Die Core Leute

Warning: This blog is not maintained any more (no update of content or links – as well as information are might deprecated / not valid any more).

[BASE/PRINT] Wie kann ein non-Admin User lokal oder remote ein Service stoppen oder starten – Beispiel: Print Spooler

Je nach verschiedenen Szenarien und Environment kann es sein dass man einem User Rechte geben muss verschiedene Services starten/stoppen zu können.
Es kann sein dass dieser User kein lokaler Admin oder Domain Admin auf dem Server sein darf.

Folgende Lösung könnte in diesem Fall hilfreich sein das zu erziehlen ohne sehr komplizierte Prozesse.

Erstens müssen die Rechte für einen User oder Gruppe auf einen oder mehrere Services gesetzt werden, durch das Tool SubInACL.
Als Beispiel, werde ich hier den Spooler Service benutzen.

1. SubInACL ist unter folgendem Link: http://www.microsoft.com/en-us/download/details.aspx?id=23510

Das Tool muss auf dem Server installiert werden, wo dann die Services verwaltet werden müssen, in diesem Fall der Druckserver.

Der Defaultpfad für das Tool ist folgender:

2. Mit SubinACL muss man einem User oder Gruppe die Rechte T (Start Service) und O (Stop Service) auf dem Spooler vergeben:

subinacl /service service1 /grant=domain1\user1 = TO

Andere hilfreiche Parameter:

F : Full Control
R : Generic Read
W : Generic Write
X : Generic eXecute
L : Read controL
Q : Query Service Configuration
S : Query Service Status
E : Enumerate Dependent Services
C : Service Change Configuration
T : Start Service
O : Stop Service
P : Pause/Continue Service
I : Interrogate Service
U : Service User-Defined Control Commands

Beispiel:

3. Der User oder die Gruppe welche(r) freigeschaltet wurde, kann nun durch CMD von einem anderem Client/Server auf dem Druckserver den Spoolerdienst neustarten mit:


sc \\machine stop/start <service>

ACHTUNG: Obwohl der Spooler Service unter Services als „Print Spooler“ oder „Druckwarteschlange“ genannt wird, ist dieser unter CMD nur als „spooler“ definiert:

sc \\machine stop spooler

sc \\machine start spooler

Somit kann ein non-admin User den Spoolerdienst auf einem Server neustarten, ohne dass dieser lokale oder Domain Admin Rechte hat.
Ich hoffe dass die Informationen hier hilfreich sein werden!

Dieser Beitrag verleiht keine Garantie oder Rechte.


Support Engineer – Platforms Core Team
Cezar Poenaru


— Disclaimer —/

This posting is provided “AS IS” with no warranties, and confers no rights.

The entire risk arising out of the use or performance of the sample scripts and
documentation remains with you. In no event shall Microsoft, its authors, or
anyone else involved in the creation, production, or delivery of the scripts be
liable for any damages whatsoever (including, without limitation, damages for
loss of business profits, business interruption, loss of business information,
or other pecuniary loss) arising out of the use of or inability to use the
sample scripts or documentation, even if Microsoft has been advised of the
possibility of such damages.
— Disclaimer —\