batchdatei vererbt, kann man das nicht irgendwie abändern? Die Lösung mit meinem verschlüsselten runasspc Befehl wäre ja eigentlich viel sicherer und praktikablerer was auch den Einrichtungsaufwand für viele solcher Systeme anginge.

Schon mal Danke für Hilfe.
Mitglied: kingkong
09.07.2010 um 17:40 Uhr
Wenn Du die Batchdatei so abspeicherst, dass nur ein Admin an sie heran kommt, dann sollte das doch kein Problem sein. Außerdem war ich bisher der Meinung, dass das Systemkonto durchaus quasi Adminrechte (= Vollzugriff auf das System) hätte. Schau mal unter [1]. Nach dieser Beschreibung zu urteilen ist dem auch so...

[1] http://technet.microsoft.com/de-de/library/bb680595.aspx
Bitte warten ..
Mitglied: DerWoWusste
09.07.2010 um 22:04 Uhr
Hi.
Du lässt ein paar Infos bei Seite: Welches Betriebssystem? Arbeitet die USV-Software wirklich nicht bereits mit Systemrechten (als Dienst)? Wäre anzunehmen.
Andernfalls: erstelle einen geplanten Task mit geeignetem Benutzerkonto. Diesen kann Dann Deine Batch starten. Was der Task wiederum macht, steht in einer Batch, die möglichst gar nicht auf dem Rechner selbst liegt, sondern auf einer Freigabe, auf die alle nur Lesezugriff haben. Der Task ist nur vom Ersteller veränderbar.
Bitte warten ..
Mitglied: filippg
10.07.2010 um 01:22 Uhr
Hallo,

bist du dir sicher, dass der Dienst die Batchdatei überhaupt ausführen kann? Ich kenne das von Scheduled Tasks: man erstellt eine Batchdatei, testet die mit Nutzer x, richtet dann einen Scheduled Task ein, der als Nutzer x ausgeführt wird, und passieren tut - nichts. Die cmd kann von "herkömmlichen" Nutzern nämlich nur ausgeführt werden, wenn diese auch interaktiv angemeldet sind (Berechtigung über entsprechende Built-In Gruppe) - was weder ein Scheduled Task, noch ein Dienst ist. Siehe http://support.microsoft.com/kb/867466

Gruß

Filipp

Edit: okay, Local System sollte per default zum Ausführen berechtigt sein. Aber sicherheitshalber mal checken.
Bitte warten ..
Mitglied: MarcoNB
12.07.2010 um 14:56 Uhr
Hallo noch mal,

heute wieder Arbeit und ich bin wieder an dem Thema dran.

Also, auch wenn der Link zum lokalen Konto (unter dem mein Dienst standardgemäß, wie oben bereits erwähnt, ausgeführt wird) sich um System Center Configuration Manager handelt, wird das Prinzip ja sicher systemübergreifend so sein.

Betriebssystem hatte ich in der Tat nicht angegeben, es ist: Windows XP

Ja der Dienst kann die Batch ausführen, da ja einige Teile der Batchdatei abgearbeitet werden.

Nach einigem rumtesten, geht nun heute einfach net stop in der Batchdatei, wie von Anfang an gewünscht. Somit ist die Datei auch vor unberechtigtem Editieren geschützt. Es funktioniert nun erstmal, aber keiner weiß warum. ;-p

Evtl. hätte es ja immer funktioniert, weil der Dienst die erforderlichen Rechte hat, die Ausführung über die CMD per Hand jedoch nicht und dann bin ich auf den runasspc Trick gekommen, der aber komischer Weise nicht im Zusammenhang mit dem Dienst funktioniert, jedoch aber einzelen per CMD. Also das hört sich sicher alles verwirrend an, aber ist es auch für mich ein wenig.

Da dies so ist, lasse ich den Beitrag zunächst noch offen. Vielleicht hat ja jemand hier noch interessante weitere Hinweise o. Erklärungen.

Die USV ist übrigens eine Galaxy 3000 von MGE, läuft jetzt unter Schneider Electric bzw. APC.

Schon mal schönen Dank für die bisherige Hilfe.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Powershell Script in Script ausführen
Frage von diematrix125Windows Server2 Kommentare

Hallo! Ich habe hier momentan zwei verschiedene Skripte: 1. Skript zum Erstellen von Usern 2. Skript zum Erstellen der ...

Windows Userverwaltung
Win7: Programm als Domänenbenutzer mit Adminrechten ausführen
Frage von DirkK73Windows Userverwaltung14 Kommentare

Hallo zusammen, ich habe folgendes Problem: wir benutzen in der Firma einen Teilekatalog der Firma Softway. Nun sind seit ...

Samba
SAMBA netlogon-Scripte mit Adminrechte
Frage von maniacmacpainSamba2 Kommentare

Hallo, ich habe hier einen SAMBA-Server am laufen und möchte ein Script per netlogon verteilen. Dieses muss jedoch mit ...

Linux
Shell Script, Script ausführen in einem Zeitfenster
Frage von webstorLinux2 Kommentare

Hi, ich bin wieder mal lästig. ;-) ich habe ein Script das in einem Zeitraumen von als Bsp in ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 4 StundenWindows 10

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 6 StundenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 20 StundenInternet3 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 23 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server16 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte15 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...