lina-: mit Windowsdienst auf Verzeichnis im Netzwerk zugreifen

moin liebes Forum :)

Ich habe auf einem Rechner einen Windowsdienst laufen (lokales Systemkonto - keine Anmeldung). Dieser Dienst soll auf ein Verzeichnis im Netzwerk zugreifen können.

Wie kann ich die Rechte dafür vergeben (zumindest hat der Dienst die scheinbar nicht) und muss ich das überhaupt?

liebe Grüße aus Berlin
lina-

--
Dinge aus dem linaland
Self-Code: ie:% fl:( br:^ va:) ls:/ fo:| rl:( ss:) de:] js:| mo:)
  1. Ich habe auf einem Rechner einen Windowsdienst laufen (lokales Systemkonto - keine Anmeldung). Dieser Dienst soll auf ein Verzeichnis im Netzwerk zugreifen können.

    Wie kann ich die Rechte dafür vergeben (zumindest hat der Dienst die scheinbar nicht) und muss ich das überhaupt?

    Lass den Dienst unter einem hinreichend berechtigten account laufen. (bspw. unter dem eines Domain Admins ;).

    Allerdings müsstest Du selbst für die Rechtevergabe hinreichend berechtigt sein.

    Und es könnte Sinn machen sich mit den Themen Sicherheit, Benutzerkonten und Berechtigungssysteme ein wenig zu beschäftigen. Damit Du weisst, was Du tust. Jedenfalls ein wenig.

  2. Hallo

    Ich habe auf einem Rechner einen Windowsdienst laufen (lokales Systemkonto - keine Anmeldung). Dieser Dienst soll auf ein Verzeichnis im Netzwerk zugreifen können.

    Wie kann ich die Rechte dafür vergeben (zumindest hat der Dienst die scheinbar nicht)

    Es ist nicht normal, dass dem lokalen Systemkonto eines xbeliebigen Rechners bereits Rechte eingeräumt sind, auf ein Verzeichnis im Netzwerk zuzugreifen. Also räume diesem Dienst das notwendige Recht ein, am besten derart, dass Du diesen Dienst einer Gruppe hinzufügst, die über das entsprechende Recht verfügen. Grundsätzlich kann das lokale Systemkonto auf Netzwerkressourcen zugreifen, siehe dazu diesen Technet-Artikel

    und muss ich das überhaupt?

    Ja, wenn der Dienst weiterhin unter diesem Konto laufen muss.

    Die meiner Meinung nach bessere Lösung wäre es jedoch, diesen Dienst unter einem Domänenbenutzerkonto (das auch ein "Dienstkonto" sein kann) laufen zu lassen, dieses Domänenbenutzerkonto einer (eventuell zu erstellenden) Gruppe hinzuzufügen, die das Recht hat, auf dieses Verzeichnis zuzugreifen. Diesem Dienstkonto müssten eventuell bestimmte Privilegien eingeräumt werden (z.B. sich als Dienst anmelden).

    Grundsätzlich ist es gute Idee, Rechte explizit nur über Gruppen zu vergeben, nicht an einzelne Benutzer (Die Pflege wird zum Alptraum).

    Freundliche Grüße

    Vinzenz

    1. moin Vinzenz :)

      vielen Dank für die ausführliche Antwort... so kann ich zumindest mit dem "Gegner" argumentieren ;)

      Ich hatte auch schon die Idee dem Dienst einfach einem Login mit den entsprechenden Rechten zu geben. Aber das könnte bei Updates zum Albtraum werden (wenn nämlich vergessen wurde, dass dieser Dienst nicht mehr so ist wie er ursprünglich war).

      Ich werde diese Informationen auf jeden Fall weitergeben und gespannt darauf warten, wie die Entscheidung aussieht.

      liebe Grüße aus Berlin
      lina-

      --
      Dinge aus dem linaland
      Self-Code: ie:% fl:( br:^ va:) ls:/ fo:| rl:( ss:) de:] js:| mo:)
      1. vielen Dank für die ausführliche Antwort... so kann ich zumindest mit dem "Gegner" argumentieren ;)

        Das ist das Team, das das Netzwerk betreibt. Hoffen wir mal das dieses Betriebsteam mit dem Wort Dienstkonto etwas anfangen kann und Dir nicht abnötigt einen Dienst unter Deinem Account laufen zu lassen. Das mit "Gegner" war möglicherweise sehr treffend formuliert.   ;)

        Ich werde diese Informationen auf jeden Fall weitergeben und gespannt darauf warten, wie die Entscheidung aussieht.

        Du musst einfach etwas anfordern, die Umsetzung sollen "die anderen" machen, egal wie die (ggf. doof) es machen, bringt nichts sich über die Netzwerkbetreiber (ich unterstelle mal ein LAN) aufzuregen und an der Umsetzung aktiv mitzuwirken.

    2. Grundsätzlich ist es gute Idee, Rechte explizit nur über Gruppen zu vergeben, nicht an einzelne Benutzer (Die Pflege wird zum Alptraum).

      Sogar dann, wenn es klar ist, dass die Gruppe nie mehr als einen Benutzer haben wird, was merkwürdig klingt aber richtig ist.

    3. moin Vinzenz :)

      möchte dich nur kurz auf dem Laufenden halten:
      Dein Ratschlag (und somit meiner) wurde gut aufgenommen und der Dienst hat jetzt ein eigenes Login bekommen und alle sind glücklich :)

      Vielen Dank nochmal und
      liebe Grüße aus Berlin
      lina-

      --
      Dinge aus dem linaland
      Self-Code: ie:% fl:( br:^ va:) ls:/ fo:| rl:( ss:) de:] js:| mo:)
      1. möchte dich nur kurz auf dem Laufenden halten:
        Dein Ratschlag (und somit meiner) wurde gut aufgenommen und der Dienst hat jetzt ein eigenes Login bekommen und alle sind glücklich :)

        Ist ja ein richtiges Kompetenzzentrum bei Euch!   ;)