kmp1988
Goto Top

Dienste als Domänen-Benutzer starten

Servus,

kann ich einzelnen Domänen-User Rechte vergeben, dass sie bestimmte Dienste neu starten dürfen?
der Kunde hat einen Server 2003 als DC.

Gruß Kernmaster

Content-Key: 230107

Url: https://administrator.de/contentid/230107

Ausgedruckt am: 19.03.2024 um 06:03 Uhr

Mitglied: MrNetman
MrNetman 17.02.2014 um 10:18:45 Uhr
Goto Top
Würde ich nicht wagen wollen.
Aber was wäre als Alternative denkbar:
Eine kompilierte Batch, die net start mit dem Benutzer und PW enthält, aber nicht entschlüssekt werden kann.
Es geht ja darum jemanden etwas tun zu lassen ohne das PW für ihn offen zu legen.

Gruß
Netman
Mitglied: KMP1988
KMP1988 17.02.2014 um 10:23:47 Uhr
Goto Top
Hi Netman,

ich will ja nur, dass ein bestimmter Domänen-User einen bestimmten Dienst neu starten kann...
Hintergrund ist der, dass ein Hersteller ein bestimmtes Programm auf dem Server verwalten muss und ich ihm keine Admin-Berechtigungen geben will...

Kann man das nicht über die Gruppenrichtlinien lösen?
Mitglied: Xaero1982
Lösung Xaero1982 17.02.2014 aktualisiert um 10:52:24 Uhr
Goto Top
Moin,

ja es geht.
Kann dir gerade aber nicht sagen, ob dieser Punkt auf einem 2003er vorhanden ist. Hab hier nur einen 2008 laufen.

Gruppenrichtlinie erstellen -> Bearbeiten

Computereinstellungen -> Richtlinien -> Windows-Einstellungen -> Systemdienste ->

Dort den Dienst raussuchen und konfigurieren. Unter "Sicherheit bearbeiten" den entsprechenden Nutzer eintragen.

Zum Starten und Stoppen dieses Dienstes muss er das aber glaube ich über die cmd machen oder eine Batch, weil er glaube ich als Benutzer keinen Zugriff hat auf die Services.msc, aber das kannst du ja probieren.

Gruß
Mitglied: colinardo
Lösung colinardo 17.02.2014 aktualisiert um 10:52:25 Uhr
Goto Top
Hallo Kernmaster,
das kannst du via GPO regeln:
Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Systemdienste
e912e5f790b29e4fdaa6f3ca57fca98d

-edit- sorry to late face-wink

Grüße Uwe
Mitglied: KMP1988
KMP1988 17.02.2014 um 10:52:06 Uhr
Goto Top
es hat funktioniert...
Danke euch zwei face-smile
Mitglied: DerWoWusste
DerWoWusste 18.02.2014 um 01:18:49 Uhr
Goto Top
Zur Komplettierung noch: man kann die ACLs auf Dienste natürlich auch ohne GPOs schreiben, lokal mit subinacl.exe etwa oder sc.exe.
Und wenn man GPOs wählt, hat man gerne mal das Problem, dass der Dienst gar nicht angezeigt wird, eben weil der Server diesen Dienst selbst nicht führt. Dann muss man RSAT von einem Rechner aus starten, der diesen Dienst hat und sich mir dem DC verbinden.