Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Dienst ohne Adminrechte soll Script ausführen welches Adminrechte benötigt - wie lösen.

Frage Entwicklung Batch & Shell

Mitglied: MarcoNB

MarcoNB (Level 1) - Jetzt verbinden

09.07.2010 um 17:14 Uhr, 6360 Aufrufe, 4 Kommentare

Hallo, bite um eine kurze Hilfestellung.

Ich habe eine USV die im E-Falle per dort hinterlegtem Batchdateiverweis, die entsprechenden Befehle ausführt.

In dieser Batchdatei, will ich nun den SQLServer Dienst herunter fahren. Hierzu benötige ich Adminrechte, da der Standardaccount des Computers nur Benutzerrechte hat.

Um dieses Problem zu Lösen habe ich mit runasspc eine verschlüsselte ausführung von dem Befehl erstellt.

Wenn ich die Batchdatei nun per Hand starte, funktioniert alles hervorragend.

Führe ich einen USV Test aus, wird der SQL Server Dienst jedoch nicht beendet. Vermutlich liegt es daran, das der Dienst der für die USV läuft nur mit Benutzerrechten ausgestattet ist (lokales System). Stelle ich nun ein, dass der USV Dienst mit Adminrechten ausgeführt wird, dann lässt sich der SQL Server Dienst auch beim Shutdown vernünftig beenden.

Soweit so gut.

Nun möchte ich aber ungerne den Dienst als Admin ausführen lassen. Sicherheitsrisiko wäre z.B. das an der Batchdatei von jemandem was geändert wird und dann sonstwas mit dem System gemacht werden könnte, da ja alles als Admin ausgeführt wird.

Ich gehe mal davon aus, das der USV Dienst die rechte auf die Batchdatei vererbt, kann man das nicht irgendwie abändern? Die Lösung mit meinem verschlüsselten runasspc Befehl wäre ja eigentlich viel sicherer und praktikablerer was auch den Einrichtungsaufwand für viele solcher Systeme anginge.

Schon mal Danke für Hilfe.
Mitglied: kingkong
09.07.2010 um 17:40 Uhr
Wenn Du die Batchdatei so abspeicherst, dass nur ein Admin an sie heran kommt, dann sollte das doch kein Problem sein. Außerdem war ich bisher der Meinung, dass das Systemkonto durchaus quasi Adminrechte (= Vollzugriff auf das System) hätte. Schau mal unter [1]. Nach dieser Beschreibung zu urteilen ist dem auch so...

[1] http://technet.microsoft.com/de-de/library/bb680595.aspx
Bitte warten ..
Mitglied: DerWoWusste
09.07.2010 um 22:04 Uhr
Hi.
Du lässt ein paar Infos bei Seite: Welches Betriebssystem? Arbeitet die USV-Software wirklich nicht bereits mit Systemrechten (als Dienst)? Wäre anzunehmen.
Andernfalls: erstelle einen geplanten Task mit geeignetem Benutzerkonto. Diesen kann Dann Deine Batch starten. Was der Task wiederum macht, steht in einer Batch, die möglichst gar nicht auf dem Rechner selbst liegt, sondern auf einer Freigabe, auf die alle nur Lesezugriff haben. Der Task ist nur vom Ersteller veränderbar.
Bitte warten ..
Mitglied: filippg
10.07.2010 um 01:22 Uhr
Hallo,

bist du dir sicher, dass der Dienst die Batchdatei überhaupt ausführen kann? Ich kenne das von Scheduled Tasks: man erstellt eine Batchdatei, testet die mit Nutzer x, richtet dann einen Scheduled Task ein, der als Nutzer x ausgeführt wird, und passieren tut - nichts. Die cmd kann von "herkömmlichen" Nutzern nämlich nur ausgeführt werden, wenn diese auch interaktiv angemeldet sind (Berechtigung über entsprechende Built-In Gruppe) - was weder ein Scheduled Task, noch ein Dienst ist. Siehe http://support.microsoft.com/kb/867466

Gruß

Filipp

Edit: okay, Local System sollte per default zum Ausführen berechtigt sein. Aber sicherheitshalber mal checken.
Bitte warten ..
Mitglied: MarcoNB
12.07.2010 um 14:56 Uhr
Hallo noch mal,

heute wieder Arbeit und ich bin wieder an dem Thema dran.

Also, auch wenn der Link zum lokalen Konto (unter dem mein Dienst standardgemäß, wie oben bereits erwähnt, ausgeführt wird) sich um System Center Configuration Manager handelt, wird das Prinzip ja sicher systemübergreifend so sein.

Betriebssystem hatte ich in der Tat nicht angegeben, es ist: Windows XP

Ja der Dienst kann die Batch ausführen, da ja einige Teile der Batchdatei abgearbeitet werden.

Nach einigem rumtesten, geht nun heute einfach net stop in der Batchdatei, wie von Anfang an gewünscht. Somit ist die Datei auch vor unberechtigtem Editieren geschützt. Es funktioniert nun erstmal, aber keiner weiß warum. ;-p

Evtl. hätte es ja immer funktioniert, weil der Dienst die erforderlichen Rechte hat, die Ausführung über die CMD per Hand jedoch nicht und dann bin ich auf den runasspc Trick gekommen, der aber komischer Weise nicht im Zusammenhang mit dem Dienst funktioniert, jedoch aber einzelen per CMD. Also das hört sich sicher alles verwirrend an, aber ist es auch für mich ein wenig.

Da dies so ist, lasse ich den Beitrag zunächst noch offen. Vielleicht hat ja jemand hier noch interessante weitere Hinweise o. Erklärungen.

Die USV ist übrigens eine Galaxy 3000 von MGE, läuft jetzt unter Schneider Electric bzw. APC.

Schon mal schönen Dank für die bisherige Hilfe.
Bitte warten ..
Ähnliche Inhalte
Batch & Shell
gelöst Domainübergreifendes netlogon script ausführen (8)

Frage von Lukas4580 zum Thema Batch & Shell ...

Batch & Shell
Batch als Dienst bei Systemstart ohne Anmeldung ausführen (5)

Tipp von tralveller zum Thema Batch & Shell ...

Windows Server
Login Script verzögert ausführen (6)

Frage von Intruder0001 zum Thema Windows Server ...

Neue Wissensbeiträge
Batch & Shell

Batch zum Zurücksetzen eines lokalen Profils

Tipp von Mr.Error zum Thema Batch & Shell ...

RedHat, CentOS, Fedora

Fedora, RedHat, Centos: DNS-Search Domain setzen

(13)

Tipp von Frank zum Thema RedHat, CentOS, Fedora ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
VPN Tunnel aufbauen (16)

Frage von Hajo2006 zum Thema LAN, WAN, Wireless ...

Router & Routing
ASUS RT-N18U mit VPN Client hinter Fritzbox - Portforwarding (13)

Frage von marshall75000 zum Thema Router & Routing ...

Microsoft Office
Saubere HTML aus Word-Dokument (13)

Frage von peterpa zum Thema Microsoft Office ...

E-Mail
gelöst Probleme beim E-Mail Empfang (12)

Frage von TommyB83 zum Thema E-Mail ...