alphaundomega
Goto Top

Subinacl.exe - SeSecurityPrivilege - Rechteproblem

Hallo Leute,

ich habe hier immer wieder einzelne Laptops von unseren Technikern die anstelle/zusätzlich zu unserem normalen SSLVPN Client OpenVPN nutzen.

Bis jetzt war unsere Lösung immer OpenVPN zu installieren, die Konfig zu hinterlegen und dann dem Besitzer des Notebooks mittels Subinacl.exe das Recht zum starten und beenden des "OpenVPNService" Dienstes zuzuweisen.


Wie auch immer, habe ich schon eine Weile nicht mehr gemacht, heute wäre es mal wieder soweit und ich scheitere auf ganzer Linie...


Normal wäre mein Befehlsatz so: subinacl /SERVICE "OpenVPNService" /GRANT=Domain\Benutzer=TO

Resultat: -->

SeSecurityPrivilege : Zugriff verweigert

WARNING :Unable to set SeSecurityPrivilege privilege. This privilege may be required.
OpenVPNService - OpenService Error : 1314 Dem Client fehlt ein erforderliches Recht.



Hab ewig rumprobiert, gleiches Problem auf 3 verschiedenen Systemen... Eingabeaufforderung definitiv mit erhöhten Privilegien gestartet, als lokaler Administrator angemeldet... bleibt alles gleich...


Auch wenn ich nur die Berechtigungen eines beliebigen Dienstes auslesen will, habe ich das gleiche Problem:


C:\Program Files (x86)\Windows Resource Kits\Tools>subinacl /service "spooler" /display=dacl
SeSecurityPrivilege : Zugriff verweigert

WARNING :Unable to set SeSecurityPrivilege privilege. This privilege may be required.
spooler - OpenService Error : 1314 Dem Client fehlt ein erforderliches Recht.


Elapsed Time: 00 00:00:00
Done: 1, Modified 0, Failed 1, Syntax errors 0
Last Done : spooler
Last Failed: spooler - OpenService Error : 1314 Dem Client fehlt ein erforderliches Recht.



Hatte das schonmal jemand? Sieht da jemand wo mein Fehler ist? Ich dreh seit 4 Stunden deswegen am Rad und seh glaub ich so langsam den Wald vor Bäumen nicht mehr... Davor schon 100x erfolgreich gemacht ohne je Probleme zu haben...


Vielen Dank, viele Grüße und ein schönes Wochenende,

A&O


- edit -

Die lokalen Sicherheitsrichtlinien habe ich schon gecheckt, bei den Benutzerrechten / Debuggen von Programmen stehen die "Administratoren" drin und selbst wenn ich dort explizit nochmal den lokalen Administrator aufnehme ändert das nichts. Es ist auch keine GPO vorhanden die hier dazwischenfunkt.

Wenn ich mir in der als Administrator gestarteten Eingabeaufforderung mittels "whoami /priv" meine Rechte ansehe, dann taucht dort die fehlende Berechtigung "SeSecurityPrivilege" auch nicht auf. Wie bekomme ich die?

BERECHTIGUNGSINFORMATIONEN

Berechtigungsname                         Beschreibung                                                            Status     
========================================= ======================================================================= ===========
SeIncreaseQuotaPrivilege                  Anpassen von Speicherkontingenten fr einen Prozess                     Deaktiviert
SeTakeOwnershipPrivilege                  šbernehmen des Besitzes von Dateien und Objekten                        Deaktiviert
SeLoadDriverPrivilege                     Laden und Entfernen von Ger„tetreibern                                  Deaktiviert
SeSystemProfilePrivilege                  Erstellen eines Profils der Systemleistung                              Deaktiviert
SeSystemtimePrivilege                     Žndern der Systemzeit                                                   Deaktiviert
SeProfileSingleProcessPrivilege           Erstellen eines Profils fr einen Einzelprozess                         Deaktiviert
SeIncreaseBasePriorityPrivilege           Anheben der Zeitplanungspriorit„t                                       Deaktiviert
SeCreatePagefilePrivilege                 Erstellen einer Auslagerungsdatei                                       Deaktiviert
SeBackupPrivilege                         Sichern von Dateien und Verzeichnissen                                  Deaktiviert
SeRestorePrivilege                        Wiederherstellen von Dateien und Verzeichnissen                         Deaktiviert
SeShutdownPrivilege                       Herunterfahren des Systems                                              Deaktiviert
SeDebugPrivilege                          Debuggen von Programmen                                                 Deaktiviert
SeSystemEnvironmentPrivilege              Ver„ndern der Firmwareumgebungsvariablen                                Deaktiviert
SeChangeNotifyPrivilege                   Auslassen der durchsuchenden šberprfung                                Aktiviert  
SeRemoteShutdownPrivilege                 Erzwingen des Herunterfahrens von einem Remotesystem aus                Deaktiviert
SeUndockPrivilege                         Entfernen des Computers von der Docking-Station                         Deaktiviert
SeManageVolumePrivilege                   Durchfhren von Volumewartungsaufgaben                                  Deaktiviert
SeImpersonatePrivilege                    Annehmen der Clientidentit„t nach Authentifizierung                     Aktiviert  
SeCreateGlobalPrivilege                   Erstellen globaler Objekte                                              Aktiviert  
SeIncreaseWorkingSetPrivilege             Arbeitssatz eines Prozesses vergrӇern                                  Deaktiviert
SeTimeZonePrivilege                       Žndern der Zeitzone                                                     Deaktiviert
SeCreateSymbolicLinkPrivilege             Erstellen symbolischer Verknpfungen                                    Deaktiviert
SeDelegateSessionUserImpersonatePrivilege Identit„tstoken fr einen anderen Benutzer in derselben Sitzung abrufen Deaktiviert

Content-ID: 666270

Url: https://administrator.de/contentid/666270

Ausgedruckt am: 02.11.2024 um 22:11 Uhr

Hubert.N
Hubert.N 30.04.2021 um 12:51:29 Uhr
Goto Top
Moin

ich arbeite da eher selten mit.. aber...

Ich habe eine Baucherinnerung dass ich beim letzten Mal diese Konfiguration nicht mehr benötigt habe. OpenVPN installiert, Konfig rein und es lief.
kann natürlich sein, dass ich da was durcheinanderbringe... Aber hast Du das schon mal versucht?!

Und wenn mir Rechte fehlen, dann starte ich einfach psexec -i -s -d <Prozess> und führe den Task mit Systemrechten aus.

Gruß
DerWoWusste
Lösung DerWoWusste 30.04.2021 aktualisiert um 13:09:45 Uhr
Goto Top
Hi.

Öffne secpol.msc und prüfe
capture3
AlphaundOmega
AlphaundOmega 30.04.2021 aktualisiert um 13:30:29 Uhr
Goto Top
Hallo Leute,

vielen Dank für eure Kommentare! Gerade eben bin ich selbst draufgekommen... Sage niemals nie...


Die lokalen Sicherheitsrichtlinien habe ich schon gecheckt, bei den Benutzerrechten / Debuggen von Programmen stehen die "Administratoren" drin und selbst wenn ich dort explizit nochmal den lokalen Administrator aufnehme ändert das nichts. Es ist auch keine GPO vorhanden die hier dazwischenfunkt.

Es war eben doch eine GPO vorhanden... die kam vor ein paar Wochen von einem Kollegen im Zuge der Einführung eines SSO Clients... und diese GPO hat in den Windows Einstellungen / Sicherheitseinstellungen / Lokale Richtlinien / Zuweisen von Benutzerrechten die Richtlinie "Verwalten von Überwachungs- und Sicherheitsprotokollen" den Servicebenutzer für den SSO Client eingetragen, sonst leider nix.

Dies hat natürlich überall die sonst standardmäßig vorhandene "Administratoren" Gruppe überschrieben... Habe die GPO gefixt, jetzt geht das wieder... Meine Herren, hat des Nerven gekostet...

Das "Problem" das OpenVPN beim Verbindungsaufbau die Routen nur dann setzen kann wenn es als Administrator ausgeführt wird ist meines Wissens nach auch in der aktuellen 2.5.x er Version noch präsent...


- edit -

Danke @ DerWoWusste!

Genau das wars gewesen!