Gelöst - Berechtigung für die Diensteverwaltung
Hallo zusammen,
ich sitze hier vor einem Windows 2008 R2 Server, der als Terminalserver eingerichtet ist. Da die ERP-Software vollzugriff für jeden Benutzer benötigt, sind alle User als lokale Administratoren angelegt. Nun ist es aber nur unter dem Domänenadministrator möglich, Dienste zu starten und zu stoppen.
Wie kann ich einem Benutzer die zusätzliche Berechtigung erteilen, damit dieser die Dienste ebenfalls verwalten darf?
Danke schonmal für euere Hilfe.
Viele Grüße
Matthias
ich sitze hier vor einem Windows 2008 R2 Server, der als Terminalserver eingerichtet ist. Da die ERP-Software vollzugriff für jeden Benutzer benötigt, sind alle User als lokale Administratoren angelegt. Nun ist es aber nur unter dem Domänenadministrator möglich, Dienste zu starten und zu stoppen.
Wie kann ich einem Benutzer die zusätzliche Berechtigung erteilen, damit dieser die Dienste ebenfalls verwalten darf?
Danke schonmal für euere Hilfe.
Viele Grüße
Matthias
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 196547
Url: https://administrator.de/forum/geloest-berechtigung-fuer-die-diensteverwaltung-196547.html
Ausgedruckt am: 30.04.2025 um 17:04 Uhr
7 Kommentare
Neuester Kommentar
Moin Matthias.
Also nochmal genauer: Du sprichst von den Diensten am TS? Welche Dienste beispielsweise, wirklich auch andere oder nur der ERP-Dienst?
Und ausgerechnet am TS sind alle Nutzer in der Admingruppe? Das ist sicherheits- und datenschutztechnisch der GAU.
Nun ist es aber nur unter dem Domänenadministrator möglich, Dienste zu starten und zu stoppen.
Das stimmt nicht, es sei denn, Du hast eigenhändig die Defaultwerte verändert. Ein lokaler Admin kann immer Dienste starten/stoppen.Also nochmal genauer: Du sprichst von den Diensten am TS? Welche Dienste beispielsweise, wirklich auch andere oder nur der ERP-Dienst?
Und ausgerechnet am TS sind alle Nutzer in der Admingruppe? Das ist sicherheits- und datenschutztechnisch der GAU.
Hallo nochmal und danke für die Antwort.
Das ERP-System läuft auf einem eigentständigen TS und betreibt mehrere Dienste. Unter anderem wird ein Mailserver-Dienst vom System Bereitgestellt, der über eine eingenständige Konsole gestartet und beendet werden soll.
Über die Diensteverwaltung funktioniert der Start und Stop des Maildienstes, aber scheinbar funktionieren dadurch nicht alle Funktionen. Nur, wenn ich die Mailserverkonsole als Domänenadministrator starte kann auch der Dienst darüber kontrolliert werden.
Die Vorgabe, dass alle Benutzer lokale Administrationsrechte haben müssen, stammt vom Hersteller des ERP-Systems und ist so gewollt. Deshalb auch der separate TS.
Danke, dass ihr euch dem Problem annehmt.
VG. Matthias
Das ERP-System läuft auf einem eigentständigen TS und betreibt mehrere Dienste. Unter anderem wird ein Mailserver-Dienst vom System Bereitgestellt, der über eine eingenständige Konsole gestartet und beendet werden soll.
Über die Diensteverwaltung funktioniert der Start und Stop des Maildienstes, aber scheinbar funktionieren dadurch nicht alle Funktionen. Nur, wenn ich die Mailserverkonsole als Domänenadministrator starte kann auch der Dienst darüber kontrolliert werden.
Die Vorgabe, dass alle Benutzer lokale Administrationsrechte haben müssen, stammt vom Hersteller des ERP-Systems und ist so gewollt. Deshalb auch der separate TS.
Danke, dass ihr euch dem Problem annehmt.
VG. Matthias
Moin.
Die wichtige Frage "Welche Dienste beispielsweise, wirklich auch andere oder nur der ERP-Dienst?" blieb unbeantwortet, hol dies nach.
Die wichtige Frage "Welche Dienste beispielsweise, wirklich auch andere oder nur der ERP-Dienst?" blieb unbeantwortet, hol dies nach.
Die Vorgabe, dass alle Benutzer lokale Administrationsrechte haben müssen, stammt vom Hersteller des ERP-Systems und ist so gewollt.
Ist Dir klar, dass auf diese Weise jeder Nutzer an Kennwörter und Daten der anderen rankommen kann? Mit dem Kennwort dann als jemand anderer handeln kann mit allen Konsequenzen? So eine Vorgabe ist Wahnsinn.
Es sind ca 5 Dienste, die mit der ERP-Software zusammenhängen. Kann man die Berechtigung für einzelne Dienste setzen?
Ja, ich bin mir des Sicherheitsrisikos durchaus bewusst, und ich bin als normal agierender Admin überhaupt nicht damit einverstanden. Dennoch hat sich unser Kunde für das System dieses Herstellers entschieden und wir müssen es umsetzten.
Ein kleiner Trost ist, dass auf dem Server nur die ERP (kein Outlook, keine anderen Serverdienste) läuft, die durch ein separates, domänenunabhängiges Kennwort geschützt ist. Somit ist ein Identitäsdiebstahl eher unwahrscheinlich.
Ja, ich bin mir des Sicherheitsrisikos durchaus bewusst, und ich bin als normal agierender Admin überhaupt nicht damit einverstanden. Dennoch hat sich unser Kunde für das System dieses Herstellers entschieden und wir müssen es umsetzten.
Ein kleiner Trost ist, dass auf dem Server nur die ERP (kein Outlook, keine anderen Serverdienste) läuft, die durch ein separates, domänenunabhängiges Kennwort geschützt ist. Somit ist ein Identitäsdiebstahl eher unwahrscheinlich.
Man kann die Berechtigung setzen, ja, beispielsweise mit subinacl.exe oder sc.exe, letztere ist eingebaut in windows. Beantworte aber bitte erst einmal meine Frage (3. und letzter Anlauf). Wonach ich frage: kann beispielsweise ein lokaler Admin nicht mehr den Dienst Bits starten/stoppen? Kannst Du schnell austesten.
Edit: zu Deinem Setup: ein lokaler Admin installiert einen Keylogger (Virenscanner darf er als Admin natürlich vorher stoppen), loggt Dein Kennwort mit, meldet sich als Dein User an und zerstört die Installation samt Backups. Na, was machst Du dann?
Edit: zu Deinem Setup: ein lokaler Admin installiert einen Keylogger (Virenscanner darf er als Admin natürlich vorher stoppen), loggt Dein Kennwort mit, meldet sich als Dein User an und zerstört die Installation samt Backups. Na, was machst Du dann?
Lieber DerWoWusste,
bitte entschuldige, wenn ich mich unvollständig ausgedrückt habe. Über die Dienste --> Computerverwaltung --> Dienste kann jeder lokale Admin die Dienste starten und stoppen. Leider reicht das für den Maildienst der ERP-Software nicht aus, da er über eine spezielle Konsole gestartet werden muss. Sonst funktioniert er nicht. Diese greift wohl auf den Dienst, als auch auf andere Dateien zu. Aber selbst wenn ich die Konsole für den Maildienst per Rechtsklick als Administrator starte, erfolgt kein Zugriff. Ich werde es mal mit der sc.exe probieren. Danke für deine Hilfe.
Natürlich bin ich mir dem Sicherheitsproblem durchaus bewusst. Aber wenn du wüsstest, wie die Firma gearbeitet hat, bevor wir das übernommen haben, dann ist diese Technik dagegen ein Fort Knox. Der Virenschutz läuft über einen separaten Server und lässt sich nur nach Passworteingabe beenden (auch der Dienst). Das Backup läuft über einen speziellen Sicherungsadmin, der die Sicherung nur als "Briefkasten" auf ein externes System schreiben darf. Da haben wir vorgesorgt. Leider braucht die ERP-Lösung die Adminrechte, weil im Hintergrund viele EXE-Dateien geöffnet werden, die ohne Berechtigung nicht akkurat laufen. Und dann haben wir das Glück, dass es in dem gesamten Unternehmen nicht einen Menschen gibt, der Keylogger überhaupt richtig bei Google eingeben kann.
In diesem Sinne wünsche ich dir einen schönen Abend und viele Grüße
Matthias
bitte entschuldige, wenn ich mich unvollständig ausgedrückt habe. Über die Dienste --> Computerverwaltung --> Dienste kann jeder lokale Admin die Dienste starten und stoppen. Leider reicht das für den Maildienst der ERP-Software nicht aus, da er über eine spezielle Konsole gestartet werden muss. Sonst funktioniert er nicht. Diese greift wohl auf den Dienst, als auch auf andere Dateien zu. Aber selbst wenn ich die Konsole für den Maildienst per Rechtsklick als Administrator starte, erfolgt kein Zugriff. Ich werde es mal mit der sc.exe probieren. Danke für deine Hilfe.
Natürlich bin ich mir dem Sicherheitsproblem durchaus bewusst. Aber wenn du wüsstest, wie die Firma gearbeitet hat, bevor wir das übernommen haben, dann ist diese Technik dagegen ein Fort Knox. Der Virenschutz läuft über einen separaten Server und lässt sich nur nach Passworteingabe beenden (auch der Dienst). Das Backup läuft über einen speziellen Sicherungsadmin, der die Sicherung nur als "Briefkasten" auf ein externes System schreiben darf. Da haben wir vorgesorgt. Leider braucht die ERP-Lösung die Adminrechte, weil im Hintergrund viele EXE-Dateien geöffnet werden, die ohne Berechtigung nicht akkurat laufen. Und dann haben wir das Glück, dass es in dem gesamten Unternehmen nicht einen Menschen gibt, der Keylogger überhaupt richtig bei Google eingeben kann.
In diesem Sinne wünsche ich dir einen schönen Abend und viele Grüße
Matthias
So, hier nochmal als Lösung für alle. Die Windows Firewall war schuld und hat den Dienst geblockt.
Vielen Dank nochmal
Vielen Dank nochmal
