Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Gelöst - Berechtigung für die Diensteverwaltung

Frage Microsoft Windows Server

Mitglied: DONBmml

DONBmml (Level 1) - Jetzt verbinden

07.01.2013, aktualisiert 09.01.2013, 3481 Aufrufe, 7 Kommentare

Hallo zusammen,

ich sitze hier vor einem Windows 2008 R2 Server, der als Terminalserver eingerichtet ist. Da die ERP-Software vollzugriff für jeden Benutzer benötigt, sind alle User als lokale Administratoren angelegt. Nun ist es aber nur unter dem Domänenadministrator möglich, Dienste zu starten und zu stoppen.

Wie kann ich einem Benutzer die zusätzliche Berechtigung erteilen, damit dieser die Dienste ebenfalls verwalten darf?

Danke schonmal für euere Hilfe.

Viele Grüße
Matthias
Mitglied: DerWoWusste
07.01.2013, aktualisiert um 13:22 Uhr
Moin Matthias.

Nun ist es aber nur unter dem Domänenadministrator möglich, Dienste zu starten und zu stoppen.
Das stimmt nicht, es sei denn, Du hast eigenhändig die Defaultwerte verändert. Ein lokaler Admin kann immer Dienste starten/stoppen.

Also nochmal genauer: Du sprichst von den Diensten am TS? Welche Dienste beispielsweise, wirklich auch andere oder nur der ERP-Dienst?
Und ausgerechnet am TS sind alle Nutzer in der Admingruppe? Das ist sicherheits- und datenschutztechnisch der GAU.
Bitte warten ..
Mitglied: DONBmml
08.01.2013 um 14:51 Uhr
Hallo nochmal und danke für die Antwort.

Das ERP-System läuft auf einem eigentständigen TS und betreibt mehrere Dienste. Unter anderem wird ein Mailserver-Dienst vom System Bereitgestellt, der über eine eingenständige Konsole gestartet und beendet werden soll.

Über die Diensteverwaltung funktioniert der Start und Stop des Maildienstes, aber scheinbar funktionieren dadurch nicht alle Funktionen. Nur, wenn ich die Mailserverkonsole als Domänenadministrator starte kann auch der Dienst darüber kontrolliert werden.

Die Vorgabe, dass alle Benutzer lokale Administrationsrechte haben müssen, stammt vom Hersteller des ERP-Systems und ist so gewollt. Deshalb auch der separate TS.

Danke, dass ihr euch dem Problem annehmt.

VG. Matthias
Bitte warten ..
Mitglied: DerWoWusste
08.01.2013 um 14:54 Uhr
Moin.

Die wichtige Frage "Welche Dienste beispielsweise, wirklich auch andere oder nur der ERP-Dienst?" blieb unbeantwortet, hol dies nach.
Die Vorgabe, dass alle Benutzer lokale Administrationsrechte haben müssen, stammt vom Hersteller des ERP-Systems und ist so gewollt.
Ist Dir klar, dass auf diese Weise jeder Nutzer an Kennwörter und Daten der anderen rankommen kann? Mit dem Kennwort dann als jemand anderer handeln kann mit allen Konsequenzen? So eine Vorgabe ist Wahnsinn.
Bitte warten ..
Mitglied: DONBmml
08.01.2013 um 16:50 Uhr
Es sind ca 5 Dienste, die mit der ERP-Software zusammenhängen. Kann man die Berechtigung für einzelne Dienste setzen?

Ja, ich bin mir des Sicherheitsrisikos durchaus bewusst, und ich bin als normal agierender Admin überhaupt nicht damit einverstanden. Dennoch hat sich unser Kunde für das System dieses Herstellers entschieden und wir müssen es umsetzten.

Ein kleiner Trost ist, dass auf dem Server nur die ERP (kein Outlook, keine anderen Serverdienste) läuft, die durch ein separates, domänenunabhängiges Kennwort geschützt ist. Somit ist ein Identitäsdiebstahl eher unwahrscheinlich.
Bitte warten ..
Mitglied: DerWoWusste
08.01.2013, aktualisiert um 16:58 Uhr
Man kann die Berechtigung setzen, ja, beispielsweise mit subinacl.exe oder sc.exe, letztere ist eingebaut in windows. Beantworte aber bitte erst einmal meine Frage (3. und letzter Anlauf). Wonach ich frage: kann beispielsweise ein lokaler Admin nicht mehr den Dienst Bits starten/stoppen? Kannst Du schnell austesten.

Edit: zu Deinem Setup: ein lokaler Admin installiert einen Keylogger (Virenscanner darf er als Admin natürlich vorher stoppen), loggt Dein Kennwort mit, meldet sich als Dein User an und zerstört die Installation samt Backups. Na, was machst Du dann?
Bitte warten ..
Mitglied: DONBmml
08.01.2013, aktualisiert 09.01.2013
Lieber DerWoWusste,

bitte entschuldige, wenn ich mich unvollständig ausgedrückt habe. Über die Dienste --> Computerverwaltung --> Dienste kann jeder lokale Admin die Dienste starten und stoppen. Leider reicht das für den Maildienst der ERP-Software nicht aus, da er über eine spezielle Konsole gestartet werden muss. Sonst funktioniert er nicht. Diese greift wohl auf den Dienst, als auch auf andere Dateien zu. Aber selbst wenn ich die Konsole für den Maildienst per Rechtsklick als Administrator starte, erfolgt kein Zugriff. Ich werde es mal mit der sc.exe probieren. Danke für deine Hilfe.

Natürlich bin ich mir dem Sicherheitsproblem durchaus bewusst. Aber wenn du wüsstest, wie die Firma gearbeitet hat, bevor wir das übernommen haben, dann ist diese Technik dagegen ein Fort Knox. Der Virenschutz läuft über einen separaten Server und lässt sich nur nach Passworteingabe beenden (auch der Dienst). Das Backup läuft über einen speziellen Sicherungsadmin, der die Sicherung nur als "Briefkasten" auf ein externes System schreiben darf. Da haben wir vorgesorgt. Leider braucht die ERP-Lösung die Adminrechte, weil im Hintergrund viele EXE-Dateien geöffnet werden, die ohne Berechtigung nicht akkurat laufen. Und dann haben wir das Glück, dass es in dem gesamten Unternehmen nicht einen Menschen gibt, der Keylogger überhaupt richtig bei Google eingeben kann.

In diesem Sinne wünsche ich dir einen schönen Abend und viele Grüße
Matthias
Bitte warten ..
Mitglied: DONBmml
09.01.2013 um 14:50 Uhr
So, hier nochmal als Lösung für alle. Die Windows Firewall war schuld und hat den Dienst geblockt.

Vielen Dank nochmal
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Systemdateien
Keine Berechtigung trotz Domänen-Admin User (10)

Frage von M.Marz zum Thema Windows Systemdateien ...

Windows Server
gelöst Freigabe führt nicht zur Schreib-Berechtigung (11)

Frage von ElmaCx zum Thema Windows Server ...

Windows Server
Kein Zugriff auf Netzwerk-Unterordner - trotz Berechtigung?! (4)

Frage von ordi303 zum Thema Windows Server ...

Windows Server
gelöst Ordner kann nicht gelöscht werden- keine Berechtigung (4)

Frage von xbast1x zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (32)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...