none
Wie gibt man einem Nicht-Administrator-Benutzer das Recht einen Dienst zu starten unter W2K8 R2? RRS feed

  • Frage

  • Hallo,

    unter Windows Server 2003 war das kein Problem, aber jetzt scheint das überhaupt nicht mehr zu gehen, weder mit subinacl.exe, noch mit setacl.exe, noch mit sc (sc sdshow, sc sdset) geht das.

    Weiß jemand ob, und wenn, wie das unter Windows Server 2008 R2 funktioniert?
    Wir haben Tester, die einen Navision Application Server testen. Dabei stürzt der öfter ab und jedes Mal den Administrator anrufen ist lästig.
    Lokale Adminrechte vergeben ist auch nicht ideal.

    Danke und Gruß

     


    Andreas
    • Bearbeitet AndiMzD Dienstag, 4. Oktober 2011 10:53
    Dienstag, 4. Oktober 2011 10:52

Antworten

  • Probier mal:

    sc sdset "Servicename" "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA(A;;CCLCSWRPWPDTLOCRRC;;;BU)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

    Muss natürlich aus einem Admin-CMD gestartet werden..
    Donnerstag, 6. Oktober 2011 10:33

Alle Antworten

  • Hi AndiMzD,

    sc sdset <SERVICE_NAME> "D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;RPWPCR;;;NS)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

    klappt nicht?
    http://www.daniweb.com/hardware-and-software/microsoft-windows/windows-tips-n-tweaks/threads/331626

    Ich konnte das jetzt noch nicht zuende Testen, da mein Testsystem auch DC ist und ich zur Anmeldung anderer User die Domain-Policy erst noch anpassen muss...


    __________________
    Viele Grüße
    Christian

    Dienstag, 4. Oktober 2011 16:34
  • Hallo,

    notfalls per mmc => Sicherheitsvorlagen

    eine eigene Vorlage anlegen und diese dann anwenden.

     

    Dienstag, 4. Oktober 2011 20:22
  • Hallo Christian,

     

    nein - klappt nicht. Genau deswegen habe ich diesen Post gestartet, weil vielleicht irgendein MVP odere so doch einen Weg kennt.

    Also wenn dus raus hast, bitte hier eintragen...

    Viele Grüße

    Andreas


    Andreas
    Donnerstag, 6. Oktober 2011 10:03
  • Probier mal:

    sc sdset "Servicename" "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA(A;;CCLCSWRPWPDTLOCRRC;;;BU)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

    Muss natürlich aus einem Admin-CMD gestartet werden..
    Donnerstag, 6. Oktober 2011 10:33
  • Hallo,

    hat das Kommando von Matthias funktioniert?

    Gruss,
    Raul

    Freitag, 7. Oktober 2011 11:22
  • Hi,

    das geht nicht:
    [SC] ConvertStringSecurityDescriptorToSecurityDescriptor FAILED 1336:

    The access control list (ACL) structure is invalid.

    Außerdem müsste doch mindestens die SID für den Benutzer irgendwo eingefügt werden, oder?

    Viele Grüße

    Andreas


    Andreas
    Donnerstag, 13. Oktober 2011 13:23
  • Hallo Matthias,

    damit komme ich etwas weiter, aber auch nicht richtig.

    Am Ende habe ich eine Datei die endet auf: .inf

    Was mache ich damit jetzt? Wie wende ich das jetzt an, führe es aus?
    REchtsklick install, geht nicht mit dem .inf-File, dann sagt er:
    The INF file you selected does not support this method of installation.

    Dies ist ihr Inhalt:
    [Unicode]
    Unicode=yes
    [Version]
    signature="$CHICAGO$"
    Revision=1
    [Registry Values]
    [Profile Description]
    Description=Einem Nichtadministrator Rechte auf einen Dienst geben
    [Service General Setting]
    "SMUC2760-SQL",2,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-43206524-2104247658-1151357142-24283)(A;;RPWPDTRC;;;S-1-5-21-43206524-2104247658-1151357142-1058901)(A;;RPWPDTRC;;;S-1-5-21-43206524-2104247658-1151357142-1407983)(A;;CCLCSWLOCRRC;;;IU)(A;;RPWPDTRC;;;S-1-5-21-43206524-2104247658-1151357142-1456197)(A;;RPWPDTRC;;;S-1-5-21-43206524-2104247658-1151357142-134588)(A;;RPWPDTRC;;;S-1-5-21-43206524-2104247658-1151357142-939556)S:(AU;FA;","CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

    Danke für eine weitere Erhellung der Zusammenhänge.

    Viele Grüße

    Andreas

     


    Andreas
    Donnerstag, 13. Oktober 2011 13:45
  • > Am Ende habe ich eine Datei die endet auf: .inf
     
    ... und die wird per "secedit /configure /db %temp%\dummy.sdb /cfg
    Name_Deiner_Inf.inf /log %temp%\log.txt" angewendet.
     
    mfg Martin
     

    A bissle "Experience", a bissle GMV...
    Donnerstag, 13. Oktober 2011 13:51
  • > *The access control list (ACL) structure is invalid.*
     
    Dann ist wohl bei Cut and Paste was schiefgegangen...
     
    > Außerdem müsste doch mindestens die SID für den Benutzer irgendwo
    > eingefügt werden, oder?
     
    Wenn Du einen bestimmten Benutzer willst - ja. Sonst reicht das BU, das
    da auftaucht: "Builtin\Users".
     
    mfg Martin
     

    A bissle "Experience", a bissle GMV...
    Donnerstag, 13. Oktober 2011 13:53
  • Hi,

    Am 13.10.2011 15:45, schrieb AndiMzD:

    [Service General Setting]
    "SMUC2760-SQL",2,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-43206524-2104247658-1151357142-24283)(A;;RPWPDTRC;;;S-1-5-21-43206524-2104247658-1151357142-1058901)(A;;RPWPDTRC;;;S-1-5-21-43206524-2104247658-1151357142-1407983)(A;;CCLCSWLOCRRC;;;IU)(A;;RPWPDTRC;;;S-1-5-21-43206524-2104247658-1151357142-1456197)(A;;RPWPDTRC;;;S-1-5-21-43206524-2104247658-1151357142-134588)(A;;RPWPDTRC;;;S-1-5-21-43206524-2104247658-1151357142-939556)S:(AU;FA;","CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

    äh ... warum klickst du das nicht im GPEditor einer DomäneRichtlinie
    zusammen?

    Wenn der Dienst nicht auf einem "GPEditor Rechner" läuft, dann verwende
    die Sicherheitsvorlagen auf einem System mit dem Dienst und importiere
    die *.inf Datein im GPEditor -> Sicherheitsoptionen -> Kontextmenü

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Donnerstag, 13. Oktober 2011 14:19
  • Am 13.10.2011 15:23, schrieb AndiMzD:

    das geht nicht:

    kurze Frage: Du ahst aber schon einen Elevated Prompt gestartet?
    ...oder ist UAC deaktiviert?

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Donnerstag, 13. Oktober 2011 15:07
  • Hi Martin und Matthias,

    ja - danke für die Tipps. Habe es mit einem Template gemacht.

    Klar, musste mich erst einlesen und die "bissle "Experience" sammeln, GMV (gesunder Menschenverstand meintest du wohl damit...?) hatte ich, glaube ich, schon...

    Hier jetzt "a bissle genauer" für Unbedarfte wie mich:

    Das geht nicht mehr mit sc sdshow und sc sdset und psgetsid etc. sondern mit den beiden mmc-Snapins Security Templates und Security Configuration and Analysis

    Der übersichtlichere Weg ist über diese grafischen Tools zu gehen (statt über das console-Tool secedit.exe, dass allerdings auch alles kann), und wahrscheinlich ist es zunächst besser, jedes der beiden Tools in einem eigenen Snap-In zu öffnen, um nicht durcheinander zu kommen.

    Start, run, mmc.exe

    Snap-Ins hinzufügen:

     

    Security Templates benötigst du um ein neues Template zu erstellen.

    Zuerst setzt du einen SearchPath:

    Ich habe den gesetzt auf
    c:\Admin\SecurityTemplates

     

    Dann markierst du den Search Path, RKL, New Template

    Du gibst einfach einen Namen ein und er erstellt dir ein neues Template im Searchpath, in dem dann standardmäßig alles auf not defined steht:

     

    Hier kannst du bequem zum gewünschten Dienst navigieren:

     

    DKL, Häkchen für Define this policy setting in the template setzen

     

    Edit Security…

    Und dann über Add Mitarbeiter hinzufügen:
    Standardmäßig ist für einen hinzugefügten Mitarbeiter bei einem Dienst das Recht gesetzt
    Start, stop and pause

     

    Das Template kannst du dann an gewünschter Stelle sichern.

     

    Um das Template anzuwenden, benötigst du das Tool

    Security Configuration and Analysis

     

    Um das Template mit diesem Tool anwenden zu können, benötigst du zwingend eine .sdb-Datenbank.

    Idealerweise nimmt man eine neue Datenbank, in der nichts weiter konfiguriert ist.
    RKL, Open database:

    Das geht auch, wenn an dem spezifizierten Ort noch keine DB liegt, dann macht er unter dem eingetippten Namen einfach eine neue sdb auf:

     

    Wenn du eine neue Database erstellst, verlangt er zwingend nach einem Template (.inf-Datei), dass er einlesen will. Sicherheitshalber setze ich hier noch mal das Häkchen
    Clear this database before importing

     

    Aber Vorsicht: Wenn ihr in dieser DB schon mal extra was konfiguriert habt, dann ist das jetzt alles weg... 

    Solange in dieser database alles auf not defined steht (was ja jetzt der Fall ist), werden beim Anwenden (configure computer now...) bestehende Veränderungen auch nicht überschrieben, d.h. vorher veränderte Rechte auf einen Dienst bleiben bestehen.

     

    Jetzt hat man also eine .sdb Datenbank und muss die durch das eingelesene Template gemachten Änderungen noch auf den Server anwenden.

    Das geht auch in Security Configuration and Analysis

    RKL, Configure Computer Now ...

     

    Wie es neuerdings so ist, ginge das auch im rechten Fensterteil bei Actions.

     

    Wenn man ein Template löscht ist es danach auch im Explorer weg.

     

    Wenn man einen Pfad löscht, ist der im Explorer hinterher natürlich noch vorhanden…

     

     

    Das ganze würde auch mit dem console-Tool secedit.exe funktionieren, aber warum sich verrenken, wenn man es auch bequemer haben kann (siehe post Martin. Das ist wahrscheinlich der Weg für die echten, sprich hc-Admins..)

     

    Die Standard-Security-DB des Servers liegt übrigens unter

    C:\Windows\security\database\secedit.sdb

    Diese .sdb lasse ich lieber unberührt. Habe nicht mal reingeschaut, was da drin steht.

     

    Danke für die Unterstützung, dies ist mein kleiner Beitrag für wen auch immer.

     

    Viele Grüße

    Andreas

     

     


    Andreas
    Freitag, 14. Oktober 2011 12:40
  • Hallo zusammen,

    ich stand auch vor dem Problem.
    Ich frage mich, warum hier nicht die IMHO einfachste Lösung für einen Single-Server das Rennen gemacht hat.

    An dem W2K8 R2 an dem ich es brauchte habe ich es so durchgeführt:


    ++++ Mal ausführlich beschieben .... ++++++++++++++++++++++++++++++++++

    -> MMC Konsole: Snap-In hinzufügen->"Sicherheitsvorlagen"

    -> Sicherheitsvorlagen Snap In: Rechtsklick auf C:\Windows\Security->Neue Vorlage

    -> Im Vorlagen Assistent: Einen Namen vergeben

    In der angelegten Vorlage (die nun in dem Verzeichnisbaum auftaucht) geht man auf Systemdienste
    Dort kann man nun für den bestimmten Service einen Benutzer eintragen, der ihn starten darf.
    (Wichtig: Starten kann ein eingeschränkter User nur Services, die NICHT deaktiviert sind. Also min. auf manuell stehen.)

    -> die so erstellte Vorlage speichern (*.inf)

    -> in die MMC noch "Sicherheitskonfiguration und -analyse" laden

    -> Rechtsklick auf "Sicherheitskonfiguration und -analyse" und dort "Datenbank öffnen". Hier einen Namen für die DB eintippen.

    -> die zuvor gespeicherte Vorlage (*.inf ) importieren

    -> dann noch Rechtsklick auf "Sicherheitskonfiguration und -analyse" und dort "Computer jetzt konfigurieren" wählen

    Diese Tasks sind als Admin auszuführen.

    Nachdem die Sicherheitskonfiguration auf den Computer angewendet wurde kann sich der Benutzer mit eingeschränkten Rechten anmelden und die definierten Dienste anstarten und stoppen.

    Viele Grüße ...

    • Bearbeitet mr.hille Dienstag, 24. Januar 2012 13:35
    Dienstag, 24. Januar 2012 13:30
  • Hi,

    Am 24.01.2012 14:30, schrieb mr.hille:

    Ich frage mich, warum hier nicht die IMHO einfachste Lösung für einen Single-Server das Rennen gemacht hat.

    weil du für deine Lösung einen Automatismus einrichten muss (Geplanter
    Task) der genauso schon im System existiert

    Deine manuell erstellte und dann per Task importierte Richtlinie muss du
    an alle kopieren, Task einrichten etc.

    Genau diese INF Datei kannst du 1zu1 in die GPO importieren und bist
    fertig. Die GPO und ihr Inhalt wird vom Anmeldeprozess übernommen.

    Ich muss mir also keinerlei Arbeit mehr machen um einen Task zu
    erstellen. Ich musste nicht mal eine Sicherheitsvorlage erstellen,
    exportieren und speichern.

    Der GPEditor bietet mir dieselbe GUI zum editieren an und das beste ist:
    Wenn sich etwas änder in der Richtlinie, dann wird es automatisch
    aufgrund der neuen Version wieder vom Anmeldeprozess übernommen.

    Dein Weg funktioniert einwandfrei, könnte aber tatsächlich einfacher
    sein, die einfachste Lösung ist die GPO im AD. ;-)

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Dienstag, 24. Januar 2012 14:02