knorkator
Goto Top

Zugriff auf Freigabe für Systemdienst

Hallo zusammen,

Ein Dienst (läuft mit einem Domänenbenutzer der als Dienstkonto verwendet wird) von ServerA aus Domäne A soll lesend/schreibend auf eine Freigabe von ServerB (keine Domänenanbindung) zugreifen können.
Ich würde nun auf ServerB einen lokalen Benutzer anlegen der dem Dienstkonto auf ServerA entspricht.
Gleiches Kennwort und Vollzugriff auf die Freigabe sowie NTFS-Berechtigungen.
Damit sollte der Dienst ja Schreibzugriff auf die Freigabe bekommen.

Gibt es noch andere Möglichkeiten, dies zu bewerkstelligen?

Der lokal angemeldete Administrator von ServerA benötigt ebenfalls Zugriff auf diese Freigabe.
Dies würde ich dann per net use.. /user: etc. lösen, bin aber nicht sicher, ob sich die Doppelverbindungen in die Quere kommen.

Thx im voraus für Ratschläge!

Content-ID: 373795

Url: https://administrator.de/forum/zugriff-auf-freigabe-fuer-systemdienst-373795.html

Ausgedruckt am: 22.12.2024 um 02:12 Uhr

emeriks
emeriks 14.05.2018 um 14:02:42 Uhr
Goto Top
Hi,
das mit dem Doppelt-Benutzer/Passwort musst Du nicht machen.
Einfach auf ServerA mit RUNAS eine CMD mit diesem Domänenbenutzer starten. In dieser CMD mit CMDKEY die Anmeldedaten für ServerB hinterlegen (lokales Konto von ServerB). Jetzt sollte auch der Dienst, wenn er unter diesem Domänenkonto läuft, auf die Freigabe zugreifen können.

E.
user217
user217 14.05.2018 um 14:03:03 Uhr
Goto Top
so lange Server B nicht Mitglied in der Domäne ist, arbeitet der ausschließlich mit lokalen Benutzerkonten.
Knorkator
Knorkator 14.05.2018 um 14:41:15 Uhr
Goto Top
Zitat von @emeriks:
Einfach auf ServerA mit RUNAS eine CMD mit diesem Domänenbenutzer starten. In dieser CMD mit CMDKEY die Anmeldedaten für ServerB hinterlegen (lokales Konto von ServerB). Jetzt sollte auch der Dienst, wenn er unter diesem Domänenkonto läuft, auf die Freigabe zugreifen können.

Die Idee ist gut, aber funktioniert dies auch ohne Interaktion nach einem Serverneustart?

Danke!
user217
user217 14.05.2018 um 14:43:11 Uhr
Goto Top
autologon + Autostart oder per Aufgabenplaner
Knorkator
Knorkator 14.05.2018 um 14:46:52 Uhr
Goto Top
Aufgabenplaner hört sich gut an!

Werde ich testen.
emeriks
emeriks 14.05.2018 um 15:04:40 Uhr
Goto Top
Die Idee ist gut, aber funktioniert dies auch ohne Interaktion nach einem Serverneustart?
Ja, wenn das lokale Profil dieses Domänenbenutzers nicht gelöscht wird.
emeriks
emeriks 14.05.2018 aktualisiert um 15:06:20 Uhr
Goto Top
Zitat von @user217:
autologon + Autostart oder per Aufgabenplaner
Und was soll das ändern?
Wie dieser Dienst/Prozess gestartet wird ist doch vollkommen irrelevant. Er muss sich anschließend am ServerB anmelden können. Darum geht es doch?
Knorkator
Knorkator 30.05.2018 um 08:07:21 Uhr
Goto Top
Hallo,

wollte mal eben ein Powershell-Skript schreiben welches überprüft, ob die Verbindung zum Fremdsystem noch aufgebaut ist.

Habe dazu eine cmd Sitzung als Dienstkonto gestartet und per "net use... /user:xys Passwort" eine Verbindung zur Freigabe aufgebaut.
Ein einfaches net use zeigt mir dann auch das Laufwerk mit "Status - OK" an und ein welches zum verbundenen Laufwerk funktioniert auch.

Danach habe ich eine powershell_ise mit dem gleichen Benutzer aufgerufen.
Ein net use zeigt mir das Verbundene Laufwerk zum Remotesystem ebenfalls an - Allerdings mit "Status - Nicht Verfgb"!
Ein Wechsel zum Laufwerk in der Powershell_ise Eingabeaufforderung funktioniert nicht.

Es scheint also nicht so einfach möglich zu sein, eine gültige SMB Verbindung für den Dienst aufzubauen.
emeriks
emeriks 30.05.2018 um 08:36:54 Uhr
Goto Top
Danach habe ich eine powershell_ise mit dem gleichen Benutzer aufgerufen.
Wie aufgerufen? Aus der CMD heraus oder wieder vom Explorer mit "ausführen als"?
Falls letzteres: Laufen CMD und PowerShell ISE dann in der selben Sitzung? (Taskmanager - Details - Spalte "Sitzungskennung" hinzufügen)
Knorkator
Knorkator 30.05.2018 um 08:45:14 Uhr
Goto Top
Beide Programme wurden mit "ausführen als" aus dem Explorer gestartet und haben Sitzungskennung 7.

Die ERP Dienste laufen übrigens mit Sitzungskennung 0, hier wäre vermutlich das nächste Problem.
emeriks
emeriks 30.05.2018 aktualisiert um 08:57:07 Uhr
Goto Top
Beide Programme wurden mit "ausführen als" aus dem Explorer gestartet und haben Sitzungskennung 7.
Dann teste bitte noch einmal, starte aber dann PowerShell ISE aus der CMD heraus, welche dann ja bereits unter diesem Konto läuft.
Ändert das was?

Die ERP Dienste laufen übrigens mit Sitzungskennung 0, hier wäre vermutlich das nächste Problem.
Ich verstehe jetzt den Zusammenhang nicht ...
Knorkator
Knorkator 30.05.2018 um 09:04:04 Uhr
Goto Top
Zitat von @emeriks:

Beide Programme wurden mit "ausführen als" aus dem Explorer gestartet und haben Sitzungskennung 7.
Dann teste bitte noch einmal, starte aber dann PowerShell ISE aus der CMD heraus, welche dann ja bereits unter diesem Konto läuft.
Ändert das was?
Ja, hier funktioniert die Verbindung zum Server.

Die ERP Dienste laufen übrigens mit Sitzungskennung 0, hier wäre vermutlich das nächste Problem.
Ich verstehe jetzt den Zusammenhang nicht ...
Ich dachte, dass die Verbindungen Sitzung-spezifisch seien und ging davon aus, dass dies dann erst recht nicht funktioniert wird.
Ich seh auch grad.. ich habe nicht erwähnt, dass der Dienst, der die Daten auf die Freigabe schreiben soll, unser ERP-System ist.
Daher sind die Tests mit der CMD/Powershell nur die Testumgebung für den ERP-Zugriff.