7
Lokale Dienste auf Server mit DomainUser erlauben
Hallo Gemeinde,
ich habe ein Problem mit unseren SharePoint Server,
wir sind gerade dabei unser AD wieder zu pflegen und wollten unseren SharePoint Server in eine neu OU verlegen mit neuen Sicherheitsrichtlinien.
Jetzt ist uns aber aufgefallen, dass nun einige Dienste auf dem Server nicht mehr starten nach einem Reboot,
die Meldung lautet der User der den Dienst starten möchte hat keine Berechtigung dafür.
Wie kann ich eine GPO so anpassen, dass ein Domain User doch Dienste auf dem Server starten darf?
Der Domain User ist schon lokaler Admin, falls das jemand fragen wollte.
Danke für eure Unterstützung.
VG
DrHigh
ich habe ein Problem mit unseren SharePoint Server,
wir sind gerade dabei unser AD wieder zu pflegen und wollten unseren SharePoint Server in eine neu OU verlegen mit neuen Sicherheitsrichtlinien.
Jetzt ist uns aber aufgefallen, dass nun einige Dienste auf dem Server nicht mehr starten nach einem Reboot,
die Meldung lautet der User der den Dienst starten möchte hat keine Berechtigung dafür.
Wie kann ich eine GPO so anpassen, dass ein Domain User doch Dienste auf dem Server starten darf?
Der Domain User ist schon lokaler Admin, falls das jemand fragen wollte.
Danke für eure Unterstützung.
VG
DrHigh
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 63041909537
Url: https://administrator.de/contentid/63041909537
Ausgedruckt am: 24.11.2024 um 15:11 Uhr
7 Kommentare
Neuester Kommentar
Die alten GPOs liegen doch vor, da kannst du die nötigen Einstellungen doch finden: Zuweisen von Benutzerrechten: anmelden als Dienst
1
Zitat von @DerWoWusste:
Die alten GPOs liegen doch vor, da kannst du die nötigen Einstellungen doch finden: Zuweisen von Benutzerrechten: anmelden als Dienst
Die alten GPOs liegen doch vor, da kannst du die nötigen Einstellungen doch finden: Zuweisen von Benutzerrechten: anmelden als Dienst
Hallo DerWoWusste,
klar sehe ich Dienst in der GPO aber der SharePoint bringt neue eigene Dienste mit und diese werden nicht im AD des Gruppeneditors angezeigt.
Mir ist auch noch nicht ganz klar, wie ich diese eventuell auf den Server der GPO Verwaltung einbauen kann.
Alle ADMX Hilfen haben leider nichts gebracht.
Daher ja meine Frage, ob es in den GPOs irgendwo eine Einstellung gibt,
wo ich alle Dienst für einen Bestimmten Domain User zulassen kann.
Wer sich was mit SharePoint auskennt, kennt um die Problematik mit den Diensten,
denn man will ja nicht jeden User zum Domain Admin hochstufen.
Das mit "Anmelden als Dienst" habe ich schon ohne Erfolg getestet.
Das mit "Anmelden als Dienst" habe ich schon ohne Erfolg getestet.
Was soll das bedeuten? Das ist die einzige nötige Einstellung. Du setzt das in einer gpo, die auf den Server angewendet wird, machst an dem Server ein gpupdate und die Dienste sollten sich wieder starten lassen als jener Nutzer.1
in der GPO habe ich genau das schon gemacht,
User im "Anmelden als Dienst zulassen" hinterlegt, aber leider hat der Dienst lebst nach gpupdate /force nicht gestartet.
User im "Anmelden als Dienst zulassen" hinterlegt, aber leider hat der Dienst lebst nach gpupdate /force nicht gestartet.
Mit welcher Meldung kommt der Fehlstart?
1
Das Problem ist endlich gelöst,
hier die Lösung.
in der GPO mussten bei mir folgende Werte hinterlegt werden:
1.
Windows-Einstellungen/Sicherheitseinstellungen/Systemdienste/Anmeldedienst => dort die Richtlinie definieren und die Sicherheit bearbeiten und entsprechende User eintragen
2.
Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Zuweisen von Benutzerrechten/Anmelden als Dienst => dort die Richtlinie definieren und entsprechende User hinzufügen
Danke für eure Hilfe.
hier die Lösung.
in der GPO mussten bei mir folgende Werte hinterlegt werden:
1.
Windows-Einstellungen/Sicherheitseinstellungen/Systemdienste/Anmeldedienst => dort die Richtlinie definieren und die Sicherheit bearbeiten und entsprechende User eintragen
2.
Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Zuweisen von Benutzerrechten/Anmelden als Dienst => dort die Richtlinie definieren und entsprechende User hinzufügen
Danke für eure Hilfe.
Moin
einzeln lässt sich das auch mit suvinacl lösen. Hat den Vorteil, dass man genau zuweisen kann, welcher Dienst vom normalen Benutzer gesteuert werden kann.
vgl. https://www.der-windows-papst.de/2020/09/24/allow-normal-user-to-manage- ...
Gruß
einzeln lässt sich das auch mit suvinacl lösen. Hat den Vorteil, dass man genau zuweisen kann, welcher Dienst vom normalen Benutzer gesteuert werden kann.
vgl. https://www.der-windows-papst.de/2020/09/24/allow-normal-user-to-manage- ...
Gruß
