drhigh
Dec 20, 2023
view1029
view7
0
Goto Top

Lokale Dienste auf Server mit DomainUser erlauben

GermansolvedQuestionMicrosoftWindows Server
Hallo Gemeinde,

ich habe ein Problem mit unseren SharePoint Server,
wir sind gerade dabei unser AD wieder zu pflegen und wollten unseren SharePoint Server in eine neu OU verlegen mit neuen Sicherheitsrichtlinien.
Jetzt ist uns aber aufgefallen, dass nun einige Dienste auf dem Server nicht mehr starten nach einem Reboot,
die Meldung lautet der User der den Dienst starten möchte hat keine Berechtigung dafür.

Wie kann ich eine GPO so anpassen, dass ein Domain User doch Dienste auf dem Server starten darf?

Der Domain User ist schon lokaler Admin, falls das jemand fragen wollte.

Danke für eure Unterstützung.

VG
DrHigh
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 63041909537

Url: https://administrator.de/contentid/63041909537

Printed on: May 5, 2024 at 08:05 o'clock

7 Comments
Latest comment
Goto Top
Member: DerWoWusste
DerWoWusste Dec 20, 2023 at 12:08:45 (UTC)
Goto Top
Die alten GPOs liegen doch vor, da kannst du die nötigen Einstellungen doch finden: Zuweisen von Benutzerrechten: anmelden als Dienst
heart1
Member: DrHigh
DrHigh Dec 20, 2023 updated at 12:29:14 (UTC)
Goto Top
Zitat von @DerWoWusste:

Die alten GPOs liegen doch vor, da kannst du die nötigen Einstellungen doch finden: Zuweisen von Benutzerrechten: anmelden als Dienst

Hallo DerWoWusste,

klar sehe ich Dienst in der GPO aber der SharePoint bringt neue eigene Dienste mit und diese werden nicht im AD des Gruppeneditors angezeigt.
Mir ist auch noch nicht ganz klar, wie ich diese eventuell auf den Server der GPO Verwaltung einbauen kann.
Alle ADMX Hilfen haben leider nichts gebracht.
Daher ja meine Frage, ob es in den GPOs irgendwo eine Einstellung gibt,
wo ich alle Dienst für einen Bestimmten Domain User zulassen kann.

Wer sich was mit SharePoint auskennt, kennt um die Problematik mit den Diensten,
denn man will ja nicht jeden User zum Domain Admin hochstufen.

Das mit "Anmelden als Dienst" habe ich schon ohne Erfolg getestet.
Member: DerWoWusste
DerWoWusste Dec 20, 2023 at 13:09:45 (UTC)
Goto Top
Das mit "Anmelden als Dienst" habe ich schon ohne Erfolg getestet.
Was soll das bedeuten? Das ist die einzige nötige Einstellung. Du setzt das in einer gpo, die auf den Server angewendet wird, machst an dem Server ein gpupdate und die Dienste sollten sich wieder starten lassen als jener Nutzer.
heart1
Member: DrHigh
DrHigh Dec 20, 2023 at 13:47:35 (UTC)
Goto Top
in der GPO habe ich genau das schon gemacht,
User im "Anmelden als Dienst zulassen" hinterlegt, aber leider hat der Dienst lebst nach gpupdate /force nicht gestartet.
Member: DerWoWusste
DerWoWusste Dec 20, 2023 at 13:50:11 (UTC)
Goto Top
Mit welcher Meldung kommt der Fehlstart?
heart1
Member: DrHigh
Solution DrHigh Dec 20, 2023 at 14:05:19 (UTC)
Goto Top
Das Problem ist endlich gelöst,

hier die Lösung.
in der GPO mussten bei mir folgende Werte hinterlegt werden:

1.
Windows-Einstellungen/Sicherheitseinstellungen/Systemdienste/Anmeldedienst => dort die Richtlinie definieren und die Sicherheit bearbeiten und entsprechende User eintragen

2.
Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Zuweisen von Benutzerrechten/Anmelden als Dienst => dort die Richtlinie definieren und entsprechende User hinzufügen


Danke für eure Hilfe.
Member: Hubert.N
Solution Hubert.N Dec 20, 2023 at 16:00:41 (UTC)
Goto Top
Moin

einzeln lässt sich das auch mit suvinacl lösen. Hat den Vorteil, dass man genau zuweisen kann, welcher Dienst vom normalen Benutzer gesteuert werden kann.

vgl. https://www.der-windows-papst.de/2020/09/24/allow-normal-user-to-manage- ...

Gruß
GermansolvedQuestionMicrosoftWindows Server
Hotly discussed
LinuxeroWireguard with systemd and nftablesLinuxero - 9 CommentsFrankUbuntu 24.04 LTS Noble Numbat availableFrank