none
Windows 10: Dienste starten\stoppen ohne Adminrechte?

    Frage

  • Hallo Forum,

    bisher haben meine Kollegen auf Ihren PCs lokale Adminrechte.
    Der Grund ist: Die Kollegen sind Entwickler und Consultants die Dienste neu starten können müssen.
    Da gerade eine größere Umstellung ansteht, will ich dieses "Problem" noch mal angehen.

    Es gibt wohl über GPOs oder lokale Sicherheitsrichtlinien die Möglichkeit für einzelne Dienste das Recht für NeuStarts der Dienste zu geben.
    Aber:

    Die Dienste können verschiedene Namen haben. Meist sowas die svcKundeXBuildy usw.
    Also dann immer jeden Dienstnamen einzeln in den Richtlinien zu zulassen wird schwierig.
    Wir reden in Summe von seeeehr vielen Dienstnamen auf 40 PCs\Laptops verteilt.

    Aber die Dienste zeigen in der Regel immer auf eine Datei die einen festen Namen hat:   meinDienst.exe
    (Die befindet sich dann in unterschiedlichen Ordnern, aber der Name der .exe ist fast immer der gleiche)

    Frage:

    Gibt es eine andere Möglichkeit den Benutzern das Recht zu geben "alle" Dienste steuern zu können?
    Oder eben eingegrenzt auf Dienste die auf MeinDienst.exe laufen?

    Dritthersteller-Tools?

    Ansonsten müsste ich den Kollegen wieder lokale Adminrechte geben, was ich eigentlich nicht will.

    Hat jemand eine Idee?

    Grüße,

    Coyo

    Donnerstag, 8. Februar 2018 09:44

Antworten

  • Hi,
     
    Am 08.02.2018 um 10:44 schrieb Coyote75:
    > Gibt es eine andere Möglichkeit den Benutzern das Recht zu geben "alle"
    > Dienste steuern zu können?
     
    Nein. Das ist ein Recht auf dem Dienst Eintragsnamen.
    Ja, sie sind Administratoren ...    
     
    Statt GPO, besser scripten, wenn man ein Namensmuster bauen kann, dann
    kann man über "get-services" und name ein "foreach" raushauen, das
    "sc.exe sdset Dienstname SDDL" raushaut.
     
    die SDDL erweiterst/änderst du beim Eintrag für die "AU" für
    "Authenticated Users" und verwendest die Rechte per copy und paste vom
    BA (BuiltIn Administrator)
     
    D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA) ... wird
     
    D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    Donnerstag, 8. Februar 2018 20:26

Alle Antworten

  • Hi,
     
    Am 08.02.2018 um 10:44 schrieb Coyote75:
    > Gibt es eine andere Möglichkeit den Benutzern das Recht zu geben "alle"
    > Dienste steuern zu können?
     
    Nein. Das ist ein Recht auf dem Dienst Eintragsnamen.
    Ja, sie sind Administratoren ...    
     
    Statt GPO, besser scripten, wenn man ein Namensmuster bauen kann, dann
    kann man über "get-services" und name ein "foreach" raushauen, das
    "sc.exe sdset Dienstname SDDL" raushaut.
     
    die SDDL erweiterst/änderst du beim Eintrag für die "AU" für
    "Authenticated Users" und verwendest die Rechte per copy und paste vom
    BA (BuiltIn Administrator)
     
    D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA) ... wird
     
    D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    Donnerstag, 8. Februar 2018 20:26
  • hi Coyo

    vielleicht hilft als Workaround auch ein Schedule Task der die Dienst mehrmals am Tag startet


    Chris

    Freitag, 9. Februar 2018 17:24
  • Hi Chris,

    das wäre vielleicht eine Möglichkeit in anderen Umgebungen.
    Bei uns muss das leider flexibler sein. Und ein autom. Dienstneustart während der Entwickler daran arbeitet
    wäre eher hinderlich und würde man mir vermutlich als Mobbing auslegen ;)

    Grüße,

    Coyo

    Montag, 12. Februar 2018 11:26
  • Am 12.02.2018 schrieb Coyote75:

    das wäre vielleicht eine Möglichkeit in anderen Umgebungen.
    Bei uns muss das leider flexibler sein. Und ein autom. Dienstneustart während der Entwickler daran arbeitet
    wäre eher hinderlich und würde man mir vermutlich als Mobbing auslegen ;)

    Vergiss den automatischen Neustart des Dienstes. Leg eine geplante
    Aufgabe an (die kann man auch via GPO ausrollen), die mit dem User
    ausführenden User SYSTEM den Dienst neu starten kann. Sollte der
    angemeldete Benutzer den Dienst neu starten müssen, dann einfach
    Rechtsklick > Ausführen.

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Montag, 12. Februar 2018 15:49