3
Domain User soll per Remote einen Service neustarten können
Hoihoi liebe Administratoren-Community
Also ich schildere erst einmal die Ausgangslage damit ihr nachvollziehen könnt was ich versuche:
Wir haben einen Win2k3 Server also Telefonzentrale im Einsatz. Die ganze Applikation läuft als Windows Service.
Damit wir, im Falle einer Abwesenheit (Firmenausflug, Teammeeting, etc), die gesamten ankommenden Anrufe auf ein Mobiltelefon umleiten können, muss die Config Datei durch die AbwesenheitsConfig getauscht werden und den Service neugestartet werden. Dies wird im Moment immer von einem Domain Administrator von Hand erledigt, was auf Dauer sehr nervig wird.
Ziel wäre es nun, dass unsere Telefonassistenten/innen die Umleitung selbst aktivieren können. Hier für habe ich das Verzeichnis in dem die Config Datei ausgetauscht werden muss für die Gruppe Telefonassist freigegeben (shared). Weiter wurde ein VBS erstellt welches die Config Dateien austauscht und den Service neustartet. Das austauschen funktioniert hervorragend, nur mit dem Service neustarten hapert es noch, da die Telefonassist’s keine Berechtigung haben den Service neu zu starten. Klar könnte ich einfach die Telefonassist’s in die Local Admins des Servers Packen, jedoch ist das nicht mit unsere Firmenpolitik kompatibel ;P
Nun ist halt die Frage wie ich es schaffe der Gruppe Rechte zu geben damit diese nur den einen Service starten/stoppen/neustarten können.
Ich hoffe jemand von euch hat eine Idee.
Mit freundlichen Grüssen
Alex
Also ich schildere erst einmal die Ausgangslage damit ihr nachvollziehen könnt was ich versuche:
Wir haben einen Win2k3 Server also Telefonzentrale im Einsatz. Die ganze Applikation läuft als Windows Service.
Damit wir, im Falle einer Abwesenheit (Firmenausflug, Teammeeting, etc), die gesamten ankommenden Anrufe auf ein Mobiltelefon umleiten können, muss die Config Datei durch die AbwesenheitsConfig getauscht werden und den Service neugestartet werden. Dies wird im Moment immer von einem Domain Administrator von Hand erledigt, was auf Dauer sehr nervig wird.
Ziel wäre es nun, dass unsere Telefonassistenten/innen die Umleitung selbst aktivieren können. Hier für habe ich das Verzeichnis in dem die Config Datei ausgetauscht werden muss für die Gruppe Telefonassist freigegeben (shared). Weiter wurde ein VBS erstellt welches die Config Dateien austauscht und den Service neustartet. Das austauschen funktioniert hervorragend, nur mit dem Service neustarten hapert es noch, da die Telefonassist’s keine Berechtigung haben den Service neu zu starten. Klar könnte ich einfach die Telefonassist’s in die Local Admins des Servers Packen, jedoch ist das nicht mit unsere Firmenpolitik kompatibel ;P
Nun ist halt die Frage wie ich es schaffe der Gruppe Rechte zu geben damit diese nur den einen Service starten/stoppen/neustarten können.
Ich hoffe jemand von euch hat eine Idee.
Mit freundlichen Grüssen
Alex
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 102722
Url: https://administrator.de/contentid/102722
Ausgedruckt am: 16.11.2024 um 11:11 Uhr
3 Kommentare
Neuester Kommentar
*removed*
Tach Alex,
Ich "umgehe" ein ähnliches Problem mit einem Programm und keinem Dienst z.Z. nach dem Prinzip "was keiner weiß,...":
1.) Eine Batch mit nachfolgendem Inhalt wird per Taskmanager beim Hochfahren des "Servers" unter einer lokalen Admin-Anmeldung gestartet:
:vorher
Start /Wait [Programm.exe]
goto vorher
2.) in einer zweiten Batch für den Anwender wird dann ein das Programm per Task-Kill neu gestartet:
taskkill /S \\[server] /U [Server]\[lokaler Admin] /p [Passwort] /IM [Programm.exe] /F
Wenn Du das geschickt verbirgst (@ECHO OFF; Verknüpfung mit minimiertem Start; 2. Batch in 'ner Freigabe, auf die nur die Telefonist(inn)en zugreifen dürfen) ist der Komfort maximal. Nur wer wirklich danach sucht, wird Benutzernamen und Passwort finden.
Ist zwar 'ne Krücke, aber leider habe ich bisher keine Möglichkeit entdeckt, die Batch ausführbar, aber nicht text-leserlich zu machen.
Auf jeden Fall wäre ich aber an einer Lösung interessiert, da ich mein Programm von einem unbedeutenden PC als Dienst auf einen sicherheitsrelevanteren Server verlagern möchte.
Mein Oberadmin meinte, es gäbe wohl ein käuflich zu erwerbendes Tool, welches die Zuweisung aministrativer Rechte für ausgewählte Anwendungen und Dienste erlaubt.
Wenn ich mehr weiß, melde ich mich.
Bis dahin,
Gisi
Ich "umgehe" ein ähnliches Problem mit einem Programm und keinem Dienst z.Z. nach dem Prinzip "was keiner weiß,...":
1.) Eine Batch mit nachfolgendem Inhalt wird per Taskmanager beim Hochfahren des "Servers" unter einer lokalen Admin-Anmeldung gestartet:
:vorher
Start /Wait [Programm.exe]
goto vorher
2.) in einer zweiten Batch für den Anwender wird dann ein das Programm per Task-Kill neu gestartet:
taskkill /S \\[server] /U [Server]\[lokaler Admin] /p [Passwort] /IM [Programm.exe] /F
Wenn Du das geschickt verbirgst (@ECHO OFF; Verknüpfung mit minimiertem Start; 2. Batch in 'ner Freigabe, auf die nur die Telefonist(inn)en zugreifen dürfen) ist der Komfort maximal. Nur wer wirklich danach sucht, wird Benutzernamen und Passwort finden.
Ist zwar 'ne Krücke, aber leider habe ich bisher keine Möglichkeit entdeckt, die Batch ausführbar, aber nicht text-leserlich zu machen.
Auf jeden Fall wäre ich aber an einer Lösung interessiert, da ich mein Programm von einem unbedeutenden PC als Dienst auf einen sicherheitsrelevanteren Server verlagern möchte.
Mein Oberadmin meinte, es gäbe wohl ein käuflich zu erwerbendes Tool, welches die Zuweisung aministrativer Rechte für ausgewählte Anwendungen und Dienste erlaubt.
Wenn ich mehr weiß, melde ich mich.
Bis dahin,
Gisi
