{"id":212,"date":"2014-01-26T23:20:25","date_gmt":"2014-01-26T22:20:25","guid":{"rendered":"https:\/\/hitco.at\/blog\/?p=212"},"modified":"2016-02-18T13:09:49","modified_gmt":"2016-02-18T12:09:49","slug":"windows-dienste-mit-benutzer-rechten-starten-und-stoppen","status":"publish","type":"post","link":"https:\/\/hitco.at\/blog\/windows-dienste-mit-benutzer-rechten-starten-und-stoppen\/","title":{"rendered":"Windows-Dienste mit Benutzer-Rechten starten und stoppen"},"content":{"rendered":"

Mitunter hat man als Administrator eines Systems den Bedarf, Benutzern ohne Adminstrator-Privilegien das Starten und Stoppen eines bestimmten Windows-Dienstes zu erm\u00f6glichen. <\/p>\n

Die Rechte zum Zugriff auf Windows-Dienste werden mittels Security-Deskriptoren konfiguriert. Es gibt mehrere M\u00f6glichkeiten den Security-Deskriptor eines Dienstes zu konfigurieren, eine davon ist z.B. das Kommandozeilentool sc.exe:<\/p>\n

sc sdset %ServiceName% %SecurityDescriptor%<\/pre>\n
Der Security-Deskriptor muss hierbei in einem speziellen Security Descriptor String Format<\/a> angegeben werden. Die Pr\u00fcfung des SecurityDeskriptors ist ebenfalls mittels sc.exe m\u00f6glich:<\/p>\n
\n
sc.exe sdshow %ServiceName%<\/pre>\n
Der Default-Security-Deskriptor von Diensten unter Windows-7 (ebenso wie unter Windows-XP, Vista und Windows-8) r\u00e4umt Benutzern kein Recht zum Starten und Stoppen ein, dies ist LocalSystem und Administratoren vorbehalten. Der Security-Deskriptor eines f\u00fcr alle interaktiven Benutzer start- und stopbaren Windows-7-Dienstes lautet hingegen:<\/p>\n
D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)<\/p><\/blockquote>\n
Dieser Security-Deskriptor-String muss jedoch nicht manuell erzeugt werden, sondern kann auch \u00fcber eine grafische Oberfl\u00e4che in Form des MMC-Snapins\u00a0Sicherheitsvorlagen<\/em> zusammgengeklickt werden.<\/p>\n
Die Vorgangsweise hierf\u00fcr lautet wie folgt:<\/p>\n
    \n
  1. mmc.exe starten<\/li>\n
  2. Datei -> SnapIn hinzuf\u00fcgen\/entfernen \u2026<\/li>\n
  3. Das SnapIn \u201eSicherheitsvorlagen\u201c hinzuf\u00fcgen.<\/li>\n
  4. Eine neue Sicherheitsvorlage mit beliebigem Namen erstellen.<\/li>\n
  5. Unter Systemdienste einen Dienst ausw\u00e4hlen und die Eigenschaften zur Bearbeitung \u00f6ffnen (siehe Abbildung).\n
    \"MMC-SnapIn<\/a>
    MMC-SnapIn Sicherheitsvorlagen – Diensteigenschaften<\/figcaption><\/figure><\/li>\n
  6. Die Vorlage \u201eSicherheit bearbeiten\u2026\u201c \u00f6ffnen, und f\u00fcr die Benutzergruppe \u201eINTERAKTIV\u201c Rechte zum \u201eStarten, anhalten und unterbrechen\u201c hinzuf\u00fcgen (siehe Abbildung).\n
    \"MMC-SnapIn<\/a>
    MMC-SnapIn Sicherheitsvorlagen – Sicherheitseinstellungen f\u00fcr Dienst<\/figcaption><\/figure><\/li>\n
  7. Die Sicherheitsvorlage als Datei speichern, die so erstellte INF-Datei mit einem Editor \u00f6ffnen \u2013 der Security-Deskriptor ist darin verzeichnet (siehe Abbildung).\n
    \"Sicherheitsvorlage<\/a>
    Sicherheitsvorlage – gespeicherte INF-Datei mit Security-Deskriptor<\/figcaption><\/figure><\/li>\n<\/ol>\n
    Der so erhaltene Security-Descriptor-String kann nun (wie eingangs beschrieben) mittels sc.exe auf einen beliebigen Dienst appliziert werden.<\/div>\n<\/div>\n
    <\/div>\n
      \n
    • z.B. f\u00fcr Windows 7 oder Windows 10:<\/li>\n<\/ul>\n
      sc sdset %ServiceName% \"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)\"<\/pre>\n
        \n
      • oder unter Windows XP:<\/li>\n<\/ul>\n
        sc sdset %ServiceName% \"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;IU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)\"<\/pre>\n
        <\/div>\n","protected":false},"excerpt":{"rendered":"
        Mitunter hat man als Administrator eines Systems den Bedarf, Benutzern ohne Adminstrator-Privilegien das Starten und Stoppen eines bestimmten Windows-Dienstes zu erm\u00f6glichen.<\/p>\n","protected":false},"author":1,"featured_media":218,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[3,4,13,23],"tags":[53,52,50,51,48,49,47],"class_list":["post-212","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it","category-security","category-server","category-windows","tag-benutzerrechte","tag-dienste","tag-ohne-administratorrechte","tag-security-descriptor","tag-starten","tag-stoppen","tag-windows-services"],"_links":{"self":[{"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/posts\/212","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/comments?post=212"}],"version-history":[{"count":18,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/posts\/212\/revisions"}],"predecessor-version":[{"id":522,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/posts\/212\/revisions\/522"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/media\/218"}],"wp:attachment":[{"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/media?parent=212"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/categories?post=212"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/tags?post=212"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}