3
Subinacl.exe - SeSecurityPrivilege - Rechteproblem
Hallo Leute,
ich habe hier immer wieder einzelne Laptops von unseren Technikern die anstelle/zusätzlich zu unserem normalen SSLVPN Client OpenVPN nutzen.
Bis jetzt war unsere Lösung immer OpenVPN zu installieren, die Konfig zu hinterlegen und dann dem Besitzer des Notebooks mittels Subinacl.exe das Recht zum starten und beenden des "OpenVPNService" Dienstes zuzuweisen.
Wie auch immer, habe ich schon eine Weile nicht mehr gemacht, heute wäre es mal wieder soweit und ich scheitere auf ganzer Linie...
Normal wäre mein Befehlsatz so: subinacl /SERVICE "OpenVPNService" /GRANT=Domain\Benutzer=TO
Resultat: -->
SeSecurityPrivilege : Zugriff verweigert
WARNING :Unable to set SeSecurityPrivilege privilege. This privilege may be required.
OpenVPNService - OpenService Error : 1314 Dem Client fehlt ein erforderliches Recht.
Hab ewig rumprobiert, gleiches Problem auf 3 verschiedenen Systemen... Eingabeaufforderung definitiv mit erhöhten Privilegien gestartet, als lokaler Administrator angemeldet... bleibt alles gleich...
Auch wenn ich nur die Berechtigungen eines beliebigen Dienstes auslesen will, habe ich das gleiche Problem:
C:\Program Files (x86)\Windows Resource Kits\Tools>subinacl /service "spooler" /display=dacl
SeSecurityPrivilege : Zugriff verweigert
WARNING :Unable to set SeSecurityPrivilege privilege. This privilege may be required.
spooler - OpenService Error : 1314 Dem Client fehlt ein erforderliches Recht.
Elapsed Time: 00 00:00:00
Done: 1, Modified 0, Failed 1, Syntax errors 0
Last Done : spooler
Last Failed: spooler - OpenService Error : 1314 Dem Client fehlt ein erforderliches Recht.
Hatte das schonmal jemand? Sieht da jemand wo mein Fehler ist? Ich dreh seit 4 Stunden deswegen am Rad und seh glaub ich so langsam den Wald vor Bäumen nicht mehr... Davor schon 100x erfolgreich gemacht ohne je Probleme zu haben...
Vielen Dank, viele Grüße und ein schönes Wochenende,
A&O
- edit -
Die lokalen Sicherheitsrichtlinien habe ich schon gecheckt, bei den Benutzerrechten / Debuggen von Programmen stehen die "Administratoren" drin und selbst wenn ich dort explizit nochmal den lokalen Administrator aufnehme ändert das nichts. Es ist auch keine GPO vorhanden die hier dazwischenfunkt.
Wenn ich mir in der als Administrator gestarteten Eingabeaufforderung mittels "whoami /priv" meine Rechte ansehe, dann taucht dort die fehlende Berechtigung "SeSecurityPrivilege" auch nicht auf. Wie bekomme ich die?
BERECHTIGUNGSINFORMATIONEN
ich habe hier immer wieder einzelne Laptops von unseren Technikern die anstelle/zusätzlich zu unserem normalen SSLVPN Client OpenVPN nutzen.
Bis jetzt war unsere Lösung immer OpenVPN zu installieren, die Konfig zu hinterlegen und dann dem Besitzer des Notebooks mittels Subinacl.exe das Recht zum starten und beenden des "OpenVPNService" Dienstes zuzuweisen.
Wie auch immer, habe ich schon eine Weile nicht mehr gemacht, heute wäre es mal wieder soweit und ich scheitere auf ganzer Linie...
Normal wäre mein Befehlsatz so: subinacl /SERVICE "OpenVPNService" /GRANT=Domain\Benutzer=TO
Resultat: -->
SeSecurityPrivilege : Zugriff verweigert
WARNING :Unable to set SeSecurityPrivilege privilege. This privilege may be required.
OpenVPNService - OpenService Error : 1314 Dem Client fehlt ein erforderliches Recht.
Hab ewig rumprobiert, gleiches Problem auf 3 verschiedenen Systemen... Eingabeaufforderung definitiv mit erhöhten Privilegien gestartet, als lokaler Administrator angemeldet... bleibt alles gleich...
Auch wenn ich nur die Berechtigungen eines beliebigen Dienstes auslesen will, habe ich das gleiche Problem:
C:\Program Files (x86)\Windows Resource Kits\Tools>subinacl /service "spooler" /display=dacl
SeSecurityPrivilege : Zugriff verweigert
WARNING :Unable to set SeSecurityPrivilege privilege. This privilege may be required.
spooler - OpenService Error : 1314 Dem Client fehlt ein erforderliches Recht.
Elapsed Time: 00 00:00:00
Done: 1, Modified 0, Failed 1, Syntax errors 0
Last Done : spooler
Last Failed: spooler - OpenService Error : 1314 Dem Client fehlt ein erforderliches Recht.
Hatte das schonmal jemand? Sieht da jemand wo mein Fehler ist? Ich dreh seit 4 Stunden deswegen am Rad und seh glaub ich so langsam den Wald vor Bäumen nicht mehr... Davor schon 100x erfolgreich gemacht ohne je Probleme zu haben...
Vielen Dank, viele Grüße und ein schönes Wochenende,
A&O
- edit -
Die lokalen Sicherheitsrichtlinien habe ich schon gecheckt, bei den Benutzerrechten / Debuggen von Programmen stehen die "Administratoren" drin und selbst wenn ich dort explizit nochmal den lokalen Administrator aufnehme ändert das nichts. Es ist auch keine GPO vorhanden die hier dazwischenfunkt.
Wenn ich mir in der als Administrator gestarteten Eingabeaufforderung mittels "whoami /priv" meine Rechte ansehe, dann taucht dort die fehlende Berechtigung "SeSecurityPrivilege" auch nicht auf. Wie bekomme ich die?
BERECHTIGUNGSINFORMATIONEN
Berechtigungsname Beschreibung Status
========================================= ======================================================================= ===========
SeIncreaseQuotaPrivilege Anpassen von Speicherkontingenten fr einen Prozess Deaktiviert
SeTakeOwnershipPrivilege šbernehmen des Besitzes von Dateien und Objekten Deaktiviert
SeLoadDriverPrivilege Laden und Entfernen von Ger„tetreibern Deaktiviert
SeSystemProfilePrivilege Erstellen eines Profils der Systemleistung Deaktiviert
SeSystemtimePrivilege Žndern der Systemzeit Deaktiviert
SeProfileSingleProcessPrivilege Erstellen eines Profils fr einen Einzelprozess Deaktiviert
SeIncreaseBasePriorityPrivilege Anheben der Zeitplanungspriorit„t Deaktiviert
SeCreatePagefilePrivilege Erstellen einer Auslagerungsdatei Deaktiviert
SeBackupPrivilege Sichern von Dateien und Verzeichnissen Deaktiviert
SeRestorePrivilege Wiederherstellen von Dateien und Verzeichnissen Deaktiviert
SeShutdownPrivilege Herunterfahren des Systems Deaktiviert
SeDebugPrivilege Debuggen von Programmen Deaktiviert
SeSystemEnvironmentPrivilege Ver„ndern der Firmwareumgebungsvariablen Deaktiviert
SeChangeNotifyPrivilege Auslassen der durchsuchenden šberprfung Aktiviert
SeRemoteShutdownPrivilege Erzwingen des Herunterfahrens von einem Remotesystem aus Deaktiviert
SeUndockPrivilege Entfernen des Computers von der Docking-Station Deaktiviert
SeManageVolumePrivilege Durchfhren von Volumewartungsaufgaben Deaktiviert
SeImpersonatePrivilege Annehmen der Clientidentit„t nach Authentifizierung Aktiviert
SeCreateGlobalPrivilege Erstellen globaler Objekte Aktiviert
SeIncreaseWorkingSetPrivilege Arbeitssatz eines Prozesses vergrӇern Deaktiviert
SeTimeZonePrivilege Žndern der Zeitzone Deaktiviert
SeCreateSymbolicLinkPrivilege Erstellen symbolischer Verknpfungen Deaktiviert
SeDelegateSessionUserImpersonatePrivilege Identit„tstoken fr einen anderen Benutzer in derselben Sitzung abrufen Deaktiviert
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 666270
Url: https://administrator.de/contentid/666270
Ausgedruckt am: 02.11.2024 um 22:11 Uhr
3 Kommentare
Neuester Kommentar
Moin
ich arbeite da eher selten mit.. aber...
Ich habe eine Baucherinnerung dass ich beim letzten Mal diese Konfiguration nicht mehr benötigt habe. OpenVPN installiert, Konfig rein und es lief.
kann natürlich sein, dass ich da was durcheinanderbringe... Aber hast Du das schon mal versucht?!
Und wenn mir Rechte fehlen, dann starte ich einfach psexec -i -s -d <Prozess> und führe den Task mit Systemrechten aus.
Gruß
ich arbeite da eher selten mit.. aber...
Ich habe eine Baucherinnerung dass ich beim letzten Mal diese Konfiguration nicht mehr benötigt habe. OpenVPN installiert, Konfig rein und es lief.
kann natürlich sein, dass ich da was durcheinanderbringe... Aber hast Du das schon mal versucht?!
Und wenn mir Rechte fehlen, dann starte ich einfach psexec -i -s -d <Prozess> und führe den Task mit Systemrechten aus.
Gruß
Hi.
Öffne secpol.msc und prüfe
Öffne secpol.msc und prüfe
Hallo Leute,
vielen Dank für eure Kommentare! Gerade eben bin ich selbst draufgekommen... Sage niemals nie...
Es war eben doch eine GPO vorhanden... die kam vor ein paar Wochen von einem Kollegen im Zuge der Einführung eines SSO Clients... und diese GPO hat in den Windows Einstellungen / Sicherheitseinstellungen / Lokale Richtlinien / Zuweisen von Benutzerrechten die Richtlinie "Verwalten von Überwachungs- und Sicherheitsprotokollen" den Servicebenutzer für den SSO Client eingetragen, sonst leider nix.
Dies hat natürlich überall die sonst standardmäßig vorhandene "Administratoren" Gruppe überschrieben... Habe die GPO gefixt, jetzt geht das wieder... Meine Herren, hat des Nerven gekostet...
Das "Problem" das OpenVPN beim Verbindungsaufbau die Routen nur dann setzen kann wenn es als Administrator ausgeführt wird ist meines Wissens nach auch in der aktuellen 2.5.x er Version noch präsent...
- edit -
Danke @ DerWoWusste!
Genau das wars gewesen!
vielen Dank für eure Kommentare! Gerade eben bin ich selbst draufgekommen... Sage niemals nie...
Die lokalen Sicherheitsrichtlinien habe ich schon gecheckt, bei den Benutzerrechten / Debuggen von Programmen stehen die "Administratoren" drin und selbst wenn ich dort explizit nochmal den lokalen Administrator aufnehme ändert das nichts. Es ist auch keine GPO vorhanden die hier dazwischenfunkt.
Es war eben doch eine GPO vorhanden... die kam vor ein paar Wochen von einem Kollegen im Zuge der Einführung eines SSO Clients... und diese GPO hat in den Windows Einstellungen / Sicherheitseinstellungen / Lokale Richtlinien / Zuweisen von Benutzerrechten die Richtlinie "Verwalten von Überwachungs- und Sicherheitsprotokollen" den Servicebenutzer für den SSO Client eingetragen, sonst leider nix.
Dies hat natürlich überall die sonst standardmäßig vorhandene "Administratoren" Gruppe überschrieben... Habe die GPO gefixt, jetzt geht das wieder... Meine Herren, hat des Nerven gekostet...
Das "Problem" das OpenVPN beim Verbindungsaufbau die Routen nur dann setzen kann wenn es als Administrator ausgeführt wird ist meines Wissens nach auch in der aktuellen 2.5.x er Version noch präsent...
- edit -
Danke @ DerWoWusste!
Genau das wars gewesen!
