7
Benutzer NUR für Server Neustart?!
Hallo!
Gibt es auf einem Windows 2008 Server (Active Directory) die Möglichkeit, einen Benutzer anzulegen der NUR den Server neustarten/ausschalten kann, sonst aber gar keine administrativen Berechtigungen hat? Gedanke ist, wenn aus irgendwelchen Gründen der Server neugestartet werden müsste und kein Administrator im Hause (einer im Urlaub, der andere Krank) ist. Nun hätte ich gerne eben einen ganz einfachen Benutzer, mit dem man den Server sauber neustarten kann.
Danke für Tipps/Anregungen!
Gibt es auf einem Windows 2008 Server (Active Directory) die Möglichkeit, einen Benutzer anzulegen der NUR den Server neustarten/ausschalten kann, sonst aber gar keine administrativen Berechtigungen hat? Gedanke ist, wenn aus irgendwelchen Gründen der Server neugestartet werden müsste und kein Administrator im Hause (einer im Urlaub, der andere Krank) ist. Nun hätte ich gerne eben einen ganz einfachen Benutzer, mit dem man den Server sauber neustarten kann.
Danke für Tipps/Anregungen!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 140499
Url: https://administrator.de/contentid/140499
Ausgedruckt am: 20.11.2024 um 17:11 Uhr
7 Kommentare
Neuester Kommentar
Hi,
sollte per GPO gehen. Über die "Zuweisung von Benutzerrechten" kannst du recht fein steuern was der User (nicht) darf, und unter andrem gibt's auch den Punkt "Herunterfahren des Systems"
sollte per GPO gehen. Über die "Zuweisung von Benutzerrechten" kannst du recht fein steuern was der User (nicht) darf, und unter andrem gibt's auch den Punkt "Herunterfahren des Systems"
Moin,
mein erster Gedanke: Willst du das wirklich? Ich würde da einen anderen Weg gehen: Für den Fall das sowas bei euch öfters vorkommt sucht man sich 1 - 2 Leute denen man ein wenig Technisches Wissen zutraut. DIESEN gibt man jetzt eine kleine Einweisung in die Server - und hinterlegt das Passwort z.B. bei der GL. Sollte dann der Fall sein geht die GL hin und meldet sich an - und diese Benutzer dürfen (ggf. in Rücksprache) den Server bedienen.
Selbst wenn ich Krank wäre würde ich es lieber haben das mich die Leute anrufen wenn da irgendwas unklar ist als das die einfach den Server immer mal neu durchstarten. Nehmen wir an das der Grund für den Server-Stillstand nen Virus-Fund ist. Der Virenscanner hat etwas entdeckt und die Verbindung erstmal geblockt. Nun geht Nutzer X fröhlich munter bei und sagt sich "Ok, server reboot, kein Thema". Meldet sich an (sieht dann vermutlich die Meldung nichtmal weil die ggf. nur für den Admin sichtbar ist und/oder beachtet die gar nicht) und startet die Büchse neu. Jetzt kann der Virus also loslegen - wenn er es schafft vor dem Virenscanner (nach dem Reboot) zu starten dann legt er dir gleich den ganzen Server flach. Gut für den Admin von euch der Krank ist (der kann den Gelben Schein noch nen Monat verlängern) - schlecht für den der im Urlaub ist (der wird wiedergeholt...). Hast du dagegen einen Nutzer dem du vertraust das er erstmal anruft und fragt dann wird bei einem von euch das Tel. klingeln und der Nutzer (geht ja dann mit Admin-Rechten) sagt dir was von ner Komischen Meldung. JETZT hast du die Möglichkeit notfalls nen externen Tech hinzuzuziehen um das Problem zu beheben...
mein erster Gedanke: Willst du das wirklich? Ich würde da einen anderen Weg gehen: Für den Fall das sowas bei euch öfters vorkommt sucht man sich 1 - 2 Leute denen man ein wenig Technisches Wissen zutraut. DIESEN gibt man jetzt eine kleine Einweisung in die Server - und hinterlegt das Passwort z.B. bei der GL. Sollte dann der Fall sein geht die GL hin und meldet sich an - und diese Benutzer dürfen (ggf. in Rücksprache) den Server bedienen.
Selbst wenn ich Krank wäre würde ich es lieber haben das mich die Leute anrufen wenn da irgendwas unklar ist als das die einfach den Server immer mal neu durchstarten. Nehmen wir an das der Grund für den Server-Stillstand nen Virus-Fund ist. Der Virenscanner hat etwas entdeckt und die Verbindung erstmal geblockt. Nun geht Nutzer X fröhlich munter bei und sagt sich "Ok, server reboot, kein Thema". Meldet sich an (sieht dann vermutlich die Meldung nichtmal weil die ggf. nur für den Admin sichtbar ist und/oder beachtet die gar nicht) und startet die Büchse neu. Jetzt kann der Virus also loslegen - wenn er es schafft vor dem Virenscanner (nach dem Reboot) zu starten dann legt er dir gleich den ganzen Server flach. Gut für den Admin von euch der Krank ist (der kann den Gelben Schein noch nen Monat verlängern) - schlecht für den der im Urlaub ist (der wird wiedergeholt...). Hast du dagegen einen Nutzer dem du vertraust das er erstmal anruft und fragt dann wird bei einem von euch das Tel. klingeln und der Nutzer (geht ja dann mit Admin-Rechten) sagt dir was von ner Komischen Meldung. JETZT hast du die Möglichkeit notfalls nen externen Tech hinzuzuziehen um das Problem zu beheben...
Moin!
Diese Aspekte sind natürlich richtig, ja! Sollte man also noch mal überdenken.
Der Gedankenanstoß kam halt bewusst auf, als man von dem Flugzeugunglück mit der polnischen Regierung hörte. Da stellte man sich halt die Fragen, was ist eigentlich, wenn die EDV Abteilung länger nicht da ist und auch nicht erreich bar ist - wir wollen jetzt mal nicht vom Tod ausgehen (den Admins ist es dann eh egal, wenn dann nix läuft... ;) ) - aber einfach nicht erreichbar...
Hast du vielleicht ein Worst-Case Szenario umgesetzt, nach dem ihr verfahrt?!
MfG
Diese Aspekte sind natürlich richtig, ja! Sollte man also noch mal überdenken.
Der Gedankenanstoß kam halt bewusst auf, als man von dem Flugzeugunglück mit der polnischen Regierung hörte. Da stellte man sich halt die Fragen, was ist eigentlich, wenn die EDV Abteilung länger nicht da ist und auch nicht erreich bar ist - wir wollen jetzt mal nicht vom Tod ausgehen (den Admins ist es dann eh egal, wenn dann nix läuft... ;) ) - aber einfach nicht erreichbar...
Hast du vielleicht ein Worst-Case Szenario umgesetzt, nach dem ihr verfahrt?!
MfG
aber irgendwo sollte es doch einen Safe geben...
Darin befindet sich ein Umschlag, da steht Systemkennwörter drauf.
Und wenn der Admin schlau ist, nimmt der den Schlüssel nicht zum Segelfliegen, Fallschirmspringen, Hai-Streicheln am Great Barrier Reef, in Urlaub fahren mit irgendwelchen Ministern, etc. pp mit
)
Gruß
Carsten
Darin befindet sich ein Umschlag, da steht Systemkennwörter drauf.
Und wenn der Admin schlau ist, nimmt der den Schlüssel nicht zum Segelfliegen, Fallschirmspringen, Hai-Streicheln am Great Barrier Reef, in Urlaub fahren mit irgendwelchen Ministern, etc. pp mit
)Gruß
Carsten
Sicherlich gibts n Safe, ein Bankschließfach ist auch kein Problem. Das Problem ist halt nur wenig versierte Anwender, denen man nicht zu viel erlauben will... Ok, ein Neustart kann man nat. auch über ein "Strom weg" erzeugen. Aber das wäre zu radikal.
Und geht auch nicht, wenn der / Die User keine Zugang zum Raum mit den Servern haben...
Die könnten dann zwar immer noch die Sicherung rausdrehen, Geld für´s E-Werk zurückbuchen, Kraftwerk sprengen.....
Es ist halt Ansichtssache, ich würde es wirklich nicht jeden machen lassen (schon gar keinen unbedarften User), wenn nicht IT, dann GL...
Wenn die etwas dabei verbolzen baruchen die sich nur selbst zu rechtfertigen...
Carsten
Die könnten dann zwar immer noch die Sicherung rausdrehen, Geld für´s E-Werk zurückbuchen, Kraftwerk sprengen.....
Es ist halt Ansichtssache, ich würde es wirklich nicht jeden machen lassen (schon gar keinen unbedarften User), wenn nicht IT, dann GL...
Wenn die etwas dabei verbolzen baruchen die sich nur selbst zu rechtfertigen...
Carsten
Hallo,
deshalb kommt man als Admin auch von zu Hause und aus dem Urlaub auf den Server Oder du Machst dir per Skript und Taskplaner einen Shutdown-Agent. Wenn 7 Tage kein Admin angemeldet ist, dann startet das System neu. So mache ich das immer aufm root Server, wenn mein Benutzer mehr als 10 Min. inaktiv ist, dann gibts nen Neustart.
Weitere Überlegungen:
Oder du nimmst
Windows 7 herunterfahren beim beenden eines Programms
und änderst es in den Fall eines Programmstarts. Dies kannst du mit Berechtigungen gut steuern. Wenn nun der GL das "StarteNeu.exe" öffnet, dann kommt der Systemdienst und erledigt es Lässt sich z.B. auch über die Existenz einer "Notstart.bat" lösen, welche dann im Ordner C:\AdminImUrlaub\ nachsieht, ob eine Datei "HilfeHierIstDerGLUndAllesIstKaputt.txt" existiert. Falls ja: löschen und neu starten.
Lg
Matze
deshalb kommt man als Admin auch von zu Hause und aus dem Urlaub auf den Server
Oder du Machst dir per Skript und Taskplaner einen Shutdown-Agent. Wenn 7 Tage kein Admin angemeldet ist, dann startet das System neu. So mache ich das immer aufm root Server, wenn mein Benutzer mehr als 10 Min. inaktiv ist, dann gibts nen Neustart.Weitere Überlegungen:
Oder du nimmst
Windows 7 herunterfahren beim beenden eines Programms
und änderst es in den Fall eines Programmstarts. Dies kannst du mit Berechtigungen gut steuern. Wenn nun der GL das "StarteNeu.exe" öffnet, dann kommt der Systemdienst und erledigt es
Lässt sich z.B. auch über die Existenz einer "Notstart.bat" lösen, welche dann im Ordner C:\AdminImUrlaub\ nachsieht, ob eine Datei "HilfeHierIstDerGLUndAllesIstKaputt.txt" existiert. Falls ja: löschen und neu starten.Lg
Matze
