8
File Zugriff - Domain User auf Domain Controller ohne Admin Rechte
Hallo,
ich möchte gerne einem normalen Domain User (genutzt als Service User) Zugriff auf 2 Unterordner auf dem Domain Controller geben.
C:\*Ordner*
Außerdem soll er auf:
C:\Windows\System32\... auf einem Unterordner eine .exe ausführen dürfen.
Ich möchte dem Service User aber keine Admin Rechte bzw. Domain Admin Rechte geben. Dieser soll nur das können, also nicht auf die Active Directory zugreifen dürfen usw.
Probiert habe ich folgendes:
1. Dem User Rechte auf den entsprechenden Unterordner gegeben (Full Rights) -> kann diesen Ordner trotzdem nicht öffnen. Über eine Freigabe im Netzwerk funktioniert dann, es muss aber im Script der Explizite Ordner
\\*IP des Servers*\c$\*Ordner* angegeben werden
2. Über Group Policy - Default Domain Controller Policy - Dort unter der Local Policy -> Allow log on locally / Den User eingetragen. gpupdate /force und Neustart aber hat nichts gebracht.
Könnt ihr mir helfen wie ich das am besten bewerkstelligen kann. Problem ist halt das dies der Haupt Domain Controller ist. Bei jedem anderen Server könnte ich ja über die Local Users and Groups gehen.
Viele Grüße
David
ich möchte gerne einem normalen Domain User (genutzt als Service User) Zugriff auf 2 Unterordner auf dem Domain Controller geben.
C:\*Ordner*
Außerdem soll er auf:
C:\Windows\System32\... auf einem Unterordner eine .exe ausführen dürfen.
Ich möchte dem Service User aber keine Admin Rechte bzw. Domain Admin Rechte geben. Dieser soll nur das können, also nicht auf die Active Directory zugreifen dürfen usw.
Probiert habe ich folgendes:
1. Dem User Rechte auf den entsprechenden Unterordner gegeben (Full Rights) -> kann diesen Ordner trotzdem nicht öffnen. Über eine Freigabe im Netzwerk funktioniert dann, es muss aber im Script der Explizite Ordner
\\*IP des Servers*\c$\*Ordner* angegeben werden
2. Über Group Policy - Default Domain Controller Policy - Dort unter der Local Policy -> Allow log on locally / Den User eingetragen. gpupdate /force und Neustart aber hat nichts gebracht.
Könnt ihr mir helfen wie ich das am besten bewerkstelligen kann. Problem ist halt das dies der Haupt Domain Controller ist. Bei jedem anderen Server könnte ich ja über die Local Users and Groups gehen.
Viele Grüße
David
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 354814
Url: https://administrator.de/contentid/354814
Ausgedruckt am: 25.11.2024 um 02:11 Uhr
8 Kommentare
Neuester Kommentar
Hi,
Das ist nur notwendig, wenn sich ein Benutzer interaktiv am Server anmelden können muss. Also direkt an der Konsole oder per RDP. Es ist nicht notwendig, wenn man auf eine Freigabe zugreifen will.
s.o. --> Gib diesen Ordner explizit frei und benutze diese Freigabe.
E.
2. Über Group Policy - Default Domain Controller Policy - Dort unter der Local Policy -> Allow log on locally / Den User eingetragen. gpupdate /force und Neustart aber hat nichts gebracht.
Allow log on locallyDas ist nur notwendig, wenn sich ein Benutzer interaktiv am Server anmelden können muss. Also direkt an der Konsole oder per RDP. Es ist nicht notwendig, wenn man auf eine Freigabe zugreifen will.
C:\*Ordner*
Hast Du diesen Ordner denn überhaupt freigeben und wenn ja, wie?C:\Windows\System32\... auf einem Unterordner eine .exe ausführen dürfen.
Also soll er sich doch lokal anmelden dürfen? Ansonnsten müsstest Du auch diesen betreffenden Unterordner explizit freigeben.Ich möchte dem Service User aber keine Admin Rechte bzw. Domain Admin Rechte geben.
Das ist sehr sinnvoll.1. Dem User Rechte auf den entsprechenden Unterordner gegeben (Full Rights) -> kann diesen Ordner trotzdem nicht öffnen. Über eine Freigabe im Netzwerk funktioniert dann, es muss aber im Script der Explizite Ordner
\\*IP des Servers*\c$\*Ordner* angegeben werden
Zugriff über C$ geht nur für Admins, bei einem DC also Mitglieder der BuiltIn-Administratoren. Das kommt also für Dein Szenario nicht in Frage.\\*IP des Servers*\c$\*Ordner* angegeben werden
s.o. --> Gib diesen Ordner explizit frei und benutze diese Freigabe.
E.
Zugriff über C$ geht nur für Admins, bei einem DC also Mitglieder der BuiltIn-Administratoren. Das kommt also für Dein Szenario nicht in Frage.
s.o. --> Gib diesen Ordner explizit frei und benutze diese Freigabe.
E.
s.o. --> Gib diesen Ordner explizit frei und benutze diese Freigabe.
E.
Top danke, glaube das beantwortete meine Frage am besten. Ich wollte eben keine "Freigabe" machen sondern über den Tab "Security" des Ordners die Rechte vergeben für dies User. Dann über den Explorer über die Eingabe von \\*IP des Servers*\c$\*Ordner* auf diesen zugreifen. Wenn das nur für Builtin-Administratoren geht auf dem DC dann klappt das so wohl nicht. Auf den anderen Servern, die nicht DC sind, konnte ich das eben über Local Users and Groups regeln.
Ich probiere es jetzt über eine ganz normale "Freigabe". Da kann ich dann natürlich auch auf die Ordner zugreifen. Dadurch das es ein System Ordner ist lässt sich dort die "Security" Einstellung nicht anpassen. Dort ist allerdings die Gruppe "Users" der Domain bereits angelegt als RW Zugriff. Ich habe den Service User also der Domain Group "Users" hinzugefügt. Nun werde ich mal testen ob das mit den Netzwerk Shares und dem Zugriff soweit klappt.
Moin,
lg,
Slainte
2. Über Group Policy - Default Domain Controller Policy - Dort unter der Local Policy -> Allow log on locally
Damit darf sich der Service user an ALLEN DCs in deinem AD anmelden... ist das das was du willst?C:\Windows\System32\... auf einem Unterordner eine .exe ausführen dürfen.
Darf ich fragen was das für eine exe ist, die normaler User übers Nertzwerk ausführen soll?lg,
Slainte
Zitat von @SlainteMhath:
Moin,
Bisher gibt es zumindest nur einen Domain Controller aber nein sollte er eigentlich nicht.Moin,
2. Über Group Policy - Default Domain Controller Policy - Dort unter der Local Policy -> Allow log on locally
Damit darf sich der Service user an ALLEN DCs in deinem AD anmelden... ist das das was du willst?C:\Windows\System32\... auf einem Unterordner eine .exe ausführen dürfen.
Darf ich fragen was das für eine exe ist, die normaler User übers Nertzwerk ausführen soll?lg,
Slainte
Problem ist das dieser Domain Controller gleichzeitig der Webservice Server ist. Folgendes Szenario. Unser lokaler Jenkins greift über VPN Tunnel auf diesen Server zu und müsste auf folgende Datei zugreifen können:
C:\Windows\System32\inetsrv\appcmd.exe
Dafür muss beim Jenkins ein User hinterlegt werden (Service User). Dieser muss diese Datei ausführen und auf C:\inetpub Zugriff haben.
Lg
Wenn du den Ordner freigibst, kannst du ihn doch über \\ip\freigabe\ordner einbinden?
Beispiel:
Der Ordner Test unter c:\xy\test soll eingebunden werden. Gib xy frei und Greif über \\ip\\xy\test darauf zu.
Beispiel:
Der Ordner Test unter c:\xy\test soll eingebunden werden. Gib xy frei und Greif über \\ip\\xy\test darauf zu.
Ja wie gesagt darüber wird es auch jetzt probiert. Unsere Entwickler haben es bisher über den direkten File Path ohne Share eingebunden.
Muss man sehen ob das gleich funktioniert in dem Code.
Lg
Muss man sehen ob das gleich funktioniert in dem Code.
Lg
Problem ist das dieser Domain Controller gleichzeitig der Webservice Server ist. Folgendes Szenario. Unser lokaler Jenkins greift über VPN
Tunnel auf diesen Server zu und müsste auf folgende Datei zugreifen können:
C:\Windows\System32\inetsrv\appcmd.exe
Ok, die Diskussion über die Sinnhafigkeit dieser Konstellation erspare ich uns jetzt mal an dieser Stelle...Tunnel auf diesen Server zu und müsste auf folgende Datei zugreifen können:
C:\Windows\System32\inetsrv\appcmd.exe
Dafür muss beim Jenkins ein User hinterlegt werden (Service User). Dieser muss diese Datei ausführen und auf C:\inetpub Zugriff haben.
Die appcmd muss aber doch dann am Server(DC) ausgeführt werden - also muss der Jenkins sich doch an dem DC anmelden oder von Remote einen Prozess starten und je nachdem was via appcmd gemacht werden soll braucht er evtl. sogar noch entsprechende Rechte im IIS/Apppool und/oder der Registry...Ok, die Diskussion über die Sinnhafigkeit dieser Konstellation erspare ich uns jetzt mal an dieser Stelle...
Die komplette Konstellation kann ich dir nicht schildern. Das DC und Webservice Server ein und der selbe Server sind ist auch nicht ideal, voerst aber nun mal nicht anders zu lösen. Es ist aber so das dies aktuell so laufen muss, da es zwingend erforderlich ist das dieser auf einem Mac läuft. Da in dem RZ aber kein Mac Server oder Client zur Verfügung gestellt werden muss ist es so das wir aktuell diesen Umweg gehen müssen.
Dafür muss beim Jenkins ein User hinterlegt werden (Service User). Dieser muss diese Datei ausführen und auf C:\inetpub Zugriff haben.
Die appcmd muss aber doch dann am Server(DC) ausgeführt werden - also muss der Jenkins sich doch an dem DC anmelden oder von Remote einen Prozess starten und je nachdem was via appcmd gemacht werden soll braucht er evtl. sogar noch entsprechende Rechte im IIS/Apppool und/oder der Registry...Er muss die appcmd ausführen, diese greift dann wiederrum auf den iis zu. Ich habe dem User aber Rechte über die appcmd gegeben indem ich diesen in die Gruppe genommen habe, die RW Rechte auf die appcmd hat.
