Szolgaltatas automatikus inditasa AD-ban lévő gepen GPO-bol

Microsoft Windows

Sziaztok!

Gondolom tobben uzemeltetnek itt win rendszereket is, ezert batorkodom itt megkerdezni.

Adva van 1 egyedi szolgaltatatas, melyet automatikusan szeretnek elinditani egy bizonyos domain user neveben, aki termeszetesen !adminisztratori jogosultsaggal rendelkezik.
1. Engedtem neki , hogy a services.msc hasznalatat.
2. Adtam jogosultsagot, a felhasznalonak a szolgaltatashoz (start/stop/restart), ez alapjan. Igaz ehez a szolgaltatast fell kellett tolnom a szerverre is, hogy tudjam alitani :).
Ezekutan, a szolgaltatas vezerlese megy is, egeszen addig amig meg nem adom neki, hogy mely felhasznalo neveben fusson, ami megegyezik ezzel.
3. Majd atam neki jogot GPO-bol Computer Configuration/Windows Settings/Security Settings/Local Policies/User Rights Assignment/Log on as a service. Forras.
De meg mindig nem indul el automatikusan, es kezzel sem, ha elinditom azt kapom, hogy elindult, majd lealt.

( trey | 2008. 11. 05., sze – 15:19 )

1. Hozz létre egy standard domain user-t, legyen a neve mondjuk "foobar_service_account"
2. Ez az account legyen tagja helyi rendszergazda csoportnak (Administrators) azon a helyi gépen, amelyik a szolgáltatást futtatja.
3. A "foobar_service_account"-nak a következő jogok legyenek meg (secpol.msc vagy a Domain Security Policy ha a Local Policy-k lockolva vannak): 

Log on locally
Log on as service
Create global objects
Create a token object
Impersonate a client after authentication
Act as part of the Operating System

--
trey @ gépház

"2. Ez az account legyen tagja helyi rendszergazda csoportnak (Administrators) azon a helyi gépen, amelyik a szolgáltatást futtatja."

Ezt nem lehet kikerulni? Pont azt szeretnem elerni, hogy aki kezeli a szolgaltatast, az ne legyen rendszergazda azon a gepen. De lokalisan meg be kell tudni jelentkeznie, mert sajnos valamert annak a user-nak kell telepiteni a nyomtatot, amelyik a szolgaltatast hasznalja, plusz remelhetoleg "normal" felhasznalo fogja ujrainditgatni idonkent, mert nem egy atomstabill service :).

Hát próbáld meg, hogy megadod a fenti jogokat és nem teszed be a Local Admin csoportba. Én próbálni még nem próbáltam. Nekem van a termékem, aminek szolgáltatásként kell futnia. Ennek a terméknek a hivatalos, gyártótól származó install guide-jából idéztem. Nálunk nem okoz problémát, mert azt a gépet csak ez a user "használja", de ez az user sem fizikai személy :)

--
trey @ gépház

Sajnos ez nem jarhato, mert valamelyik beallitas megkovetelte, hogy legyen a felhasznalo a local admin csoportban.
De a problemat sikerult megoldani (vagy megkerulni :), ugy nez ki hogy mukodik rendesen akkor is, ha nem allitom be, hogy melyik felhasznalo neveben fusson, mert osszekaparja a nyomtatokat. Megoldas a halozati nyomtatokat az 2003 R2 printer deploymet-tel kell telepiteni, es nem kezzel hozzaadni.

Koszonom a segitseget.

( snq- | 2008. 11. 06., cs – 11:58 )

----
feladat
----

- somedomain\somedude korlátozott felhasználó el tudja indítani, le tudja állítani, újra tudja indítani a MyService nevű szolgáltatást (services.msc vagy parancssorból)
- a szolgáltatás fusson somedomain\somedude-ként
- a felhasználó ne kapjon felesleges többletjogokat (impersonate, act as part of os, ...), ne kapjon rendszergazdai csoporttagságot

----
adminként:
----

> sc create "MyService" binPath= "S:\GagyiISV\GagyiSW\MyService.exe" displayname= "MyService" depend= AmikreDependelAService start= auto obj= somedomain\somedude password= kiskutya
[SC] CreateService SUCCESS

>sc sdshow MyService
D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)

>psgetsid somedomain\somedude
SID for somedomain\somedude:
S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxx

>sc sdset MyService D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;RPWPDTRC;;;S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxx)
[SC] SetServiceObjectSecurity SUCCESS

----
teszt somedomain\somedude userként:
----

> sc start MyService

> sc query MyService | grep STATE
STATE : 4 RUNNING

> sc qc MyService | grep SERVICE_START_NAME
SERVICE_START_NAME : somedomain\somedude

----

vagy ugyanez úgy, ahogy végig tetszett kattintani; ha elindult és azonnal leállt, akkor az adott felhasználóként a servicenek hozzáférési gondjai voltak (debuggolható/fejlesztő úr megkérdezhető/forrásban megnézhető/... hogy ugyan mi kell neki)