Windows XP eingeschränktes Konto: Dienst starten

Windows XP eingeschränktes Konto: Dienst starten (32 Beiträge, 324 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Wie kann ich erlauben, dass ein spezieller Dienst mit einem eingeschränkten Konto ebenfalls gestartet werden darf (mit "net start ...")?

Edit: Die Lösung lautet Subinacl.exe. Nach der Installation als Administrator im Ordner "C:\Programme\Windows Resource Kits\Tools" folgendes ausführen:

SUBINACL /SERVICE \\Computername\Dienstname /GRANT=[Domänename\]Benutzername[=Zugriff]

weitere Infos dazu: http://support.microsoft.com/?kbid=288129

MfG Beel

Beel: nur echt mit 32 Zähnen

10.07.2006, 14:33 Uhr - Editiert von Beel, alte Version: hier

Sollte mit subinacl zu realisieren sein:
SUBINACL /SERVICE /GRANT="Domain\Username"=TO

"TO" erlaubt das Starten und Stoppen, mit subinacl /help /grant bekommst die volle Liste aller Möglichkeiten.
(muss natürlich von einem Admin-Account ausgeführt werden)

05.07.2006, 11:06 Uhr - Editiert von Mike_72, alte Version: hier
Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

Der Befehl konnte nicht gefunden werden.

MfG Beel

Beel: nur echt mit 32 Zähnen

unter WinXP SP2 is es sicher dabei
außer es wurde von deinem Admin blockiert

Download:
http://www.microsoft.com/downloads/details.aspx?FamilyId=E8BA3E56-D8FE-4A91-93CF-ED6985E3927B&displaylang=en

__________________
Alles ist möglich, Unmögliches dauert nur etwas länger.
http://dennis-home.at

05.07.2006, 12:43 Uhr - Editiert von hover, alte Version: hier

unter WinXP SP2 is es sicher dabei

hab' ich

außer es wurde von deinem Admin blockiert

Admin bin ich, also wüsste ich's.

Auch mit den Resource Kit Tools geht's nicht.

MfG Beel

Beel: nur echt mit 32 Zähnen

05.07.2006, 12:59 Uhr - Editiert von Beel, alte Version: hier

Was ist jetzt mit dem subinacl? Gehts nicht oder hast es nicht?

Befehl nicht gefunden.

MfG Beel

Beel: nur echt mit 32 Zähnen

Unter dem von hover geposteten Link runterladen?

Als ich

Auch mit den Resource Kit Tools geht's nicht.

geschrieben habe war es so gemeint: Ich habe die Resource Kit Tools installiert, und trotzdem geht es nicht ("Befehl konnte nicht gefunden werden."). Hätte ich die Resource Kit Tools nicht installieren können hätte ich auch nicht schreiben können dass es auch damit nicht geht da ich das dann ja nicht wüsste.

MfG Beel

Beel: nur echt mit 32 Zähnen

Der Link von hover zeigt auch nicht auf die Resource Kit Tools sondern direkt auf die subinacl.exe ...

Ich habe unpräzise formuliert, aber ich habe schon das Resource Kit Tools Setup für die Subinacl.exe gemeint. Genau dieses Microsoft Installer Paket habe ich installiert. Was hast du denn geglaubt, womit ich es probiert habe? In diesem Thread gibt's ja eh nur den einen Link.

MfG Beel

Beel: nur echt mit 32 Zähnen

07.07.2006, 19:53 Uhr - Editiert von Beel, alte Version: hier

Und der Befehl wird nicht gefunden? Kein Pfad gesetzt? was sagt denn ein dir /s subinacl.exe auf c:\ ?

09.07.2006, 20:13 Uhr - Editiert von Mike_72, alte Version: hier

Doch, der Pfad ist gesetzt; die Datei "subinacl.exe" wird aufgelistet.

MfG Beel

Beel: nur echt mit 32 Zähnen

d.h wenn du in einer shell in dieses Verzeichnis wechselst, und dann den Befehl eingibst, kommt "Befehl nicht gefunden"

Ja, ganz genau so ist es.

MfG Beel

Beel: nur echt mit 32 Zähnen

unter den EIgenschaften des Dienstes gibts ANMELDEN ALS / DIESES KONTO und da kannst nen User und ein Paßwort (für ein anderes Konto) eingeben-versucht hab ich allerdings noch nie und Zeit hab ich auch grad keine ums zu testen

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

[...] versucht hab ich allerdings noch nie und Zeit hab ich auch grad keine ums zu testen

Lass Dir gesagt sein: klappt tadellos

Wird nur in dem Fall ziemlich nutzlos sein, fürchte ich: selbst wenn der Dienst als irgendwas/irgendjemand problemlos starten kann, wenn der User, der diesen Dienst starten soll kein Recht hat, Dienste überhaupt zu starten/stoppen wird das auch nix bringen.
Und um genau diese Problemstellung ging es, wenn ich das richtig verstanden hab.

greetz

glockman

- Ich bin ein Geek und steh dazu -

This system is

Und um genau diese Problemstellung ging es, wenn ich das richtig verstanden
hab

hmm.. runas hätt ich aber so verstanden:

"ist ein user der kein Recht hat bestimmte Dienste oder Anwendungen auszuführen angemeldet und ich will zb als admin schnell was machen starte ich eben nen Dienst oder eine Anwendung mit runas um nun zwar als unberechtigter USer angemeldet zu sein aber eben trotzdem eine admin aufgabe druchführen zu können"

hm? hab ich da falsch verstanden was er genau will? ich befürtchte fast

runas hätt ich aber so verstanden: [...]

runas selbst hast Du auch richtig verstanden, darum geht es nicht.
Nur: Du hast es in diesem Fall nicht mit dem klassischen runas-Problem zu tun.

Hier liegt die Aufgabenstellung darin: ich bin User, der keinerlei Dienste starten und/oder stoppen darf, egal welcher User dann als Dienstkonto verwendet wird.
Weil es kann ja zB. durchaus sein, dass unser Harry mal kein Admin auf einer Maschine ist, aber trotzdem den Print Spooler neu starten müsste. Wenn Harry aber keine Rechte hat, den Spooler direkt über die Dienstverwaltung neu zu starten, das Admin-Kennwort nicht hat und damit auch ein runas nicht geht kann das Lokale Systemkonto noch so oft volle Rechte haben, Du wirst die Meldung "Zugríff verweigert" bekommen.

Um das zu umgehen gibt es jetzt zwei Möglichkeiten: a) Du hackst das Admin-Passwort (war nicht sicher, ganz typisch "Enter") und kannst über ein runas entweder in der MMC oder der Kommandozeile den Spooler neu starten, weil dann der User eben alle Dienste stoppen und starten darf, oder b) Du vergibst per subinacl auf genau diesen einen Dienst für Harry das Recht, diesen stoppen/starten zu dürfen. Er kann dann zwar noch immer nicht den Virenscanner oder die Firewall abschalten die auch als Dienste laufen, aber zumindest den Spooler auf seiner Workstation verwalten.
Und ob das Spooler Service dann als lokales Systemkonto oder einem eigens für den Dienst angelegten "SpoolerAdmin"-User-Konto (das lokaler Admin ist) läuft ist unerheblich.

Was aber nach wie vor nicht ginge: das Spooler Service mit dem Dienstkonto "Harry" auszuführen. Denn Harry war ja kein lokaler Admin...

Vergleiche das mit einer Delegation im AD: Du bist Domänen-User, und ich hab Dir das Recht gegeben, Passwörter zurückzusetzen. Aber darfst Du auch User anlegen?

greetz

glockman

- Ich bin ein Geek und steh dazu -

This system is

Mir runas geht's natürlich auf irgendeine Weise, sprich: Ich kann als Administrator ein cmd-fenster aufmachen, das Passwort eingeben, und den Dienst starten. Aber erstens ist das umständlich, da ich dafür kein auf einmal abarbeitbares Batch-Skript schreiben kann (Passwort muss eingeben werden, bzw wenn es irgendwie gespeichert wird macht das eingeschränkte Konto ja keinen Sinn mehr) und zweitens (noch viel schimmer) muss der eingeschränkte Benutzer das Passwort eines Accounts mit Admin-Rechten kennen. Und das ist dann, wenn andere Personen nur mit dem eingeschränkten Konto arbeiten dürfen sollen, natürlich völlig blödsinnig.

Ist dir jetzt klarer geworden, was ich will (bzw. was ich NICHT will)?

MfG Beel

Beel: nur echt mit 32 Zähnen

Ist dir jetzt klarer geworden, was ich will (bzw. was ich NICHT will)?

jo ist klar-hab ich vorher nicht wirklich überrissen worum es dir geht

Komm, gerade DIR (oder Glockman) muss da doch noch etwas einfallen. *am Verzweifeln bin*

MfG Beel

Beel: nur echt mit 32 Zähnen

Komm, gerade DIR (oder Glockman) muss da doch noch etwas einfallen.

Ja, eben Subinacl, wie schon gepostet. Und wenn er die .exe nicht findet, wovon auszugehen ist, wenn das Verzeichnis
C:\Programme\Windows Resource Kits\Tools
nicht in der PATH-Variablen steht, dann musst Du es entweder direkt aus dem Verzeichnis heraus probieren oder den vollen Pfad zur .exe angeben.

Und nein, ich halte Dich in keinster Weise für unwissend, aber manchmal nimmt man gewisse Dinge als selbstverständlich an, obwohl sie es nicht sind.

greetz

glockman

- Ich bin ein Geek und steh dazu -

This system is

OK, so kann ich den Befehl ausführen. Blöd nur, dass ich da nicht gleich selbst draufgekommen bin aber egal...
Jetzt klappt es genau so wie ich wollte (gezielter Zugriff des einen Users auf den bestimmten Dienst).

MfG Beel

Beel: nur echt mit 32 Zähnen

Das hast du richtig verstanden.

MfG Beel

Beel: nur echt mit 32 Zähnen

Danke, darum gehts mir aber nicht. De Standardeinstelung "lokales Systemkonto", die wenn der Dienst automatisch beim Systemstart und Einloggen des eingeschränkten Users geladen wird passt schon. Es geht mir darum: Ich möchte als eingeschränkter User den Dienst manuell starten dürfen (das ist der einzige Unterschied), das Standardkonto das verwendet wird passt schon so.

Es ist übrigens kein Problem, mich vorübergehend (zwecks Konfiguration) als Admin einzuloggen.

MfG Beel

Beel: nur echt mit 32 Zähnen

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung