Requested registry access is not allowed.

09/03/2014 - 13:09 von Ralph Aichinger | Report spam
In meinen Versuchen einen brauchbaren Telnet/SSH-Server
zu probieren bin ich derzeit bei dem da:

http://www.powershellserver.com/

gelandet. Und der *hat* auch (kurz) recht gut
funktioniert, bevor ich den Rechner in eine AD-Domain
aufgenommen habe (mutmaßlich, ich glaube nicht, daß ich
sonst was relevantes geàndert habe).

Jetzt weigert er sich als Dienst zu starten, und wenn
ich ihn manuell starte dann làßt er mich nicht einloggen,
mit folgender kryptischer Fehlermeldung:

[09.03.2014 12:54] [3736] Client accepted from 60022 with username WUERFELalph
[09.03.2014 12:54] [3736] Error running PowerShell Session: {0}.
Exception details: Requested registry access is not allowed.
[09.03.2014 12:54] [3736] Client 60022 disconnected.

Was kann ich mir unter "registry access is not allowed" vorstellen,
und wie kann ich es beheben?

Das Eventlog sagt:

Mar 9 12:54:19 WUERFEL Security-Auditing: 4624: AUDIT_SUCCESS Ein Konto
wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID:
S-1-5-21-1999095928-2960599393-1434487026-500 Kontoname: Administrator
Kontodomàne: PROBE Anmelde-ID: 0x2610a Anmeldetyp: 3 Neue Anmeldung:
Sicherheits-ID: S-1-5-21-2262872016-2850878470-2182764261-1000 Kontoname:
ralph Kontodomàne: WUERFEL Anmelde-ID: 0x5a7d0 Anmelde-GUID:
{00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID:
0xe98 Prozessname: C:\Program Filessoftware\PowerShell Server
V6\PowerShellServer.exe Netzwerkinformationen: Arbeitsstationsname:
WUERFEL Quellnetzwerkadresse: - Quellport: - Detaillierte
Authentifizierungsinformationen: Anmeldeprozess: Advapi
Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur
NTLM): - Schlüssellànge: 0 Dieses Ereignis wird beim Erstellen einer
Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den
zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen
System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein
Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe"
oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an.
Die hàufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für
die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt
wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle
einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer
verfügbar und kann in manchen Fàllen leer bleiben. Die Felder für die
Authentifizierungsinformationen enthalten detaillierte Informationen zu
dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein
eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit
einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an,
welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der
Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. -
Die Schlüssellànge gibt die Lànge des generierten Sitzungsschlüssels an.
Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Mar 9 12:54:19 WUERFEL Security-Auditing: 4672: AUDIT_SUCCESS Einer neuen
Anmeldung wurden besondere Rechte zugewiesen. Antragsteller:
Sicherheits-ID: S-1-5-21-2262872016-2850878470-2182764261-1000 Kontoname:
ralph Kontodomàne: WUERFEL Anmelde-ID: 0x5a7d0 Berechtigungen:
SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege
SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege
SeSystemEnvironmentPrivilege SeImpersonatePrivilege
Mar 9 12:54:21 WUERFEL Security-Auditing: 4634: AUDIT_SUCCESS Ein Konto
wurde abgemeldet. Antragsteller: Sicherheits-ID:
S-1-5-21-2262872016-2850878470-2182764261-1000 Kontoname: ralph
Kontodomàne: WUERFEL Anmelde-ID: 0x5a7d0 Anmeldetyp: 3 Dieses Ereignis
wird generiert, wenn eine Anmeldesitzung zerstört wird. Es kann anhand des
Wertes der Anmelde-ID positiv mit einem Anmeldeereignis korreliert werden.
Anmelde-IDs sind nur zwischen Neustarts auf demselben Computer eindeutig.

Insbesondere interessiert mich auch, wie man bei solchen Fehlern
rausfindet, wo genau welche Erlaubnisse fehlen, und wie man sie
erteilt. Wobei ich mir den ersteren Teil schwieriger vorstelle.

TIA
/ralph
 

Lesen sie die antworten

#1 Ralph Aichinger
09/03/2014 - 13:53 | Warnen spam
Ralph Aichinger wrote:
In meinen Versuchen einen brauchbaren Telnet/SSH-Server
zu probieren bin ich derzeit bei dem da:

http://www.powershellserver.com/

gelandet. Und der *hat* auch (kurz) recht gut
funktioniert, bevor ich den Rechner in eine AD-Domain
aufgenommen habe (mutmaßlich, ich glaube nicht, daß ich
sonst was relevantes geàndert habe).



Daran scheint es auch gelegen zu haben, ich habe jetzt
mal probeweise in den Einstellungen dieses Servers den
"Domain Users" die Berechtigung zum Einloggen erteilt,
und dann kann ich mich als User "PROBEalph" also als
Domànenbenutzer einloggen (das ist als normaler User
eigentlich auch gegangen) und ich flieg auch nicht gleich
wieder raus, sondern bekommen auch eine PowerShell.

Hm, das Verhàltnis lokaler Administrator <-> Domànenadministrator
und Lokaler User <-> Domànenuser <-> Dienste muß ich mir noch
mal genauer ansehen.

/ralph

Ähnliche fragen