none
Lokalem Benutzerkonto Anmelden als Dienst erlauben RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Ein W2008R2 ist als Domänenserver  konfiguriert.

    Ein bestimmtes Programm hat einen Postgres-SQL installiert und zwar mit einemLOKALEN Administrator-Konto.

    Nach einem Neustart erhalte ich jetzt die Fehlermeldung, daß der entsprechende Dienst nicht gestartet werden konnte, weil er nicht das Recht zum Anmelden als Dienst hat-

    Nun versuche ich dies mit der lokalen Sicherheitsrichtlinie zu ändern.

    Dort sind unter "Anmelden als Dienst" auch 2 Konten eingetragen, allerdings 2 Domänenkonten.

    Im Übrigen sind die Buttons Benutzer hinzufügen und Entfernen grau/deaktiviert.

    Das passiert egal ob ich als Domänen-Admin oder mit lokalem Konto angemeldet bin.

    Was kann ich tun ?

    Samstag, 7. Juni 2014 05:46
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    falls der Server DC ist, nicht klar ersichtlich aus "Domänenserver", sollte keine andere Software oder ROlle darauf installiert sein.

    Falls es eine Mitgliedsserver ist kannst Du mit rsop.msc die übernommenen Gruppenrichtlinien der Domäne sehen und ggf. eine Delta-Richtlinie erstellen welche die entsprechende "Anmelden als Dienst" Einstellung für den lokalen Benutzer auf dem Server setzt.

    Die beiden Default Gruppenrichtlinien solltest Du NICHT ändern sondern eigene Benutzen und auf die entsprechende OU verlinken in welcher der Server enthalten ist.

    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    • Als Antwort markiert NicoNi Montag, 9. Juni 2014 16:26
    Montag, 9. Juni 2014 14:38
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Ich würde Dir dringend empfehlen keine dritt-Funktionen auf einem Domain Controller zu betreiben. Dies sollte aus Sicherheitsgründen vermieden werden. Besteht die Möglichkeit diese Funktion auf einem Member Server zu verlagern?

    Gruß
    Kevin

    Samstag, 7. Juni 2014 08:24
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    falls der Server DC ist, nicht klar ersichtlich aus "Domänenserver", sollte keine andere Software oder ROlle darauf installiert sein.

    Falls es eine Mitgliedsserver ist kannst Du mit rsop.msc die übernommenen Gruppenrichtlinien der Domäne sehen und ggf. eine Delta-Richtlinie erstellen welche die entsprechende "Anmelden als Dienst" Einstellung für den lokalen Benutzer auf dem Server setzt.

    Die beiden Default Gruppenrichtlinien solltest Du NICHT ändern sondern eigene Benutzen und auf die entsprechende OU verlinken in welcher der Server enthalten ist.

    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    • Als Antwort markiert NicoNi Montag, 9. Juni 2014 16:26
    Montag, 9. Juni 2014 14:38
    |
  • Question
    Anmelden
    0
    Anmelden

    Der Server ist in der Tat ein "Member-Server", kein DC.

    problem ist im Grunde, daß bei der Installation der Software (Postgres-SQL) verlangt wurde, ein LOKALES Administratorkonto zu nehmen.

    Ich habe jetzt auf dem DC eine Gruppenrichtlinie mit dem lokalen Konto und dem Recht als Dienst anmelden.

    Das scheint aber auch nicht unproblematisch zu sein.

    Ich werde als nächstes mal einen virtuellen Memebr-Server aufsetzen und die Installation mit einem Domänen-Admin probieren. Das sollte die probleme am besten lösen.

    Montag, 9. Juni 2014 16:26
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,
    das aufsetzen mit dem Domain Admin wird dir auch nicht weiterhelfen - der hat auch kein Recht, sich als Dienst anzumelden.

    Optimal wäre für dich ein Managed Service Account - benötigt allerdings W2K8R2 Schema und optimalerweise auch W2K8R2 Domain Level.

    http://blogs.technet.com/b/askds/archive/2009/09/10/managed-service-accounts-understanding-implementing-best-practices-and-troubleshooting.aspx

    Gruß
    Lennart

    Dienstag, 10. Juni 2014 07:28
    |