Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

File Zugriff - Domain User auf Domain Controller ohne Admin Rechte

Frage Microsoft Windows Server

Mitglied: eyetSolutions

eyetSolutions (Level 1) - Jetzt verbinden

14.11.2017, aktualisiert 16:14 Uhr, 257 Aufrufe, 8 Kommentare

Hallo,

ich möchte gerne einem normalen Domain User (genutzt als Service User) Zugriff auf 2 Unterordner auf dem Domain Controller geben.

C:\*Ordner*

Außerdem soll er auf:

C:\Windows\System32\... auf einem Unterordner eine .exe ausführen dürfen.

Ich möchte dem Service User aber keine Admin Rechte bzw. Domain Admin Rechte geben. Dieser soll nur das können, also nicht auf die Active Directory zugreifen dürfen usw.

Probiert habe ich folgendes:

1. Dem User Rechte auf den entsprechenden Unterordner gegeben (Full Rights) -> kann diesen Ordner trotzdem nicht öffnen. Über eine Freigabe im Netzwerk funktioniert dann, es muss aber im Script der Explizite Ordner
\\*IP des Servers*\c$\*Ordner* angegeben werden

2. Über Group Policy - Default Domain Controller Policy - Dort unter der Local Policy -> Allow log on locally / Den User eingetragen. gpupdate /force und Neustart aber hat nichts gebracht.

Könnt ihr mir helfen wie ich das am besten bewerkstelligen kann. Problem ist halt das dies der Haupt Domain Controller ist. Bei jedem anderen Server könnte ich ja über die Local Users and Groups gehen.

Viele Grüße
David
Mitglied: emeriks
LÖSUNG 14.11.2017 um 16:31 Uhr
Hi,
2. Über Group Policy - Default Domain Controller Policy - Dort unter der Local Policy -> Allow log on locally / Den User eingetragen. gpupdate /force und Neustart aber hat nichts gebracht.
Allow log on locally
Das ist nur notwendig, wenn sich ein Benutzer interaktiv am Server anmelden können muss. Also direkt an der Konsole oder per RDP. Es ist nicht notwendig, wenn man auf eine Freigabe zugreifen will.
C:\*Ordner*
Hast Du diesen Ordner denn überhaupt freigeben und wenn ja, wie?
C:\Windows\System32\... auf einem Unterordner eine .exe ausführen dürfen.
Also soll er sich doch lokal anmelden dürfen? Ansonnsten müsstest Du auch diesen betreffenden Unterordner explizit freigeben.
Ich möchte dem Service User aber keine Admin Rechte bzw. Domain Admin Rechte geben.
Das ist sehr sinnvoll.
1. Dem User Rechte auf den entsprechenden Unterordner gegeben (Full Rights) -> kann diesen Ordner trotzdem nicht öffnen. Über eine Freigabe im Netzwerk funktioniert dann, es muss aber im Script der Explizite Ordner
\\*IP des Servers*\c$\*Ordner* angegeben werden
Zugriff über C$ geht nur für Admins, bei einem DC also Mitglieder der BuiltIn-Administratoren. Das kommt also für Dein Szenario nicht in Frage.
s.o. --> Gib diesen Ordner explizit frei und benutze diese Freigabe.

E.
Bitte warten ..
Mitglied: eyetSolutions
14.11.2017 um 16:54 Uhr
Zugriff über C$ geht nur für Admins, bei einem DC also Mitglieder der BuiltIn-Administratoren. Das kommt also für Dein Szenario nicht in Frage.
s.o. --> Gib diesen Ordner explizit frei und benutze diese Freigabe.

E.

Top danke, glaube das beantwortete meine Frage am besten. Ich wollte eben keine "Freigabe" machen sondern über den Tab "Security" des Ordners die Rechte vergeben für dies User. Dann über den Explorer über die Eingabe von \\*IP des Servers*\c$\*Ordner* auf diesen zugreifen. Wenn das nur für Builtin-Administratoren geht auf dem DC dann klappt das so wohl nicht. Auf den anderen Servern, die nicht DC sind, konnte ich das eben über Local Users and Groups regeln.

Ich probiere es jetzt über eine ganz normale "Freigabe". Da kann ich dann natürlich auch auf die Ordner zugreifen. Dadurch das es ein System Ordner ist lässt sich dort die "Security" Einstellung nicht anpassen. Dort ist allerdings die Gruppe "Users" der Domain bereits angelegt als RW Zugriff. Ich habe den Service User also der Domain Group "Users" hinzugefügt. Nun werde ich mal testen ob das mit den Netzwerk Shares und dem Zugriff soweit klappt.
Bitte warten ..
Mitglied: SlainteMhath
14.11.2017 um 17:01 Uhr
Moin,

2. Über Group Policy - Default Domain Controller Policy - Dort unter der Local Policy -> Allow log on locally
Damit darf sich der Service user an ALLEN DCs in deinem AD anmelden... ist das das was du willst?

C:\Windows\System32\... auf einem Unterordner eine .exe ausführen dürfen.
Darf ich fragen was das für eine exe ist, die normaler User übers Nertzwerk ausführen soll?

lg,
Slainte
Bitte warten ..
Mitglied: eyetSolutions
14.11.2017, aktualisiert um 17:38 Uhr
Zitat von SlainteMhath:

Moin,

2. Über Group Policy - Default Domain Controller Policy - Dort unter der Local Policy -> Allow log on locally
Damit darf sich der Service user an ALLEN DCs in deinem AD anmelden... ist das das was du willst?
Bisher gibt es zumindest nur einen Domain Controller aber nein sollte er eigentlich nicht.

C:\Windows\System32\... auf einem Unterordner eine .exe ausführen dürfen.
Darf ich fragen was das für eine exe ist, die normaler User übers Nertzwerk ausführen soll?

lg,
Slainte

Problem ist das dieser Domain Controller gleichzeitig der Webservice Server ist. Folgendes Szenario. Unser lokaler Jenkins greift über VPN Tunnel auf diesen Server zu und müsste auf folgende Datei zugreifen können:
C:\Windows\System32\inetsrv\appcmd.exe

Dafür muss beim Jenkins ein User hinterlegt werden (Service User). Dieser muss diese Datei ausführen und auf C:\inetpub Zugriff haben.

Lg
Bitte warten ..
Mitglied: Holle1991
14.11.2017 um 20:14 Uhr
Wenn du den Ordner freigibst, kannst du ihn doch über \\ip\freigabe\ordner einbinden?

Beispiel:

Der Ordner Test unter c:\xy\test soll eingebunden werden. Gib xy frei und Greif über \\ip\\xy\test darauf zu.
Bitte warten ..
Mitglied: eyetSolutions
14.11.2017 um 21:00 Uhr
Ja wie gesagt darüber wird es auch jetzt probiert. Unsere Entwickler haben es bisher über den direkten File Path ohne Share eingebunden.

Muss man sehen ob das gleich funktioniert in dem Code.

Lg
Bitte warten ..
Mitglied: SlainteMhath
15.11.2017 um 08:54 Uhr
Problem ist das dieser Domain Controller gleichzeitig der Webservice Server ist. Folgendes Szenario. Unser lokaler Jenkins greift über VPN
Tunnel auf diesen Server zu und müsste auf folgende Datei zugreifen können:
C:\Windows\System32\inetsrv\appcmd.exe
Ok, die Diskussion über die Sinnhafigkeit dieser Konstellation erspare ich uns jetzt mal an dieser Stelle...

Dafür muss beim Jenkins ein User hinterlegt werden (Service User). Dieser muss diese Datei ausführen und auf C:\inetpub Zugriff haben.
Die appcmd muss aber doch dann am Server(DC) ausgeführt werden - also muss der Jenkins sich doch an dem DC anmelden oder von Remote einen Prozess starten und je nachdem was via appcmd gemacht werden soll braucht er evtl. sogar noch entsprechende Rechte im IIS/Apppool und/oder der Registry...
Bitte warten ..
Mitglied: eyetSolutions
15.11.2017, aktualisiert um 13:06 Uhr
Ok, die Diskussion über die Sinnhafigkeit dieser Konstellation erspare ich uns jetzt mal an dieser Stelle...

Die komplette Konstellation kann ich dir nicht schildern. Das DC und Webservice Server ein und der selbe Server sind ist auch nicht ideal, voerst aber nun mal nicht anders zu lösen. Es ist aber so das dies aktuell so laufen muss, da es zwingend erforderlich ist das dieser auf einem Mac läuft. Da in dem RZ aber kein Mac Server oder Client zur Verfügung gestellt werden muss ist es so das wir aktuell diesen Umweg gehen müssen.


Dafür muss beim Jenkins ein User hinterlegt werden (Service User). Dieser muss diese Datei ausführen und auf C:\inetpub Zugriff haben.
Die appcmd muss aber doch dann am Server(DC) ausgeführt werden - also muss der Jenkins sich doch an dem DC anmelden oder von Remote einen Prozess starten und je nachdem was via appcmd gemacht werden soll braucht er evtl. sogar noch entsprechende Rechte im IIS/Apppool und/oder der Registry...

Er muss die appcmd ausführen, diese greift dann wiederrum auf den iis zu. Ich habe dem User aber Rechte über die appcmd gegeben indem ich diesen in die Gruppe genommen habe, die RW Rechte auf die appcmd hat.
Bitte warten ..
Ähnliche Inhalte
Windows Server
gelöst Rechte als Admin vergeben - Zugriff verweigert (14)

Frage von Ghost108 zum Thema Windows Server ...

Windows Server
Windows - Zugriff auf VSS ohne Admin-Rechte (3)

Frage von emeriks zum Thema Windows Server ...

Windows Userverwaltung
gelöst Zugriff auf PC von Domain-User, ohne sein Passwort zu kennen? (12)

Frage von Lara22 zum Thema Windows Userverwaltung ...

Windows Server
Problem mit Domain Controller Umzug (8)

Frage von chrisen zum Thema Windows Server ...

Neue Wissensbeiträge
Multimedia

Raspberry Pi als Digital-Signage-Computer

(1)

Information von BassFishFox zum Thema Multimedia ...

Windows Update

Novemberpatches und Nadeldrucker bereiten Kopfschmerzen

(15)

Tipp von MettGurke zum Thema Windows Update ...

Windows 10

Abhilfe für Abstürze von CDPUsersvc auf Win10 1607 und 2016 1607

(7)

Tipp von DerWoWusste zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Router & Routing
Freigabe aus anderem Netz nicht erreichbar (31)

Frage von McLion zum Thema Router & Routing ...

Visual Studio
Vb.net-Tool zum Erzeugen einer Outlook-E-Mail (24)

Frage von ahstax zum Thema Visual Studio ...

Batch & Shell
Batch Programm verhalten bei shoutdown -p (19)

Frage von Michael-ITler zum Thema Batch & Shell ...

Windows Netzwerk
Netzwerk Neustrukturierung (15)

Frage von IT-Dreamer zum Thema Windows Netzwerk ...