mayho33
Goto Top

AD-User Permissions auf bestimmte Doings einschränken

Hallo Community,

Ich bitte wieder mal um eure Hilfe bei folgender Frage:

Ich möchte einen Service-User erstellen. Ja! Easy! Domain-User => Admistrator-Gruppe => ...
Diese Rechte sollen aber einzig und allein darauf beschränkt sein, ein bestimmtes Service ( Mozilla Maintenance Service und Chrome Update-Service) auszuführen. Das ganze ganz ohne 3rd-Party-Tools. Also nur OnBoard-Mittel was AD angeht.

Bsp:
serviceuser

Warum will ich so einen Aufwand treiben?
Mein Abteilungsleiter hat bedenken, dass, wenn jemand das Passwort herausfindet, dieser User gekapert werden könnte. Ist natürlich bis zu einem gewissen Grad Unfug. Diese Bedenken müsste man ja sonst bei jedem User mit administrativen Rechten haben und das ist natürlich eine reale Gefahr. Der Service-User schreibt sich sein PW aber auch nicht auf ein Post-IT und klebt es sich unter die Tastatur... 🤷‍♂️

Zusammenfassend:
Wie schränke ich einen Benutzer mit lokalen Administrator-Rechten so ein, dass dieser nur ein Service als Admin starten kann, alles andere aber nicht?

Danke für eure Unterstützung!
Mayho

Content-Key: 2990130990

Url: https://administrator.de/contentid/2990130990

Printed on: May 30, 2024 at 13:05 o'clock

Member: erikro
Solution erikro Dec 12, 2023 at 09:57:56 (UTC)
Goto Top
Moin,

guckst Du hier:
https://learn.microsoft.com/de-de/troubleshoot/windows-server/windows-se ...

Auch die weiterführenden Links beachten.

hth

Erik
Mitglied: 8030021182
8030021182 Dec 12, 2023 updated at 10:08:58 (UTC)
Goto Top
Dazu muss der User noch nicht mal Admin sein (denn lokale Admins beschaffen sich leicht wieder das Recht), das Recht zum Starten und Stoppen von Diensten kannst du auch einem stink normalen User delegieren mittels sc sdset oder GPO.
https://www.advancedinstaller.com/forums/viewtopic.php?t=49990

Gruß Katrin
Member: DerWoWusste
DerWoWusste Dec 12, 2023 updated at 10:18:20 (UTC)
Goto Top
Ich erkenne den Sinn der Aktion nicht. Warum nicht auf defaults lassen? Dann macht das Systemkonto die Updates für Chrome und Mozilla-Produkte.
Member: mayho33
mayho33 Dec 12, 2023 at 10:27:03 (UTC)
Goto Top
Zitat von @8030021182:

Dazu muss der User noch nicht mal Admin sein (denn lokale Admins beschaffen sich leicht wieder das Recht), das Recht zum Starten und Stoppen von Diensten kannst du auch einem stink normalen User delegieren mittels
Haha! Der war lustig!

Ein Service zu starten ist nicht das Problem. Das Chrome Update Service und auch das Mozilla Maintenance Service installieren, wie der Name schon sagt, Updates für ihr eigenes Produkt. Und was braucht man normalerweise um ein Update auf einem Windows-OS installieren zu können? Genau! Administrative Rechte 😉

Sorry wegen dem Zynismus, aber die Frage war doch explizit genug, oder nicht?


Ahaaa! Das hört sich sehr vielversprechend an. Danke! Werde ich mir dann gleich reinziehen und melde mich
Member: mayho33
mayho33 Dec 12, 2023 at 10:34:03 (UTC)
Goto Top
Zitat von @DerWoWusste:

Ich erkenne den Sinn der Aktion nicht. Warum nicht auf defaults lassen? Dann macht das Systemkonto die Updates für Chrome und Mozilla-Produkte.

Firefox ESR und Chrome Enterprise brauchen administrative Rechte zum Installieren ihrer Updates via Service. Das funktioniert super, wenn der betroffene User lokaler Admin ist. Oder man hat die Per-User-Variante von Chrome und FF installiert. Unterschied ist nur unter der Haube erkennbar.

Siehe auch:
https://support.google.com/chrome/answer/111996?hl=en
https://support.mozilla.org/en-US/kb/update-failed-error-message-when-up ...
https://support.mozilla.org/bm/questions/1258565
Member: DerWoWusste
DerWoWusste Dec 12, 2023 updated at 10:47:51 (UTC)
Goto Top
Ich erkenne keinen Zusammenhang zu meiner Frage.
Per Default gibt es diese Dienste. Sie laufen als Systemkonto und das funktioniert und die Dienste haben in Ihrer Funktion auch mit dem Nutzer oder seinen Rechten mal gar nichts zu tun.
Warum also unnötig komplex machen, was Du mit anderen Konten tust?
Mitglied: 8030021182
8030021182 Dec 12, 2023 updated at 11:12:23 (UTC)
Goto Top
Zitat von @mayho33:

Zitat von @8030021182:

Dazu muss der User noch nicht mal Admin sein (denn lokale Admins beschaffen sich leicht wieder das Recht), das Recht zum Starten und Stoppen von Diensten kannst du auch einem stink normalen User delegieren mittels
Haha! Der war lustig!

Ein Service zu starten ist nicht das Problem. Das Chrome Update Service und auch das Mozilla Maintenance Service installieren, wie der Name schon sagt, Updates für ihr eigenes Produkt. Und was braucht man normalerweise um ein Update auf einem Windows-OS installieren zu können? Genau! Administrative Rechte 😉
Haha der war lustig!
Das installieren macht doch der Dienst selbst nicht der User der den Dienst startet ... Freitag ist erst am 15. 😊
Zitat von @DerWoWusste:
Warum also unnötig komplex machen, was Du mit anderen Konten tust?
Dito.
Member: mayho33
mayho33 Dec 12, 2023 updated at 12:28:09 (UTC)
Goto Top
Zitat von @8030021182:

Zitat von @mayho33:

Zitat von @8030021182:

Dazu muss der User noch nicht mal Admin sein (denn lokale Admins beschaffen sich leicht wieder das Recht), das Recht zum Starten und Stoppen von Diensten kannst du auch einem stink normalen User delegieren mittels
Haha! Der war lustig!

Ein Service zu starten ist nicht das Problem. Das Chrome Update Service und auch das Mozilla Maintenance Service installieren, wie der Name schon sagt, Updates für ihr eigenes Produkt. Und was braucht man normalerweise um ein Update auf einem Windows-OS installieren zu können? Genau! Administrative Rechte 😉
Haha der war lustig!
Das installieren macht doch der Dienst selbst nicht der User der den Dienst startet ... Freitag ist erst am 15. 😊
Und? Du kannst einen Dienst als SYSTEM starten und trotzdem im Userkontext betreiben
Zitat von @DerWoWusste:
Warum also unnötig komplex machen, was Du mit anderen Konten tust?
Dito.

Ja sorry! Ich weiß Google und Co beschreiben das so, aber ist nicht der Fall. An der Config wurde nichts verändert. Jedes neu aufgesetzte System ( W10 x64 22H2 ohne Customizing), egal ob in einer Domain oder nicht, das FF ESR oder Chrome Enterprise bekommt, kann nicht updaten wenn der User der es verwendet keine Adminrechte hat.
Ist es vielleicht so wie bei so vielen andere, dass eure User Adminrechte haben und es deswegen nicht auffällt wenn ein Update gemacht wird?

Das Service ist nach der Installation bei einem frisch aufgesetztem Gerät "default" so wie du das schreibst @DerWoWusste

Zusatz:
Und ich bin nicht alleine mit dem Problem. Das besteht schon seit 2011 und kocht immer wieder auf. Entsprechende Cases sind überall zu finden und offen, Hauptsächlich hier:
Bsp:
https://bugs.chromium.org/p/chromium/issues/detail?id=73176
https://bugs.chromium.org/p/chromium/issues/detail?id=162483
https://bugs.chromium.org/p/chromium/issues/detail?id=100548

Genau so ist es eingestellt:
https://support.google.com/chrome/a/thread/189680631/issue-with-google-c ...

Da es offensichtlich nicht an der Config liegt und nicht am Setup, suche ich eben eine Lösung dem Service das zu erlauben. Was sein sollte ist eben nicht was ist.

Vielleicht sollte noch erwähnt werden, dass die Installation via SCCM im System-Kontext erfolgt. Alleine deshalb sollte schon SYSTEM das Service bedienen.
Member: DerWoWusste
DerWoWusste Dec 12, 2023 at 12:18:41 (UTC)
Goto Top
Das Service ist nach der Installation bei einem frisch aufgesetztem Gerät "default" aus so wie du das schreibst
"Aus" ist nicht gleichbedeutend mit deaktiviert. Er kann jederzeit per Trigger gestartet werden.
Du gehst weiterhin nicht auf meine Frage ein.
Wir haben z.B. Rechner, wo der Dienst, ohne dass sich jemals ein Admin anmeldet, den Firefox und den Chrome aktuell hält. Der Dienst ist dort auch nicht dauerhaft an - er wird wohl von etwas gestartet und das hinreichend oft, um die beiden Browser aktuell zu halten. Die Dienste sind auf default belassen, sprich: laufen als Systemkonto. Funktioniert bestens - die Versionen der Browser sind stets aktuell.
Member: mayho33
mayho33 Dec 12, 2023 updated at 12:46:35 (UTC)
Goto Top
Zitat von @DerWoWusste:

Das Service ist nach der Installation bei einem frisch aufgesetztem Gerät "default" aus so wie du das schreibst
"Aus" ist nicht gleichbedeutend mit deaktiviert. Er kann jederzeit per Trigger gestartet werden.
OH! Da hat sich ein Schreibfehler eingeschlichen. Ursprünglich hatte der Satz so gelautet: Das Service sieht nach der Installation bei einem frisch aufgesetztem Gerät "default" aus so wie du das...


Du gehst weiterhin nicht auf meine Frage ein.
Hm.. Ich dachte das wäre im Verlauf der ersten Antwort auf deine Frage hervorgegangen. Also nochmal:
Nach der Installation wirft das Update-Service einen Fehler bzgl fehlernder Credentials. Dabei ist es egal ob das Gerät gerade neu aufgesetzt wurde ( W10, W11) oder in einer Domain ist oder nicht. Sobald der LoggedOn User aber Administrative Rechte hat, läuft das Update wie gewünscht.

Wir haben z.B. Rechner, wo der Dienst, ohne dass sich jemals ein Admin anmeldet, den Firefox und den Chrome aktuell hält. Der Dienst ist dort auch nicht dauerhaft an - er wird wohl von etwas gestartet und das hinreichend oft, um die beiden Browser aktuell zu halten. Die Dienste sind auf default belassen, sprich: laufen als Systemkonto.
Funktioniert bestens - die Versionen der Browser sind stets aktuell.

und genau das...
Die Dienste sind auf default belassen, sprich: laufen als Systemkonto.
... habe ich auch mit "default" gemeint

Mir ist vollkommen klar wie der Update-Trigger via scheduled Tasks funktioniert. Würde es funktionieren, würde ich ganz sicher nicht fragen wie man eine Service-User für den Sch... konfigurieren kann.

Hoffe du kannst mein Problem nun besser nachvollziehen. 👍👌
Member: DerWoWusste
DerWoWusste Dec 12, 2023 at 13:07:14 (UTC)
Goto Top
Nach der Installation wirft das Update-Service einen Fehler bzgl fehlernder Credentials.
Das beschreib doch einmal genau. Was steht wo?
Member: mayho33
mayho33 Dec 12, 2023 at 13:29:40 (UTC)
Goto Top
Gerade fällt mir auf, dass das Elevation-Service fehlt 😯 Verdammte Axt! kann es daran liegen?
default services

So schaut es bei einem Bekannten aus der sich extra den Chrome Enterprise (GoogleChromeStandaloneEnterprise64.msi) für mich installiert hat auf einem W10 21H2 (Ja! 21H2):
updateservice
Member: DerWoWusste
Solution DerWoWusste Dec 12, 2023 at 13:40:57 (UTC)
Goto Top
Ja, das kann's wohl sein. Auch der Edge in aktueller Version hat das Ding, nebenbei bemerkt.
Wegen Firefox und meiner Rückfrage: lieferst Du die Meldung noch?
Könnte eine falsche ACL auf dem Dienst sein, siehe Lösung von https://support.mozilla.org/bm/questions/1258565
Da es bei uns funktioniert, gebe ich dir meine ACL:
sc sdshow mozillamaintenance

D:(A;;CCLCSWRPWPLORC;;;IU)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
Member: mayho33
mayho33 Dec 13, 2023 at 14:12:17 (UTC)
Goto Top
Zitat von @DerWoWusste:
Wegen Firefox und meiner Rückfrage: lieferst Du die Meldung noch?
Von FF habe ich die Meldung aktuell nicht. Das ist die aktuellste Meldung aus meiner Testumgebung mit Chrome:
chromeupadteerror

Habe das nun nochmals auf einer Testumgebung mit SCCM simmuliert. Der Stand ist wie folgt:
  • SCCM Application =>
      • Deployment Type Settings:
              • System-Kontext Deployment (Wether or not a User is logged on)
      • Deplyoment:
            • Install
            • Available

Installiert sich nun ein User der "keine" administrativen Rechte hat den Chrome Enterprise über das Software-Center (SCCM), werden 3 Services angelegt und 2 scheduled Tasks:
  • GoogleChromeElevationService
  • gupdate
  • gupdatem

  • GoogleUpdateTaskMachineCore
  • GoogleUpdateTaskMachineUA

Ein Update über 3-Punkt-Menü => Hilfe kann ausgeführt werden

Hat der User der die Installation triggert aber administrative Rechte wird der Dienst GoogleChromeElevationService nicht implementiert

Will dieser User dann über 3-Punkt-Menü => Hilfe ein Update machen bekommt er oben genannte Fehlermeldung.

Ich bin echt ratlos!


Könnte eine falsche ACL auf dem Dienst sein, siehe Lösung von https://support.mozilla.org/bm/questions/1258565
Da es bei uns funktioniert, gebe ich dir meine ACL:
sc sdshow mozillamaintenance

D:(A;;CCLCSWRPWPLORC;;;IU)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

Danke! Ich glaube ja fast schon, dass es mit SCCM zusammenhängt. Eine Installation "als Administrator", also im Kontext des Users mit administrativen Rechten, tritt das Phänomen nicht auf. Zumindest auf meinem Testgerät mit einer untouched W10 WIM.

Danke jedenfalls für die Unterstützung bisher!

Ich forsche mal weiter...
Member: DerWoWusste
DerWoWusste Dec 13, 2023 at 22:24:12 (UTC)
Goto Top
Deine SCCM-Beobachtungen sind gesichert?
Welcher Nutzer SCCM benutzt und ob der Adminrechte hat oder nicht, kann doch keinen Unterschied machen, denn in jedem Fall wird der Dienst vom SCCM und nicht das Nutzerkonto des Initiators für die Installation genutzt (prüf das im Taskmanager einmal nach, ich habe ken SCCM). Insofern kann es nicht angehen, das Hilfsdienste (elevation) fehlen in einem Fall und im anderen da sind.

Ich kann hier nur mit einem Rechner überprüfen, wo Chrome einmal manuell installiert wurde von einem Adminkonto und da ist der elevation-Dienst auch da.
Member: mayho33
Solution mayho33 Dec 14, 2023 at 09:44:33 (UTC)
Goto Top
Ich habe das nun mehrmals wiederholt und der Effekt ist immer der gleiche. Beide User installieren sich Chrome via SCCM. Der eine User ohne Adminrechte hat das Elevation Service, der User mit Adminrechten hat dieses Service nicht. Der User ohne Adminrechte kann anschließend ein Update durchführen, der andere nicht. Ich check's nicht...

Hingegen, lege ich alle 3 Services manuell an, aka, Script via SCCM und hinterlege einen Service-User mit Adminrechten, dann geht das Update bei allen Usern. Somit ist der Fall für mich klar. Chrome und FF haben bei der Installation im SYSTEM-Kontext, zumindest via SCCM ein Problem. Wäre ja nicht das erste Mal, dass sowas der Fall ist.

Mein Fazit und Workaround: Ich beantrage einen maßgeschneiderten Service-User (getrennte Zuständigkeiten 🤷‍♂️) nach der Anleitung wie @erikro sie gepostet hat.

Danke für die Unterstützung @DerWoWusste und @erikro
Member: DerWoWusste
Solution DerWoWusste Dec 14, 2023 at 12:35:17 (UTC)
Goto Top
Erikros Link besagt, wie Du Rechte auf Dienste vergibst. Das hat mit deinem Wunsch nichts zu tun.
Wenn Du einen Nutzer einrichten willst, der nur als Dienst laufen kann, nicht aber interaktiv anmeldeberechtigt ist, öffne secpol.msc und geh in die Zuweisung von Benutzerrechten. Details? Google nach "Logon as service" + "Allow logon locally"
Member: mayho33
mayho33 Dec 17, 2023 at 16:32:43 (UTC)
Goto Top
Zitat von @DerWoWusste:

Erikros Link besagt, wie Du Rechte auf Dienste vergibst. Das hat mit deinem Wunsch nichts zu tun.
Wenn Du einen Nutzer einrichten willst, der nur als Dienst laufen kann, nicht aber interaktiv anmeldeberechtigt ist, öffne secpol.msc und geh in die Zuweisung von Benutzerrechten. Details? Google nach "Logon as service" + "Allow logon locally"

Danke!