Erneutes Anwenden von DC security.inf auf bestenden DC

21/03/2008 - 09:03 von Roger Hungerbuehler | Report spam
Hi

Bevor ich hier die ganze Infrastruktur lahmlege haette ich eine kurze
Frage an euch :-)

Was genau passiert mit den bestehenden Einstellungen und
Berechtigungen auf einem DC (Windows Server 2003 Std. SP1), wenn ich
das Template DC security.inf erneut darauf anwende?
Wieso ich das tun moechte/muss? Es ist so, dass wir auf einem DC eine
Applikation laufen haben, welche in der Regel woechentlich (teilweise
auch mehrfach pro Woche) aktuallisiert werden muss.
Dazu ist es leider noetig einen zur Applikation gehoerenden Dienst neu
zu starten. Diese Updates will der Firmeninhaber selber installieren
koennen.
Der DC ist historisch bedingt auch ein Terminalserver und der Benutzer
hat die noetigen Rechte eine TS-Sitzung herzustellen.
Die Applikation benoetigt abgesehen vom Dienst keine erhoehten Rechte
fuer die Installtion der Updates.

Dass ich ihm nicht gerade Domain-Admin Rechte geben will sollte klar
sein. Daher die Idee, ueber das SnapIn "Sicherheitskonfiguration- und
analyse" seinem Konto das Recht den Dienst neu zu starten zu erteilen.
Nur ist mir wie gesagt nicht ganz klar, welche weiteren auswirkungen
dies auf unseren DC haben wird. Microsoft schreibt hierzu nur ganz
knapp folgendes:

"This template is created when a server is promoted to a domain
controller. It reflects file, registry, and system service default
security settings. If you reapply this template, these settings are
set to the default values. However, the template may overwrite
permissions on new files, registry keys, and system services created
by other programs."

Heisst das nun, wenn eine Applikation (z.B. Virenschutz) auf dem
Server besteimmte Berechtigungen fuer deren Dienste und/oder
Registrykeis gesetzt hat, dass diese mit Standarwerten ueberschrieben
werden oder werden nur die Aenderungen an den Rechten des Dienstens
der betreffenden Applikation die ich konfiguriere zu den bestehenden
Berechtigungen hinzugefuegt?

Auf unseren DCs sind diverse GPO aktiviert, diese sollten doch
eigentlich davon unebruehrt bleiben oder nicht?

Besten Dank.

Gruss
Roger Hungerbuehler
 

Lesen sie die antworten

#1 Martin Mewes
21/03/2008 - 10:47 | Warnen spam
Hallo,

Roger Hungerbuehler schrieb:

Bevor ich hier die ganze Infrastruktur lahmlege haette ich eine kurze
Frage an euch :-)



... oder jemanden, der sich mit sowas auskennt.

Dazu ist es leider noetig einen zur Applikation gehoerenden Dienst neu
zu starten. Diese Updates will der Firmeninhaber selber installieren
koennen.



Ist das hier ein Small Business Server?
Warum Chefs immer auf alles Zugriff haben wollen.
Aber: So lange sie hinterher gut dafür bezahlen, dass jemand das
repariert ;-)

Dass ich ihm nicht gerade Domain-Admin Rechte geben will sollte klar
sein. Daher die Idee, ueber das SnapIn "Sicherheitskonfiguration- und
analyse" seinem Konto das Recht den Dienst neu zu starten zu erteilen.



Meiner bescheidenen Meinung nach wird mit dem Recht "Dienste neu
starten" zusàtzlich andere Rechte vergeben, damit er das überhaupt
darf. Welche das im Einzelnen sind - keine Ahnung.

Du könntest einfach einen neuen Benutzer anlegen und diesem die Rechte
aufdrücken und der Chef soll nur diesen Benutzer zum Installieren der
Updates benutzen. Für die normale Arbeit soll er seinen normalen
0815-Account nutzen, wie Du als Admin sicherlich auch :-)

Ich sehe da jetzt nicht allzuviel Gefahr drin.

kind regards / bis dahin

Martin Mewes

######################################################################
this article or eMail has been served with thunderbird
http://www.mozilla.com/thunderbird
######################################################################

Ähnliche fragen