Warum kann sich ein Benutzer das Recht "Anmelden als Dienst" gewähren?

7

Dieser Artikel beschreibt die (relativ mühsamen) Schritte, die Sie ausführen sollten, um einem Active Directory-Benutzer das Recht "Anmelden als Dienst" zu gewähren. Wenn ich jedoch einen Dienst installiere und die Anmeldeinformationen meines AD-Kontos manuell anmelde (Diensteigenschaften | Anmelden), teilt mir Windows mit, dass dem Konto [mein Konto] das Recht zum Anmelden als Dienst gewährt wurde. Ich kann den Dienst dann unter meinen Kontoanmeldeinformationen ausführen. Bei einer nachfolgenden Neuinstallation des Dienstes (oder manchmal beim Neustart) kann der Dienst jedoch aufgrund eines Anmeldefehlers erneut nicht gestartet werden ... bis ich meine Anmeldeinformationen erneut manuell eingebe und das Konto auf magische Weise gewährt wird das Recht "Anmelden als Dienst". ' Danach kann der Dienst unter den Anmeldeinformationen meines Kontos erneut gestartet werden.

Was ist denn hier los? Warum habe ich anscheinend die Erlaubnis, mir dieses Recht spontan zu gewähren? Wenn ich es spontan gewähren kann, warum bleibt es dann nicht gewährt und ich muss es immer wieder neu gewähren? Denken Sie daran, dass ich nicht frage, wie Sie jemandem dieses Recht über Active Directory gewähren können. Ich spreche von der Tatsache, dass dieses Recht von Windows bei Eingabe Ihrer Anmeldeinformationen im Anmeldefenster anscheinend automatisch gewährt wird.

windows permissions service windows-service credentials Jez
quelle

Antworten:

8

Es scheint, als gäbe es eine Gruppenrichtlinie, die die Konten definiert, denen die Anmeldung als Dienst gewährt wird. Da Sie ein Administrator sind, haben Sie die Berechtigung, diese Berechtigung zu erteilen. Wenn die Gruppenrichtlinie jedoch erneut angewendet wird, wird die Berechtigung entfernt. Wenn der Dienst das nächste Mal beendet wird, kann er nicht gestartet werden.

Sie sollten entweder den Umfang / die Filterung der Richtlinie ändern, damit dieser Computer davon ausgenommen ist, oder die Richtlinie verwenden, um die erforderlichen Berechtigungen zu erteilen.

INFO AUS KOMMENTAREN: Um zu überprüfen, ob eine Gruppenrichtlinie die Einstellung anwendet, verwenden Sie den resultierenden Richtlinienassistenten (rsop.msc).
Wenn Sie diese Einstellung auf viele Computer anwenden möchten oder eine vorhandene Richtlinie, die diese Einstellung definiert, nicht entfernen können, verwenden Sie Gruppenrichtlinie, um es zu definieren. Es gibt einen Technet-Artikel , der erklärt, wie das geht.
Um die aktuellen lokalen Sicherheitseinstellungen zu überprüfen, verwenden Sie secpol.msc - erweitern Sie Lokale Richtlinien und wählen Sie Benutzerrechtezuweisungen aus. Dies zeigt die aktuell angewendeten Einstellungen an. Wenn Sie über ausreichenden Zugriff verfügen und keine Gruppenrichtlinie in Kraft ist, können Sie die aktuelle Richtlinie bearbeiten. Wenn die Schaltflächen zum Hinzufügen / Entfernen deaktiviert sind, definiert eine Richtlinie derzeit diese Einstellung.

Wenn keine Richtlinie in Kraft ist, ist es vollkommen in Ordnung, Windows dem Benutzer das Recht zu gewähren, und es handelt sich lediglich um eine von Windows bereitgestellte Convenience-Funktion. Wie Jez herausfand, ist es sinnlos, eine Politik zu bekämpfen, wenn sie in Kraft ist. Die Richtlinie wird im Allgemeinen alle paar Stunden erneut angewendet und zappt weiterhin alle Änderungen, die Sie vorgenommen haben. (Obwohl der Dienst so lange funktioniert, bis er aus einem anderen Grund beendet wird). Jez erwähnte, dass er Dinge, die ein Service ist, durch eine LUID identifiziert, die zur Installationszeit generiert wird. Ich weiß nicht, ob dies der Fall ist oder nicht, aber das Benutzerrecht "Als Dienst anmelden" ist nicht auf einen bestimmten Dienst beschränkt. Es macht also keinen Unterschied, als WELCHER Dienst Sie sich anmelden möchten.

Um Jez 'Kommentar etwas direkter zu beantworten: Wenn eine Richtlinie in Kraft ist, macht es keinen Sinn, Wege um die deaktivierte Benutzeroberfläche von secpol.msc zu finden. Die Benutzeroberfläche ist deaktiviert, um Sie zu warnen, dass Änderungen, die Sie vornehmen, nicht beibehalten werden. In diesem Fall ist das Bearbeiten der Richtlinie der richtige Weg, um entweder die Berechtigung zu erteilen oder diese Einstellung zu beenden, damit sie dann lokal zugewiesen werden kann.

BEARBEITEN: Sie scheinen zu glauben, dass das Gewähren dieses Privilegs für einen Domänenbenutzer etwas anderes ist als das Gewähren dieses Privilegs für einen lokalen Benutzer. Ist es nicht. Wenn auf den betreffenden PC / Server keine Gruppenrichtlinie angewendet wurde, öffnen Sie secpol.msc, gehen zu dem betreffenden Privileg, doppelklicken Sie, klicken Sie auf Hinzufügen und wählen Sie dann das gewünschte Konto aus. Ich habe dies gerade auf einem Laptop mit Domänenbeitritt versucht, und im Dialogfeld "Benutzer hinzufügen" wurde standardmäßig die Domäne verwendet. Wenn ich eine lokale Gruppe auswählen wollte, musste ich den Ort ändern.

Wenn Sie auf das Privileg doppelklicken, wird die Liste und die Schaltflächen zum Hinzufügen / Entfernen angezeigt, aber die Schaltflächen sind deaktiviert, sodass Sie die Liste nicht bearbeiten können. Dies kann nicht geschehen, da Sie ein Domänenkonto hinzufügen, da Sie noch nicht ausgewählt haben, ob Sie ein lokales Konto oder ein Domänenkonto hinzufügen möchten.

Ich bin bei der Arbeit auf genau dieses Problem gestoßen. Der von mir installierte Dienst wurde nur auf einem PC ausgeführt, sodass eine Änderung der Richtlinien keine Option war. Wir haben den betreffenden PC in eine Organisationseinheit verschoben, in der keine Richtlinie angewendet wurde. Dann konnte ich das Privileg ohne Probleme gewähren.

Der Grund, warum Sie das Privileg rundum gewähren können, ist, dass die Richtlinie nur die Benutzeroberfläche deaktiviert und die vorhandenen Berechtigungen nicht ändert. Es wird jedoch regelmäßig erneut angewendet, weshalb die Einstellung überschrieben wird.

pipTheGeek
quelle
Wie ändern Sie die Richtlinie? Nur weil Sie die Berechtigung haben, das Recht "Anmelden als Dienst" vorübergehend zu erteilen, bedeutet dies nicht, dass Sie die Berechtigung haben, sich über Terminaldienste bei Ihrem AD-Server anzumelden. Dies müssen Sie vermutlich tun? Es scheint verrückt, dass Sie dieses Recht vorübergehend gewähren können, aber nicht dauerhaft.
Jez
Die @Jez-Gruppenrichtlinie übertrifft in allen Dingen die lokale Richtlinie. Standardmäßig wird die Verwaltung dieser Einstellung nicht vom Gruppenrichtlinienobjekt übernommen. Jemand, der Gruppenrichtlinien festlegt, hat entschieden, dass seine Domäneneinstellung die lokalen Einstellungen überschreiben soll. Gleiches gilt für Terminaldienste. Wenn jemand dies in der Gruppenrichtlinie wegnimmt, wird es weg sein, egal wie Sie denken, dass die lokalen Einstellungen "notwendig" sind.
Shane Madden
@Shane Außer, dass "Als Dienst anmelden" in dieser Domäne "Nicht definiert" ist, sodass die lokale Einstellung nicht von einer Domäneneinstellung übertrumpft wird. Ich verstehe nicht, warum das lokal gewährte Recht unter diesen Umständen nicht bleibt.
Jez
@Jez Betrachten Sie die resultierenden Richtlinien? Es können mehr Gruppenrichtlinienobjekte als nur die Standardanwendung vorhanden sein.
Shane Madden
1
@Jez Start-> Run->rsop.msc
Shane Madden
3

In diesem Artikel wird ADAM (Active Directory-Anwendungsmodus) beschrieben, das sich erheblich von Ihrer Standard-Active Directory-Installation unterscheidet.

Meinungszeit - Ich glaube auch, dass bei der Installation (oder Neuinstallation) eines Dienstes eine UID für diesen Dienst in der Registrierung generiert wird. Einige seiner Einstellungen hängen wahrscheinlich damit zusammen, einschließlich der Authentifizierung.

Heglund
quelle
Richtig, aber Windows scheint zu sagen, dass dem Benutzerkonto selbst das Recht "Anmelden als Dienst" gewährt wurde. Wenn dieses Recht dem Konto gewährt wurde, sollte es dann nicht gewährt bleiben?
Jez
1

Lassen Sie uns das klarstellen -

  1. Unter Ihrem Benutzerkonto wird ein Dienst ausgeführt (in services.msc wird Ihr Benutzerkonto neben diesem Dienst angezeigt).
  2. Damit dies funktioniert, haben Sie Ihrem Konto die Berechtigung "Anmelden als Dienst" erteilt
  3. Nach einem Neustart oder einer Neuinstallation des Dienstes kann der Dienst nicht mit einem Anmeldefehler gestartet werden
  4. Um dies zu beheben, geben Sie Ihre Anmeldeinformationen einfach erneut in die Dienstkonfiguration ein und starten sie

Dies bedeutet, dass ein Problem mit Ihren gespeicherten Anmeldeinformationen vorliegt, NICHT dass Sie regelmäßig die Anmeldung als Dienstrecht verlieren.

Zunächst würde ich empfehlen, ein neues Benutzerkonto zu erstellen, unter dem dieser Dienst ausgeführt wird, anstatt Ihre Anmeldeinformationen zu verwenden. Legen Sie das Kennwort für das Konto so fest, dass es niemals abläuft, und gewähren Sie die Kontoanmeldung als Dienstrechte. Es wird empfohlen, immer ein dediziertes Konto für Software zu verwenden, die als Dienst ausgeführt wird, anstatt Benutzerkonten neu zu verwenden

Überprüfen Sie dann, ob das Problem erneut auftritt, und versuchen Sie in diesem Fall, genau herauszufinden, was getan wurde, um einen Fehler zu verursachen. Müssen Sie die Anmeldeinformationen bei jedem Neustart des Servers erneut eingeben?

Warum installieren Sie den Dienst regelmäßig neu? Gibt es ein anderes Problem mit dieser Software?

Jon Reeves
quelle
"Legen Sie das Kennwort für das Konto so fest, dass es niemals abläuft, und gewähren Sie die Kontoanmeldung als Dienstrechte." Wie erteile ich die Rechte?
Jez
0

Dies scheint kein richtiges Problem zu sein. Gibt es eine Chance, dass sich Ihr Passwort zwischen Neustarts dieses Dienstes ändert? In diesem Fall müssen Sie das Zurücksetzen in den Diensteinstellungen ändern. Erstellen Sie besser ein Dienstkonto, bei dem sich das Kennwort nicht ändert

uSlackr
quelle
Nein, das Passwort ändert sich nicht. Der Anmeldefehler (bis ich die Anmeldeinformationen auf der Registerkarte Anmelden erneut eingebe) tritt immer dann auf, wenn ich den Dienst neu installiere.
Jez
Die Anmeldung als Dienst ist ein lokales Recht und muss auf jedem Computer zugewiesen werden, auf dem der Dienst geladen ist.
uSlackr