9
Start von Windows Services mit definiertem Service Account
Hallo zusammen
Ich habe folgendes Problem.
Um definierte Windows Services auf einem Windows 10 (1809) zu starten, wurde ein Service Account erstellt.
Dieser Account hat die Berechtigung sich als Service anzumelden am System. Diese Rechte werden Ihm per GPO zugewiesen.
Auf dem Client wird per unten stehendem Batch File der User hinterlegt, den Service auf Startart "Automatisch" gesetzt und geprüft ob der Service bereits läuft und wenn nicht wird er gestartet.
Vor dem Ausführen des Batches wird ein gpupdate /force durchgeführt damit allfällige Änderungen an der GPO auch umgesetzt werden.
Dies funktioniert auch alles "fast" ohne Probleme, denn das Password wird zwar übernommen, aber anscheinend nicht richtig.
Setze ich das Passwort auf dem Service anschließend manuell nochmals, erhalte ich folgende Meldung:
"Dem Konto domain\Serviceuseraccount wurde die Berechtigung zum Anmelden als Dienst zugewiesen."
Danach startet der Service ohne Probleme.
Könnt Ihr mir hier weiterhelfen? Was habe ich übersehen, oder falsch gemacht?
Sehe gerade vor lauter Bäumen den Wald nicht mehr...
Danke bereits jetzt für Eure Unterstützung.
Ich habe folgendes Problem.
Um definierte Windows Services auf einem Windows 10 (1809) zu starten, wurde ein Service Account erstellt.
Dieser Account hat die Berechtigung sich als Service anzumelden am System. Diese Rechte werden Ihm per GPO zugewiesen.
Auf dem Client wird per unten stehendem Batch File der User hinterlegt, den Service auf Startart "Automatisch" gesetzt und geprüft ob der Service bereits läuft und wenn nicht wird er gestartet.
Vor dem Ausführen des Batches wird ein gpupdate /force durchgeführt damit allfällige Änderungen an der GPO auch umgesetzt werden.
CLS
@Echo off
sc config "Servicename" obj= "domain\Serviceuseraccount" password= "Passwort"
sc config "Servicename" start=auto
SET SvcName=Servicename
SC QUERYEX "%SvcName%" | FIND "STATE" | FIND /v "RUNNING" > NUL && (
ECHO %SvcName% is not running
ECHO START %SvcName%
NET START "%SvcName%" > NUL || (
ECHO "%SvcName%" wont start
EXIT /B 1
)
ECHO "%SvcName%" is started
EXIT /B 0
) || (
ECHO "%SvcName%" is running
EXIT /B 0
)
exitDies funktioniert auch alles "fast" ohne Probleme, denn das Password wird zwar übernommen, aber anscheinend nicht richtig.
Setze ich das Passwort auf dem Service anschließend manuell nochmals, erhalte ich folgende Meldung:
"Dem Konto domain\Serviceuseraccount wurde die Berechtigung zum Anmelden als Dienst zugewiesen."
Danach startet der Service ohne Probleme.
Könnt Ihr mir hier weiterhelfen? Was habe ich übersehen, oder falsch gemacht?
Sehe gerade vor lauter Bäumen den Wald nicht mehr...
Danke bereits jetzt für Eure Unterstützung.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 419287
Url: https://administrator.de/contentid/419287
Printed on: April 24, 2024 at 20:04 o'clock
9 Comments
Latest comment
Moin,
aus welchem Grund wird für einen Dienst ein extra Account genutzt, i.d.r. fährst Du besser, wenn Du die "eingebauten" Account hierfür nutzt.
Wenn Du trotzdem lieber so arbeiten willst, würde ich als erstes testweise ein einfaches PW ohne Schnickschnack testen, um auszuschließen, dass irgendwelche Sonderzeichen in der cmd Datei Ärger machen.
Dann sehen wir weiter.
Gruss
aus welchem Grund wird für einen Dienst ein extra Account genutzt, i.d.r. fährst Du besser, wenn Du die "eingebauten" Account hierfür nutzt.
Wenn Du trotzdem lieber so arbeiten willst, würde ich als erstes testweise ein einfaches PW ohne Schnickschnack testen, um auszuschließen, dass irgendwelche Sonderzeichen in der cmd Datei Ärger machen.
Dann sehen wir weiter.
Gruss
Das mit dem eigenen Account ist nicht meine Idee, sondern wird vom Lieferant der Software der diesen Service nutzt so vorgegeben.
-> Sicherheit
Das Password besitzt keine Sonderzeichen nur Gross/Kleinschreibung...
-> Sicherheit
Das Password besitzt keine Sonderzeichen nur Gross/Kleinschreibung...
Hi,
Das wird in den Gruppenrichtlinien hier eingestellt:
Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinie -> Zuweisen von Benutzerrechten -> Anmelden als Dienst
Hier hättest du den neuen Account hinzufügen müssen. Durch das manuelle hinzufügen, hat dies das System für Dich erledigt.
Gruß
Holger
"Dem Konto domain\Serviceuseraccount wurde die Berechtigung zum Anmelden als Dienst zugewiesen."
Das wird in den Gruppenrichtlinien hier eingestellt:
Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinie -> Zuweisen von Benutzerrechten -> Anmelden als Dienst
Hier hättest du den neuen Account hinzufügen müssen. Durch das manuelle hinzufügen, hat dies das System für Dich erledigt.
Gruß
Holger
GPO wurde vorgängig bereits so erstellt.
Richtlinie wird auch gezogen wen ich dies mit gpresult /r prüfe...
Richtlinie wird auch gezogen wen ich dies mit gpresult /r prüfe...
Hi,
Und das Ergebnis stimmt auch? Steht dieser Benutzer dann in der lokalen Richtlinie bei diesem Privileg drin?
E.
Und das Ergebnis stimmt auch? Steht dieser Benutzer dann in der lokalen Richtlinie bei diesem Privileg drin?
E.
Moin,
darum schreibst du das Passwort im Klartext in eine Batchdatei, die womöglich A) an einem öffentliche Ort liegt b) auf den Client kopiert wird, um anschließend ausgeführt wird.
Dauerhaftes, permantes bitte mit Powershell und einem Password-Object lösen. Damit ist das Passwort nicht im Klartext einsehbar. Alternativ evtl. AutoIt nutzen.
Gruß
Dani
Das mit dem eigenen Account ist nicht meine Idee, sondern wird vom Lieferant der Software der diesen Service nutzt so vorgegeben.
-> Sicherheitdarum schreibst du das Passwort im Klartext in eine Batchdatei, die womöglich A) an einem öffentliche Ort liegt b) auf den Client kopiert wird, um anschließend ausgeführt wird.
Dauerhaftes, permantes bitte mit Powershell und einem Password-Object lösen. Damit ist das Passwort nicht im Klartext einsehbar. Alternativ evtl. AutoIt nutzen.
Gruß
Dani
jepp.. steht drin.
Denn auch die in der gleichen GPO gesetzten Berechtigungen auf Ordner werden gesetzt.
Denn auch die in der gleichen GPO gesetzten Berechtigungen auf Ordner werden gesetzt.
@Dani
Das Batch wird während des Deploymentprozesses mit MDT ausgeführt.
Die PCs stehen alle in einem sehr sicheren Bereich ohne Internet Zugang mit eigenem abgeschotetem AD/DNS usw. und durch etliche Firewalls abgeschottet.
Aber du hast recht ist noch verbesserungswürdig.
Das Batch wird während des Deploymentprozesses mit MDT ausgeführt.
Die PCs stehen alle in einem sehr sicheren Bereich ohne Internet Zugang mit eigenem abgeschotetem AD/DNS usw. und durch etliche Firewalls abgeschottet.
Aber du hast recht ist noch verbesserungswürdig.
Moin,
Gruß,
Dani
Die PCs stehen alle in einem sehr sicheren Bereich ohne Internet Zugang mit eigenem abgeschotetem AD/DNS usw. und durch etliche Firewalls abgeschottet.
Das ist relativ... die meisten Angriffe kommen auch inzwischen aus den LAN. Ich meine sogar, dass auf die entsprechende MDT-Freigabe standardmäßig jeder Domänenbenutzer (lesend) zugreifen kann. Somit kann er auch die Batchdatei öffnen und das Passwort einsehen.Gruß,
Dani
