12
Berechtigung auf DC, um DHCP zu sichern
Hallo,
bei uns läuft die DHCP-Rolle auf Domain Controllern. Täglich läuft ein Task, der die Datenbank exportiert (netsh dhcp server export ...) und auf einen anderen Ort speichert. Welche Berechtigung benötigt der User, der den Task ausführt? Im Moment funktioniert es nur, wenn er Domain Admin ist, das er aber nicht sein sollte. Wenn ich ihm diese Berechtigung entferne, führt er den Task zwar aus, der Export ist aber leer.
Bekomme ich das Problem nur gelöst, wenn ich DHCP auf einen nicht DC installiere?
AD 2016
Grüße
Peter
bei uns läuft die DHCP-Rolle auf Domain Controllern. Täglich läuft ein Task, der die Datenbank exportiert (netsh dhcp server export ...) und auf einen anderen Ort speichert. Welche Berechtigung benötigt der User, der den Task ausführt? Im Moment funktioniert es nur, wenn er Domain Admin ist, das er aber nicht sein sollte. Wenn ich ihm diese Berechtigung entferne, führt er den Task zwar aus, der Export ist aber leer.
Bekomme ich das Problem nur gelöst, wenn ich DHCP auf einen nicht DC installiere?
AD 2016
Grüße
Peter
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2673410083
Url: https://administrator.de/contentid/2673410083
Printed on: May 9, 2024 at 14:05 o'clock
12 Comments
Latest comment
Das lokale Systemkonto wird dafür mit Sicherheit ausreichen.
Welche Sorge bereitet dir das Ausführen als Domänenadmin?
Welche Sorge bereitet dir das Ausführen als Domänenadmin?
ok.
Das Systemkonto kann den Export lokal auf dem DC ablegen, aber nicht auf einem anderen Speicherort. Ich müsste einen 2.Task erstellen, der den Export kopiert. Das wäre eine Option.
Ich will die Anzahl der Domain Admins in Grenzen halten.
Das Systemkonto kann den Export lokal auf dem DC ablegen, aber nicht auf einem anderen Speicherort. Ich müsste einen 2.Task erstellen, der den Export kopiert. Das wäre eine Option.
Ich will die Anzahl der Domain Admins in Grenzen halten.
Ich will die Anzahl der Domain Admins in Grenzen halten.
Das ist gut.Das Systemkonto des DCs (DCName$) kann auch auf jeder Freigabe schreibberechtigt werden, dann läuft das.
Servus.
Die Gruppen DHCP-Administratoren, oder Sicherungs-Operatoren tuts auch. Wobei man bei den DHCP-Administratoren noch das lokale "Anmelden als Batchauftrag" Recht geben müsste, das haben Sicherungsoperatoren schon.
.
Grüße Uwe
Die Gruppen DHCP-Administratoren, oder Sicherungs-Operatoren tuts auch. Wobei man bei den DHCP-Administratoren noch das lokale "Anmelden als Batchauftrag" Recht geben müsste, das haben Sicherungsoperatoren schon.
Das Systemkonto kann den Export lokal auf dem DC ablegen, aber nicht auf einem anderen Speicherort
Doch du musst nur dem Computer-Account des DCs entsprechende Share und NTFS-Rechte geben dann läuft das problemlos .Grüße Uwe
Das war eigentlich zu einfach.
Habe mit Managed Service Accounts gespielt.
Danke euch
Peter
Habe mit Managed Service Accounts gespielt.
Danke euch
Peter
Hallo,
ich muss nochmal zurückkommen. Wir haben auch die DHCP-Rolle auf einigen Mitgliedsservern, dort funktioniert es leider nicht mit dem Systemkonto.
Der Task wird gestartet und gleich wieder beendet. Im Log kann ich nicht wirklich einen Error erkennen.
Jemand noch eine Idee?
Gruß
Peter
ich muss nochmal zurückkommen. Wir haben auch die DHCP-Rolle auf einigen Mitgliedsservern, dort funktioniert es leider nicht mit dem Systemkonto.
Der Task wird gestartet und gleich wieder beendet. Im Log kann ich nicht wirklich einen Error erkennen.
Jemand noch eine Idee?
Gruß
Peter
Hast Du das Systemkonto jener Server jeweils schreibberechtigt auf der Freigabe?
Ja. Die Berechtigungen sind die gleichen, wie des DC's.
Klappt hier im Test problemlos. (Nicht vergessen Share und NTFS-Berechtigungen müssen stimmen!)
Und zusätzlich per PSEXEC (
Works as designed !
<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo>
<URI>\test\export_dhcp_config</URI>
</RegistrationInfo>
<Triggers />
<Principals>
<Principal id="Author">
<UserId>S-1-5-18</UserId>
<RunLevel>HighestAvailable</RunLevel>
</Principal>
</Principals>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>PT72H</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>cmd</Command>
<Arguments>/c netsh dhcp server export \\myserver\testshare\config.txt</Arguments>
</Exec>
</Actions>
</Task>Und zusätzlich per PSEXEC (
psexec -is -s cmd) gestartete Shell mit SYSTEM-Rechten und einem direkten Export der config auf ein Netzlaufwerk:Works as designed
!
Der Server hat beide Berechtigungen. Wenn es prinzipiell funktioniert, muss ich nochmal schauen.
Die Berechtigungen waren korrekt. Der Pfad in der Batch-Datei zeigte nicht direkt auf den Share. Jetzt geht alles.
Danke
Peter
Danke
Peter
Peinlich.
