Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Service ruft PsExec auf, Remoteservice wird abgelehnt

Frage Microsoft Windows Tools

Mitglied: Bodenseehost

Bodenseehost (Level 1) - Jetzt verbinden

06.12.2011 um 15:53 Uhr, 5517 Aufrufe, 9 Kommentare

Server 2008 (in 2003er AD) als Printserver
PDFCreator "Serverinstallation", startet als Dienst
Über die Aktionen nach dem Druck startet PDFCreator eine Batch in welcher ein PsExec-Aufruf hinterlegt ist.

Konkret wird auf einem Server 2008 PDFCreator als Service betrieben - über Instsrv und srvany aus dem Reskit angelegt. Die PDFCreator Serveranwendung wurde so eingerichtet, dass eingehende Drucke automatisch abgespeichert werden, und als Aktion nach dem Druck ein kleines Script aufgerufen wird, welches auf dem Client einen Mailentwurf mit diversen Vorgaben und dem soeben erzeugten Dokument als Anhang erstellt.

Das ganze läuft über einen PsExec-Aufruf, und funktioniert:
a) wenn ich die PDFCreator-Anwendung manuell auf dem Server starte
b) wenn ich den Aufruf aus dem Batchfile selbst in einem CMD abschicke

Dabei habe ich sowohl die Anwendung als auch die CMD unter verschiedensten Kontexten gestartet (Admin-User, lokaler Admin, alternativer Netzwerkadminuser, auch schon als Benutzer). Da im PsExec-Befehl der Benutzer mitgegeben wird, funktionierte es in jedem Fall einwandfrei und der/mein Client führte den Befehl wie gewünscht aus.

Sobald jedoch der PDF-Creator als Dienst läuft, wird die Batch zwar ausgeführt, aber der PsExec-Befehl fällt mit einem Fehler auf die Nase:
Could not start PsExec service on CLIENTNAME:
Zugriff verweigert



Ich hatte dann vermutet, dass es mit dem LSA zu tun hätte, und den Dienst unter (diversen) anderen Benutzern/Admins gestartet - unter welchen es wie oben erwähnt MANUELL tadellos funktionierte - aber auch da bleibt's beim PsExec-Aufruf hängen.
An der Eula-bestätigung von PsExec liegts übrigens nicht, der RegKey wurde auch unter dem LocalService erzeugt.
Was kann mir denn hier überhaupt noch den Zugriff verweigern? Was läuft anders als beim manuellen Programmaufruf?
Arbeitet PsExec beim Aufruf aus einem Service in irgend einer Weise anders???
Mitglied: DerWoWusste
06.12.2011 um 16:12 Uhr
Moin.
An der Eula-bestätigung von PsExec liegts übrigens nicht, der RegKey wurde auch unter dem LocalService erzeugt.
Genauer bitte. Wo wurde er erzeugt? Im Zweifelsfall bitte den psexec-Switch /accepteula ranhängen.

Aber was anderes: warum ein Service über srvany? Hat pdfcreator nicht einen lauffähigen Serverdienst ohne Eigenbau schon dabei? Was leistet Deiner mehr?
Bitte warten ..
Mitglied: Bodenseehost
06.12.2011 um 16:28 Uhr
Mit /accepteula verhält sich nichts anders... unter den Users gibts einen Eintrag (Software\Sysinternals\PSexec) EulaAccepted (Dword) der auf 1 stehen muss... das ist alles. Ich neige dazu die Eula als Ursache auszuschließen.

Das Andere: Leider bringt der PDFCreator KEINEN service mit, so dass die Serveranwendung VOR Benutzeranmeldung am Server nicht laufen würde, somit auch die Drucke nicht wie gewünscht verarbeitet würden. Ich habe bisher auch leider keine Möglichkeit gefunden, die gewünschten Sauereien mit den erzeugten PDF's anzustellen *g*. Das Letzte minor-Update habe ich nicht nachvollzogen, aber ich glaube nicht dass sich dahingehend etwas geändert hat. Die Geschichte mit srvany läuft ja, der PDFCreator selbst tut alles was er soll...

EDIT: Ich gehe doch Recht, dass der S-1-5-18 der LSA ist? Dort ist der Eintrag nämlich gegeben........
Bitte warten ..
Mitglied: DerWoWusste
06.12.2011 um 23:55 Uhr
Moinsen.

Hab es nachgestellt. Richtig ist: man muss pdfcreator als Dienst installieren, das stimmt.
Aber es geht alles nach Plan. Mein Server (2008 R1 SP2) schickt als Aktion nach Autospeicherung eine Nachricht per psexec-Kommando an meinen Client (Win7 SP1) und die kommt an.
Verwendeter Befehl: psexec \\win7 -u win7\user -p Kennwort /accepteula msg * Testnachricht
PDFCreator-Dienst wird als local system gestartet. Erzeugt habe ich den Dienst mit http://www.pirmasoft.de/runassvc.php
Bitte warten ..
Mitglied: Bodenseehost
07.12.2011 um 09:58 Uhr
Schön, dass mein Ansatz soweit zu funktionieren scheint, und vielen Dank für Deine Bemühungen bis hierher!

Leider fällt der PsExec bei mir jederzeit auf die Nase, wenn er 'vom Service aus' startet. Manuell ist das alles überhaupt kein Problem. Ich werde also mal weitersuchen.
Wenn ich den Service unter einem Admin starten lasse - der den Befehl 'manuell' erfolgreich ausführen kann - welche Gründe gäbe es, dass es dann als ServiceNICHT funktioniert? Das ist mir nicht ganz schlüssig.

01.
Echo Off 
02.
Set Full=%1 
03.
FOR %%I in (%Full%) DO Set Client=%%~nI 
04.
PsExec \\%CLIENT% -i -u DOMAIN\User -p Pass msg * Test
Wird von jedem beliebigen CMD-User ausgeführt (Aufruf der Batch mit Parameter, so wie es der PDF-Creator tut. Manuell geht's, als Service nicht. Ich versehe es nicht. Eventlog empfängt nichts brauchbares hierzu.
Bitte warten ..
Mitglied: DerWoWusste
07.12.2011 um 10:17 Uhr
Pass mal auf. Du musst jetzt erst mal meins nachstellen. Nimm die selben OS und das selbe psexec (v 1.98 hatte ich genutzt) und den selben Befehl und erstell den Dienst mal auf die selbe Weise. Erst wenn Du das hinbekommst, sehen wir weiter. Es muss gehen, win7 und der Server haben keine Konfigurationsänderungen.
Bitte warten ..
Mitglied: Bodenseehost
07.12.2011 um 11:27 Uhr
Windows Server 2008 R1 SP2 ist gegeben, PDFC ruft o.g. Batch auf (anders bekommt man den beauftragenden Clientnamen leider nicht übergeben). Den Service habe ich gelöscht und mit runassvc neu angelegt. Keine Änderung. Der Dienst scheint ja auch nicht wirklich das Problem zu sein, denn die Batch arbeitet ja... nur dem PSEXEC-Befehl fehlen auf dem Weg über den Service irgendwie die Rechte.

EDIT... PSEXEC verwende ich ebenfalls in v1.98

EDIT2
{On local machine, the Psexec file will create a local windows service to
perform all the detailed real work, so if the running account has no enough
permission, it will fail to install the windows service, so your Asp.net
running thread/process must running with enough permission account token.}

Kann es was mit dem .net zu tun haben? Wo könnte ich da etwas anders haben als Du? Bei mir steht der ASP.NET auf manuell und startet mit dem "Netzwerkdienst" statt dem lokalen Systemkonto.
Bitte warten ..
Mitglied: DerWoWusste
07.12.2011 um 12:47 Uhr
Bitte nimm meine Batch und trag ein Zielsystem ein. Nur das ist ein echter Vergleichstest. Nimm auch einen lokalen Nutzer auf dem Zielsystem, wie ich.
Bitte warten ..
Mitglied: Bodenseehost
07.12.2011 um 14:09 Uhr
Das habe ich ja auch getan...

01.
psexec \\CLIENTNAME -u CLIENTNAME\administrator -p ##### /accepteula msg * Testnachricht
Manuell ausgeführt funktioniert das wieder... PsExe braucht bei verwendung lokaler Anmeldedaten zwar länger beim "Connecting to Clientname...", es geht dann aber durch. Der Batchaufruf aus dem PDFCreator im Service bleibt wieder im "Zugriff Verweigert" hängen.

Was mir aufgefallen ist: ich gebe die Befehle 'manuell' in CMD-Instanzen ein, die ich unter entsprechenden Adminusern gestartet habe die ich dann auch für die Ausführung des Dienstes verwendet habe.
Wenn ich ein CMD aber 'einfach so' öffne und den Befehl absetze zieht die UAC, und PsExec bittet um Zustimmung der Fortsetzung. Lehne ich die ab, sehe ich wieder "Zugriff verweigert".
Könnte mir die UAC zwischen dem Service und PsExec stehen? Und warum nicht bei Dir???
Bitte warten ..
Mitglied: DerWoWusste
07.12.2011 um 14:24 Uhr
Ich glaube nicht, dass es die UAC ist, diese greift doch gar nicht für das Account "system". Aber bitte, schalt sie testhalber ab - bei mir ist sie an.
Stell bitte sicher, dass das Kennwort korrekt übergeben wird, indem Du den Dienst einstellst auf "allow service to interact with the desktop" und im Skript eine Zeile mit
pause
ans Ende stellst. Nun wird angezeigt, ob das Kennwort klappt. Ich hatte selbst zunächst Schwierigkeiten, da mein Kennwort ein "%" enthielt.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
RedHat, CentOS, Fedora
gelöst Die Website hat die Anzeige dieser Webseite abgelehnt - SePolicies - Linux (1)

Frage von rainergugus zum Thema RedHat, CentOS, Fedora ...

Windows Server
gelöst Group Managed Service Accounts - Voraussetzungen (1)

Frage von IceBeer zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...