Dienste sollen auch nach Logoff weiterlaufen
Hallo allerseits,
ich gehöre in einem Netzwerk mit Active Directory -Domäne zur Gruppe Domain-Admins. In diesem Netzwerk befindet sich u. a. ein normaler Windows-Client, auf dem ich mich angemeldet habe, um einen Docker-Container zu starten. Bei dem Docker-Container handelt es sich um einen GitLab-Server.
Mein Problem ist nun das folgende: Wenn ich mich an dem Windows PC wieder abmelde, ist der Docker-Container nicht mehr im lokalen Netzwerk erreichbar. Dieses Problem wirf für mich die Frage auf, wie man grundsätzliche Dienste als Domain-Admin startet. Nach dem Abmelden schließt der Benutzerprofildienst sämtliche Prozesse des abzumeldenden Benutzers.
Vielen Dank für eure Hilfe!
ich gehöre in einem Netzwerk mit Active Directory -Domäne zur Gruppe Domain-Admins. In diesem Netzwerk befindet sich u. a. ein normaler Windows-Client, auf dem ich mich angemeldet habe, um einen Docker-Container zu starten. Bei dem Docker-Container handelt es sich um einen GitLab-Server.
Mein Problem ist nun das folgende: Wenn ich mich an dem Windows PC wieder abmelde, ist der Docker-Container nicht mehr im lokalen Netzwerk erreichbar. Dieses Problem wirf für mich die Frage auf, wie man grundsätzliche Dienste als Domain-Admin startet. Nach dem Abmelden schließt der Benutzerprofildienst sämtliche Prozesse des abzumeldenden Benutzers.
Vielen Dank für eure Hilfe!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4053838668
Url: https://administrator.de/contentid/4053838668
Ausgedruckt am: 04.11.2024 um 22:11 Uhr
18 Kommentare
Neuester Kommentar
Ich stelle mir die Frage, wer die Verantwortung für deine Berechtigung trägt. Das wirkt auf mich so, als würde ein Kind die Schusswaffe des Vaters in den Händen halten.
Wenn du dich selbst ernst nehmen willst, dann gibst du deine Domain-Admin Rechte auf und startest den Dienst als System-Irgendwasdienst oder (group) (manged) Service Account.
Anderenfalls könnte ich dir ein Word Dokument mit einem service.dotm Anhang senden, dann sind alle Probleme gelöst. Versprochen.
Wenn du dich selbst ernst nehmen willst, dann gibst du deine Domain-Admin Rechte auf und startest den Dienst als System-Irgendwasdienst oder (group) (manged) Service Account.
Anderenfalls könnte ich dir ein Word Dokument mit einem service.dotm Anhang senden, dann sind alle Probleme gelöst. Versprochen.
Moin...
Mein Problem ist nun das folgende: Wenn ich mich an dem Windows PC wieder abmelde, ist der Docker-Container nicht mehr im lokalen Netzwerk erreichbar. Dieses Problem wirf für mich die Frage auf, wie man grundsätzliche Dienste als Domain-Admin startet. Nach dem Abmelden schließt der Benutzerprofildienst sämtliche Prozesse des abzumeldenden Benutzers.
äh ja... abgesehen von der Tatasache, das sowas eher nicht auf einen AP gehört, solltest du es unterlassen solche Dienste als Administrator laufen zu lassen!
da kommt wirklich die Frage auf, wer dir Domain-Admin Rechte gegeben hat- nicht das ich dir das nicht gönne, aber du scheinst erhebliche Lücken im Fachbereich zu haben!
wenn du so weiter machst, dauert der erste große oder kleine Unfall nicht mehr lange!
du wärst da aber auch nicht der erste!
und zum Schluss ein kleiner Tipp:
Arbeite nur mit admin / root rechten wenn es nötig ist!
in deinem Fall, war das völlig unnötig!
Vielen Dank für eure Hilfe!
Frank
Zitat von @Enrixk:
Hallo allerseits,
ich gehöre in einem Netzwerk mit Active Directory -Domäne zur Gruppe Domain-Admins. In diesem Netzwerk befindet sich u. a. ein normaler Windows-Client, auf dem ich mich angemeldet habe, um einen Docker-Container zu starten. Bei dem Docker-Container handelt es sich um einen GitLab-Server.
Oha...Hallo allerseits,
ich gehöre in einem Netzwerk mit Active Directory -Domäne zur Gruppe Domain-Admins. In diesem Netzwerk befindet sich u. a. ein normaler Windows-Client, auf dem ich mich angemeldet habe, um einen Docker-Container zu starten. Bei dem Docker-Container handelt es sich um einen GitLab-Server.
Mein Problem ist nun das folgende: Wenn ich mich an dem Windows PC wieder abmelde, ist der Docker-Container nicht mehr im lokalen Netzwerk erreichbar. Dieses Problem wirf für mich die Frage auf, wie man grundsätzliche Dienste als Domain-Admin startet. Nach dem Abmelden schließt der Benutzerprofildienst sämtliche Prozesse des abzumeldenden Benutzers.
da kommt wirklich die Frage auf, wer dir Domain-Admin Rechte gegeben hat- nicht das ich dir das nicht gönne, aber du scheinst erhebliche Lücken im Fachbereich zu haben!
wenn du so weiter machst, dauert der erste große oder kleine Unfall nicht mehr lange!
du wärst da aber auch nicht der erste!
und zum Schluss ein kleiner Tipp:
Arbeite nur mit admin / root rechten wenn es nötig ist!
in deinem Fall, war das völlig unnötig!
Vielen Dank für eure Hilfe!
Moin...
Frank
Zitat von @Enrixk:
Was genau meinst du mit "startest den Dienst als System-Irgendwasdienst"?
na sowas...Zitat von @2423392070:
Ich stelle mir die Frage, wer die Verantwortung für deine Berechtigung trägt. Das wirkt auf mich so, als würde ein Kind die Schusswaffe des Vaters in den Händen halten.
Es handelt sich um ein Testnetzwerk, das ich zur Verfügung gestellt bekommen habe zu Ausbildungszwecken.Ich stelle mir die Frage, wer die Verantwortung für deine Berechtigung trägt. Das wirkt auf mich so, als würde ein Kind die Schusswaffe des Vaters in den Händen halten.
Was genau meinst du mit "startest den Dienst als System-Irgendwasdienst"?
Frank
Zitat von @Enrixk:
Oh...okay...dann habe ich jetzt bezüglich Sicherheit auch noch was wichtiges gelernt. Ich muss die Fragestellung konkretisieren: Es geht mir darum, auf dem PC einen Docker Container laufen zu lassen, wenn niemand eingeloggt ist. Der Dienst soll nicht als Admin laufen. Welche Möglichkeiten habe ich denn da?
Ich könnte Docker auf dem PC bspw. als Service registrieren mit docker --register-service.
Wäre das ein weg in die richtige Richtung?
Oh...okay...dann habe ich jetzt bezüglich Sicherheit auch noch was wichtiges gelernt. Ich muss die Fragestellung konkretisieren: Es geht mir darum, auf dem PC einen Docker Container laufen zu lassen, wenn niemand eingeloggt ist. Der Dienst soll nicht als Admin laufen. Welche Möglichkeiten habe ich denn da?
Ich könnte Docker auf dem PC bspw. als Service registrieren mit docker --register-service.
Wäre das ein weg in die richtige Richtung?
hast du meinen link nicht gelesen?
Frank
Mahlzeit.
Da kann ich nur ins gleiche Horn tuten wie meine Vorredner: Man startet grundsätzlich Dienste niemals mit Adminrechten. Und ein "Dienst" läuft per se immer unabhängig von der An-/Abmeldung eines Benutzers - sonst wäre es kein Dienst, sondern eine Anwendung.
Der Link von @2423392070 liefert dir all die Infos, die du benötigst.
Cheers,
jsysde
Da kann ich nur ins gleiche Horn tuten wie meine Vorredner: Man startet grundsätzlich Dienste niemals mit Adminrechten. Und ein "Dienst" läuft per se immer unabhängig von der An-/Abmeldung eines Benutzers - sonst wäre es kein Dienst, sondern eine Anwendung.
Der Link von @2423392070 liefert dir all die Infos, die du benötigst.
Cheers,
jsysde
Hallo
Hier mal ein konkreter Lösungsvorschlag im Gegensatz zu all den "wie man es nicht machen sollte" Antworten.
Wir hatten die gleiche Lernkurve und mit Docker für Desktop angefangen. Ist gut zum Entwickeln aber eben nicht geeignet für produktiv.
Hol dir ein NAS von Qnap. Wir haben zum Testen und auch produktiv jeweils ein TS253 mit 16GB RAM und 2 x 8TB Ironwolf. Dort installierst Du den Containerdienst, danach installierst Du den Portainer mit dem man den Dienst voll unter Kontrolle hat. Danach SWAG als ReverseProxy mit R3 Zertifikaten verwenden und final den Gitlab Container und alle weiteren wie Du möchtest
So hast Du nicht umständlich ein Docker auf Linux auf Windows sondern direkt auf Linux wo es hingehört. Es lässt sich grafisch verwalten, das Qnap braucht fast keinen Strom (ist ja wichtig heute), ist 24h verfügbar, hat ausreichend Power und lässt auch sonst keine Wünsche offen.
MfG,
MacLeod
Hier mal ein konkreter Lösungsvorschlag im Gegensatz zu all den "wie man es nicht machen sollte" Antworten.
Wir hatten die gleiche Lernkurve und mit Docker für Desktop angefangen. Ist gut zum Entwickeln aber eben nicht geeignet für produktiv.
Hol dir ein NAS von Qnap. Wir haben zum Testen und auch produktiv jeweils ein TS253 mit 16GB RAM und 2 x 8TB Ironwolf. Dort installierst Du den Containerdienst, danach installierst Du den Portainer mit dem man den Dienst voll unter Kontrolle hat. Danach SWAG als ReverseProxy mit R3 Zertifikaten verwenden und final den Gitlab Container und alle weiteren wie Du möchtest
So hast Du nicht umständlich ein Docker auf Linux auf Windows sondern direkt auf Linux wo es hingehört. Es lässt sich grafisch verwalten, das Qnap braucht fast keinen Strom (ist ja wichtig heute), ist 24h verfügbar, hat ausreichend Power und lässt auch sonst keine Wünsche offen.
MfG,
MacLeod
N'Abend.
Cheers,
jsysde
Zitat von @MacLeod:
[...]Hier mal ein konkreter Lösungsvorschlag im Gegensatz zu all den "wie man es nicht machen sollte" Antworten.
Naja, ich hätte ihm auch schreiben können, er soll sich nen Raspi holen und es darauf installieren - das war aber nicht die Frage. Hier geht es doch irgendwie um mehr, als die Erkenntnis, dass Docker besser auf nem Linux produktiv zum Einsatz kommen sollte als unter Windows...[...]Hier mal ein konkreter Lösungsvorschlag im Gegensatz zu all den "wie man es nicht machen sollte" Antworten.
Cheers,
jsysde
Das Script trägt etwas in den Task-Planer ein. Dann auch noch Docker Desktop.
Verstehe ich richtig, du kannst einen bereits installierten und lauffähigen Dienst nicht den User wechseln in der Dienstverwaltung?
Verstehe ich richtig, du kannst einen bereits installierten und lauffähigen Dienst nicht den User wechseln in der Dienstverwaltung?
Es ist nicht seriös deinen Skills abzufragen?
Deine Supporter müssen schon wissen, dass du nicht services.msc ausführen kannst.
Deine Supporter müssen schon wissen, dass du nicht services.msc ausführen kannst.
Erklärung in Kurzform:
https://www.coretechnologies.com/products/AlwaysUp/Apps/StartDockerDaemo ...
Nur das im grünen Kasten. Einfacher geht es nimmer. Aber: Windows 10 braucht je nach Docker Auslastung immer wieder mal einen Neustart. Die Ressourcen schwinden dahin. Ist halt so bei Windows.
MfG,
MacLeod
https://www.coretechnologies.com/products/AlwaysUp/Apps/StartDockerDaemo ...
Nur das im grünen Kasten. Einfacher geht es nimmer. Aber: Windows 10 braucht je nach Docker Auslastung immer wieder mal einen Neustart. Die Ressourcen schwinden dahin. Ist halt so bei Windows.
MfG,
MacLeod
Zitat von @MacLeod:
Erklärung in Kurzform:
https://www.coretechnologies.com/products/AlwaysUp/Apps/StartDockerDaemo ...
Nur das im grünen Kasten. Einfacher geht es nimmer. Aber: Windows 10 braucht je nach Docker Auslastung immer wieder mal einen Neustart. Die Ressourcen schwinden dahin. Ist halt so bei Windows.
MfG,
MacLeod
Erklärung in Kurzform:
https://www.coretechnologies.com/products/AlwaysUp/Apps/StartDockerDaemo ...
Nur das im grünen Kasten. Einfacher geht es nimmer. Aber: Windows 10 braucht je nach Docker Auslastung immer wieder mal einen Neustart. Die Ressourcen schwinden dahin. Ist halt so bei Windows.
MfG,
MacLeod
Das AlwaysUP ist genial, kostet zwar paar Euros, macht aber seinen "Dienst" hervorragend.
Zitat von @Enrixk:
Entschuldige, dann habe ich das falsch aufgeschnappt.
Ich habe mir deinen Beitrag von oben nochmal durchgelesen und versucht, zu vertehen was du mit "...du...startest den Dienst als System-Irgendwasdienst oder (group) (manged) Service Account" meinst.
Wenn ich ganz einfach denke, würde ich das so verstehen, dass man einen lokalen Benutzer anlegt und ihm den Dienst über die Windows-Aufgabenplanung bzw. services.msc zuweist. Gibt es an diesem Ansatz etwas zu meckern? Mich persönlich stört daran, dass mit wachsender Dienst-Anzahl natürlich auch die Anzahl der Benutzer wächst, die für die Ausführung der Dienste benötigt werden. Demzufolge wird das wahrscheinlich nicht 100% dem entsprechen, was du meinst.
Vermutlich existiert unter Windows eine Art "recommended approach", wie man Dienste sicher und korrekt startet.
Möglicherweise ist dieser "recommended approach" genau das, was @Vision2015 verlinkt hat:
Leider sind mir in der Syntax ein paar Dinge unklar.
Kannst du mir da nochmal helfen?
Entschuldige, dann habe ich das falsch aufgeschnappt.
Ich habe mir deinen Beitrag von oben nochmal durchgelesen und versucht, zu vertehen was du mit "...du...startest den Dienst als System-Irgendwasdienst oder (group) (manged) Service Account" meinst.
Wenn ich ganz einfach denke, würde ich das so verstehen, dass man einen lokalen Benutzer anlegt und ihm den Dienst über die Windows-Aufgabenplanung bzw. services.msc zuweist. Gibt es an diesem Ansatz etwas zu meckern? Mich persönlich stört daran, dass mit wachsender Dienst-Anzahl natürlich auch die Anzahl der Benutzer wächst, die für die Ausführung der Dienste benötigt werden. Demzufolge wird das wahrscheinlich nicht 100% dem entsprechen, was du meinst.
Vermutlich existiert unter Windows eine Art "recommended approach", wie man Dienste sicher und korrekt startet.
Möglicherweise ist dieser "recommended approach" genau das, was @Vision2015 verlinkt hat:
sc.exe create Servername binPath= "Serverpfad -k Instanzname"
start= Starttyp obj= Kontoname password= Kennwort
Leider sind mir in der Syntax ein paar Dinge unklar.
- Kann ich den Wert für binPath auf C:\Program Files\Docker\Docker/Docker Desktop.exe setzen?
- Muss ich als Wert für obj mein Admin-Konto angeben, oder erstelle ich dafür einen separaten lokalen Benutzer, der keine Admin-Rechte besitzt?
Kannst du mir da nochmal helfen?
Soll nicht jemand gleich deinen PC und Kopf bedienen?
Von Google hast Du schon Mal gehört?
group manged Service Account
manged Service Account
Service Account
Services.msc
Hast du die Diensteverwaltung überhaupt verstanden? Wir wissen ja nicht Mal wo wir anfangen sollen.
Hast Du Mal an Linux gedacht? Könnte einfacher werden.
Man kann auch nicht zu viele User für Dienste haben. Recommended approach ist aber: weniger ist mehr. Weniger Rechte, nur das Nötigste, so granular wie möglich berechtigt.
Domain-Admins können sowas automatisieren.