Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Gelöst - Berechtigung für die Diensteverwaltung

Frage Microsoft Windows Server

Mitglied: DONBmml

DONBmml (Level 1) - Jetzt verbinden

07.01.2013, aktualisiert 09.01.2013, 4549 Aufrufe, 7 Kommentare

Hallo zusammen,

ich sitze hier vor einem Windows 2008 R2 Server, der als Terminalserver eingerichtet ist. Da die ERP-Software vollzugriff für jeden Benutzer benötigt, sind alle User als lokale Administratoren angelegt. Nun ist es aber nur unter dem Domänenadministrator möglich, Dienste zu starten und zu stoppen.

Wie kann ich einem Benutzer die zusätzliche Berechtigung erteilen, damit dieser die Dienste ebenfalls verwalten darf?

Danke schonmal für euere Hilfe.

Viele Grüße
Matthias
Mitglied: DerWoWusste
07.01.2013, aktualisiert um 13:22 Uhr
Moin Matthias.

Nun ist es aber nur unter dem Domänenadministrator möglich, Dienste zu starten und zu stoppen.
Das stimmt nicht, es sei denn, Du hast eigenhändig die Defaultwerte verändert. Ein lokaler Admin kann immer Dienste starten/stoppen.

Also nochmal genauer: Du sprichst von den Diensten am TS? Welche Dienste beispielsweise, wirklich auch andere oder nur der ERP-Dienst?
Und ausgerechnet am TS sind alle Nutzer in der Admingruppe? Das ist sicherheits- und datenschutztechnisch der GAU.
Bitte warten ..
Mitglied: DONBmml
08.01.2013 um 14:51 Uhr
Hallo nochmal und danke für die Antwort.

Das ERP-System läuft auf einem eigentständigen TS und betreibt mehrere Dienste. Unter anderem wird ein Mailserver-Dienst vom System Bereitgestellt, der über eine eingenständige Konsole gestartet und beendet werden soll.

Über die Diensteverwaltung funktioniert der Start und Stop des Maildienstes, aber scheinbar funktionieren dadurch nicht alle Funktionen. Nur, wenn ich die Mailserverkonsole als Domänenadministrator starte kann auch der Dienst darüber kontrolliert werden.

Die Vorgabe, dass alle Benutzer lokale Administrationsrechte haben müssen, stammt vom Hersteller des ERP-Systems und ist so gewollt. Deshalb auch der separate TS.

Danke, dass ihr euch dem Problem annehmt.

VG. Matthias
Bitte warten ..
Mitglied: DerWoWusste
08.01.2013 um 14:54 Uhr
Moin.

Die wichtige Frage "Welche Dienste beispielsweise, wirklich auch andere oder nur der ERP-Dienst?" blieb unbeantwortet, hol dies nach.
Die Vorgabe, dass alle Benutzer lokale Administrationsrechte haben müssen, stammt vom Hersteller des ERP-Systems und ist so gewollt.
Ist Dir klar, dass auf diese Weise jeder Nutzer an Kennwörter und Daten der anderen rankommen kann? Mit dem Kennwort dann als jemand anderer handeln kann mit allen Konsequenzen? So eine Vorgabe ist Wahnsinn.
Bitte warten ..
Mitglied: DONBmml
08.01.2013 um 16:50 Uhr
Es sind ca 5 Dienste, die mit der ERP-Software zusammenhängen. Kann man die Berechtigung für einzelne Dienste setzen?

Ja, ich bin mir des Sicherheitsrisikos durchaus bewusst, und ich bin als normal agierender Admin überhaupt nicht damit einverstanden. Dennoch hat sich unser Kunde für das System dieses Herstellers entschieden und wir müssen es umsetzten.

Ein kleiner Trost ist, dass auf dem Server nur die ERP (kein Outlook, keine anderen Serverdienste) läuft, die durch ein separates, domänenunabhängiges Kennwort geschützt ist. Somit ist ein Identitäsdiebstahl eher unwahrscheinlich.
Bitte warten ..
Mitglied: DerWoWusste
08.01.2013, aktualisiert um 16:58 Uhr
Man kann die Berechtigung setzen, ja, beispielsweise mit subinacl.exe oder sc.exe, letztere ist eingebaut in windows. Beantworte aber bitte erst einmal meine Frage (3. und letzter Anlauf). Wonach ich frage: kann beispielsweise ein lokaler Admin nicht mehr den Dienst Bits starten/stoppen? Kannst Du schnell austesten.

Edit: zu Deinem Setup: ein lokaler Admin installiert einen Keylogger (Virenscanner darf er als Admin natürlich vorher stoppen), loggt Dein Kennwort mit, meldet sich als Dein User an und zerstört die Installation samt Backups. Na, was machst Du dann?
Bitte warten ..
Mitglied: DONBmml
08.01.2013, aktualisiert 09.01.2013
Lieber DerWoWusste,

bitte entschuldige, wenn ich mich unvollständig ausgedrückt habe. Über die Dienste --> Computerverwaltung --> Dienste kann jeder lokale Admin die Dienste starten und stoppen. Leider reicht das für den Maildienst der ERP-Software nicht aus, da er über eine spezielle Konsole gestartet werden muss. Sonst funktioniert er nicht. Diese greift wohl auf den Dienst, als auch auf andere Dateien zu. Aber selbst wenn ich die Konsole für den Maildienst per Rechtsklick als Administrator starte, erfolgt kein Zugriff. Ich werde es mal mit der sc.exe probieren. Danke für deine Hilfe.

Natürlich bin ich mir dem Sicherheitsproblem durchaus bewusst. Aber wenn du wüsstest, wie die Firma gearbeitet hat, bevor wir das übernommen haben, dann ist diese Technik dagegen ein Fort Knox. Der Virenschutz läuft über einen separaten Server und lässt sich nur nach Passworteingabe beenden (auch der Dienst). Das Backup läuft über einen speziellen Sicherungsadmin, der die Sicherung nur als "Briefkasten" auf ein externes System schreiben darf. Da haben wir vorgesorgt. Leider braucht die ERP-Lösung die Adminrechte, weil im Hintergrund viele EXE-Dateien geöffnet werden, die ohne Berechtigung nicht akkurat laufen. Und dann haben wir das Glück, dass es in dem gesamten Unternehmen nicht einen Menschen gibt, der Keylogger überhaupt richtig bei Google eingeben kann.

In diesem Sinne wünsche ich dir einen schönen Abend und viele Grüße
Matthias
Bitte warten ..
Mitglied: DONBmml
09.01.2013 um 14:50 Uhr
So, hier nochmal als Lösung für alle. Die Windows Firewall war schuld und hat den Dienst geblockt.

Vielen Dank nochmal
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
(gelöst) Accesspoint im VLAN nicht erreichbar
gelöst Frage von tumichnixNetzwerkmanagement4 Kommentare

Moin Moin, mein Netzwerk besteht aus den folgenden VLANs (nur die relevanten): - VLAN100 (Workstations und Server) - VLAN120 ...

Outlook & Mail
Gelöst Outlook 2007 verliert Dateiendung
gelöst Frage von bhornungOutlook & Mail4 Kommentare

Hallo Zusammen, im Outlook 2007 bekommen wir Mails mit PDF-Dateien im Anhang. Wenn diese nun mit Speichern unter abgespeichert ...

Windows Server
Keine Berechtigungen für Gruppen
gelöst Frage von mbrinkmannWindows Server7 Kommentare

Hallo Zusammen, auf den Systemen, die ich im Büro verwalte habe ich ein Phänomen, dass ich mir nicht ganz ...

Windows Userverwaltung
Berechtigung Delegieren
gelöst Frage von it-winkensWindows Userverwaltung8 Kommentare

Hallo, ich komme leider irgendwie nicht weiter. Ich habe mir einen Testserver Windows 2008R2 aufgesetzt. Ich bin derzeit die ...

Neue Wissensbeiträge
Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 8 StundenBatch & Shell8 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 10 StundenHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 1 TagMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 1 TagSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Heiß diskutierte Inhalte
Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server17 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...

Windows 10
Bitlocker nach Verschlüsselung nicht mehr aufrufbar!
gelöst Frage von alexlazaWindows 1013 Kommentare

Hallo, ich besitze ein HP ZBook 17 G4 mit einem Windows 10 Pro Betriebssystem. Bei diesem Problem handelt sich, ...

Batch & Shell
Neuste Datei via PowerShell kopieren
gelöst Frage von kaiuwe28Batch & Shell11 Kommentare

Hallo zusammen, ich hatte mir mit Hilfe der Suche im Forum einen kleinen Code von colinardo rausgesucht und versucht ...