Windows 2019 Server Berechtigungen für das starten und stoppen von Diensten vergeben

Hallo Miteinander,

ich will auf einem Windows 2019 Server ohne Domain und kein Terminalserver(falls das wichtig ist) einem lokalem User das recht geben bestimmte Dienste zu stoppen und zu starten.
Hintergrund: Die Firma deren Software auf dem Server läuft soll diese Administrieren können ohne gleich globale Administrationsrechte zu bekommen.

Dienste als Domänen-Benutzer starten
Den Reiter Systemdienste in den GPO finde ich unter 2019 nicht mehr.

https://hitco.at/blog/windows-dienste-mit-benutzer-rechten-starten-und-s ...
Ist etwas umständlich und "sc.exe sdshow" Zeigt nicht die gleichen Daten wie im Export an (Laut meiner Vorstellung solle ja nur ein Datensatz dazu kommen). Ich will ja nichts kaputtmachen.

Gibt es eine einfache Methode mit Boardmitteln die Rechte unter 2019 zu setzen?

Danke
MfG
Thekivi

Please also mark the comments that contributed to the solution of the article

Content-Key: 571470

Url: https://administrator.de/contentid/571470

Printed on: April 20, 2024 at 03:04 o'clock

5 Comments

Latest comment

Installiere subinacl.

subinacl /service servicename /grant=Users=QSTOP

Servus.
Da gibt es einige Möglichkeiten.
Ich nehme meist die Powershell zur Hand und ergänzt den SecurityDescriptor des Dienstes mit dem User (elevated ausführen):

# Local user
$user = "MaxMuster"
# service name
$servicename = 'BlaBlaService'
# ------------------------
$service = gwmi win32_Service -Filter "Name = '$servicename'"
$service.Scope.Options.EnablePrivileges = $true
$sd = $service.GetSecurityDescriptor().Descriptor
# create trustee
$trustee = ([wmiclass]'Win32_trustee').psbase.CreateInstance()
$trustee.Domain = $env:COMPUTERNAME
$trustee.Name = $user
#create ace
$ace = ([wmiclass]'Win32_ACE').psbase.CreateInstance()
$ace.AccessMask = 131440
$ace.AceFlags = 0
$ace.AceType = 0
$ace.Trustee = $trustee
# add ace to the DACL array
$sd.DACL += $ace
# write sd
$service.SetSecurityDescriptor($sd)

Nur falls du es wissen willst die AccessMask 131440 bedeutet im Klartext folgende Rechte

UserDefinedControl
Start
ReadControl
Stop
Pause
Continue

Die möglichen Flags sind folgende und müssen addiert werden wenn man sie kombiniert:

        'QueryConfig'         =   1  
        'ChangeConfig'        =   2  
        'QueryStatus'         =   4  
        'EnumerateDependents' =   8  
        'Start'               =   16  
        'Stop'                =   32  
        'PauseContinue'       =   64  
        'Interrogate'         =   128  
        'UserDefinedControl'  =   256  
        'Delete'              =   65536  
        'ReadControl'         =   131072  
        'WriteDac'            =   262144  
        'WriteOwner'          =   524288  
        'Synchronize'         =   1048576  
        'AccessSystemSecurity'=   16777216  
        'GenericAll'          =   268435456  
        'GenericExecute'      =   536870912  
        'GenericWrite'        =   1073741824  
        'GenericRead'         =   2147483648  

Alternative

Oder man beliest sich in SDDL und ändert es mit sc sdset "servicename" <neuer descriptor>.
sc sdshow "servicename" zeigt einem den vorhandenen SecurityDescriptor.

In deinem Fall fügst du an den vorhandenen Security Descriptor folgendes an um einem User Execute-Rechte auf einen Dienst zu geben

(A;;CRRPRCWPDT;;;<SID DES USERS>)

SID natürlich anpassen

SetACL kann es auch.

Grüße Uwe