Dar permiso a usuario normal para detener y subir servicios

03/12/2008 - 14:26 por Gerardo | Informe spam
Necesito promover un servir miembro a PDC para tener respaldo del actve
directory de W2k3R2. En este servidor existe un usuario local con derechos de
administración local para resolver problemas de un software que requiere
bajar y subir servicios de este cuando hay problemas o se hacen
modificaciones.
Al promoverlo a PDC ya no se tendra acceso a la cuenta local. El software
funciona con una cuenta normal del dominio y no quiero darle permiso de
administración del dominio pero debo darle permiso de que pueda bajar o subir
servicios, ojala solo a los especificos del software.
Probé asignando un usuario del dominio a la directiva "Log on as a service"
(es una versión en ingles) y no resulto. Se ¿puede dar permiso sin darle
equivalencia de administrador a un usuario para que baje y suba permisos en
un controlador de dominio?

Preguntas similare

Leer las respuestas

#1 Daniel Ríos
03/12/2008 - 16:39 | Informe spam
Mirate esto, es un post que capturé de otro Blog y que me ha parecido muy
interesante...
http://d-rios.blogspot.com/2008/10/...ndows.html


Daniel Ríos
http://d-rios.blogspot.com



"Gerardo" escribió en el mensaje
news:
Necesito promover un servir miembro a PDC para tener respaldo del actve
directory de W2k3R2. En este servidor existe un usuario local con derechos
de
administración local para resolver problemas de un software que requiere
bajar y subir servicios de este cuando hay problemas o se hacen
modificaciones.
Al promoverlo a PDC ya no se tendra acceso a la cuenta local. El software
funciona con una cuenta normal del dominio y no quiero darle permiso de
administración del dominio pero debo darle permiso de que pueda bajar o
subir
servicios, ojala solo a los especificos del software.
Probé asignando un usuario del dominio a la directiva "Log on as a
service"
(es una versión en ingles) y no resulto. Se ¿puede dar permiso sin darle
equivalencia de administrador a un usuario para que baje y suba permisos
en
un controlador de dominio?
Respuesta Responder a este mensaje
#2 Guillermo Delprato [MS-MVP]
03/12/2008 - 17:59 | Informe spam
Planteas dos problemas diferentes:
- Promover un servidor como Controlador de Dominio
- Que un usuario pueda arrancar, pausar y detener un servicio

Promover un servidor como Controlador de Dominio
Para hacer esto se necesitan las credenciales de un Domain Admins, no hay
alternativa, si estamos hablando de 2003
Puedes crear una cuenta con el privilegio requerido, darle la contraseña,
pero una vez que lo instala, simplemente le cambias la contraseña o
deshabilitas la cuenta

Que un usuario pueda arrancar, pausar y detener un servicio
Eso se puede hacer por policies, siempre y cuando el servicio sea de
Windows. Lo tienes en Configuración del Equipo, Configuración de Windows,
Configuración de Seguridad, Servicios del Sistema

En realidad, lo que te complica la situación, es que quieres que la
aplicación con servicio funcione en un controlador de dominio.
La solución sería que dicha aplicación esté en un servidor miembro


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, ni
otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"Gerardo" wrote in message
news:
Necesito promover un servir miembro a PDC para tener respaldo del actve
directory de W2k3R2. En este servidor existe un usuario local con derechos
de
administración local para resolver problemas de un software que requiere
bajar y subir servicios de este cuando hay problemas o se hacen
modificaciones.
Al promoverlo a PDC ya no se tendra acceso a la cuenta local. El software
funciona con una cuenta normal del dominio y no quiero darle permiso de
administración del dominio pero debo darle permiso de que pueda bajar o
subir
servicios, ojala solo a los especificos del software.
Probé asignando un usuario del dominio a la directiva "Log on as a
service"
(es una versión en ingles) y no resulto. Se ¿puede dar permiso sin darle
equivalencia de administrador a un usuario para que baje y suba permisos
en
un controlador de dominio?
Respuesta Responder a este mensaje
#3 Gerardo
03/12/2008 - 19:21 | Informe spam
Si no me exprese bien mis disculpas, pero quise explicar mi motivación.
Lo que necesito es dar permiso a un usuario del dominio permisos para que
baje y suba servicios 2 de los cuales son propios de una aplicación de
telefonía.
Estoy probando con las indicaciones del link de Miguel pero me dan errores
de sintaxis los comandos. Los estoy revisando y les cuento.

Gracias.

"Guillermo Delprato [MS-MVP]" wrote:

Planteas dos problemas diferentes:
- Promover un servidor como Controlador de Dominio
- Que un usuario pueda arrancar, pausar y detener un servicio

Promover un servidor como Controlador de Dominio
Para hacer esto se necesitan las credenciales de un Domain Admins, no hay
alternativa, si estamos hablando de 2003
Puedes crear una cuenta con el privilegio requerido, darle la contraseña,
pero una vez que lo instala, simplemente le cambias la contraseña o
deshabilitas la cuenta

Que un usuario pueda arrancar, pausar y detener un servicio
Eso se puede hacer por policies, siempre y cuando el servicio sea de
Windows. Lo tienes en Configuración del Equipo, Configuración de Windows,
Configuración de Seguridad, Servicios del Sistema

En realidad, lo que te complica la situación, es que quieres que la
aplicación con servicio funcione en un controlador de dominio.
La solución sería que dicha aplicación esté en un servidor miembro


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, ni
otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"Gerardo" wrote in message
news:
> Necesito promover un servir miembro a PDC para tener respaldo del actve
> directory de W2k3R2. En este servidor existe un usuario local con derechos
> de
> administración local para resolver problemas de un software que requiere
> bajar y subir servicios de este cuando hay problemas o se hacen
> modificaciones.
> Al promoverlo a PDC ya no se tendra acceso a la cuenta local. El software
> funciona con una cuenta normal del dominio y no quiero darle permiso de
> administración del dominio pero debo darle permiso de que pueda bajar o
> subir
> servicios, ojala solo a los especificos del software.
> Probé asignando un usuario del dominio a la directiva "Log on as a
> service"
> (es una versión en ingles) y no resulto. Se ¿puede dar permiso sin darle
> equivalencia de administrador a un usuario para que baje y suba permisos
> en
> un controlador de dominio?


Respuesta Responder a este mensaje
#4 Guillermo Delprato [MS-MVP]
03/12/2008 - 21:36 | Informe spam
En el blog de Daniel está mal la sintaxis.
Revisa en el origen
SetACL - Windows permission management:
http://setacl.sourceforge.net/html/examples.html

SetACL.exe -on "\\server1\W32Time" -ot srv -actn ace
-ace "n:domain1\group1;p:start_stop"Sets permissions to start and
stop the Windows time service on server 'server1' for group 'group1' in
domain 'domain1'.


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, ni
otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"Gerardo" wrote in message
news:
Si no me exprese bien mis disculpas, pero quise explicar mi motivación.
Lo que necesito es dar permiso a un usuario del dominio permisos para que
baje y suba servicios 2 de los cuales son propios de una aplicación de
telefonía.
Estoy probando con las indicaciones del link de Miguel pero me dan errores
de sintaxis los comandos. Los estoy revisando y les cuento.

Gracias.

"Guillermo Delprato [MS-MVP]" wrote:

Planteas dos problemas diferentes:
- Promover un servidor como Controlador de Dominio
- Que un usuario pueda arrancar, pausar y detener un servicio

Promover un servidor como Controlador de Dominio
Para hacer esto se necesitan las credenciales de un Domain Admins, no hay
alternativa, si estamos hablando de 2003
Puedes crear una cuenta con el privilegio requerido, darle la contraseña,
pero una vez que lo instala, simplemente le cambias la contraseña o
deshabilitas la cuenta

Que un usuario pueda arrancar, pausar y detener un servicio
Eso se puede hacer por policies, siempre y cuando el servicio sea de
Windows. Lo tienes en Configuración del Equipo, Configuración de Windows,
Configuración de Seguridad, Servicios del Sistema

En realidad, lo que te complica la situación, es que quieres que la
aplicación con servicio funcione en un controlador de dominio.
La solución sería que dicha aplicación esté en un servidor miembro


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
ni
otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"Gerardo" wrote in message
news:
> Necesito promover un servir miembro a PDC para tener respaldo del actve
> directory de W2k3R2. En este servidor existe un usuario local con
> derechos
> de
> administración local para resolver problemas de un software que
> requiere
> bajar y subir servicios de este cuando hay problemas o se hacen
> modificaciones.
> Al promoverlo a PDC ya no se tendra acceso a la cuenta local. El
> software
> funciona con una cuenta normal del dominio y no quiero darle permiso
> de
> administración del dominio pero debo darle permiso de que pueda bajar o
> subir
> servicios, ojala solo a los especificos del software.
> Probé asignando un usuario del dominio a la directiva "Log on as a
> service"
> (es una versión en ingles) y no resulto. Se ¿puede dar permiso sin
> darle
> equivalencia de administrador a un usuario para que baje y suba
> permisos
> en
> un controlador de dominio?


Respuesta Responder a este mensaje
#5 Gerardo
04/12/2008 - 13:53 | Informe spam
Guillermo.

Funciono bien en las pruebas. Ahora podré promover el servidor sin descuidar
la seguridad.

Saludos y gracias Daniel y Guillermo

"Guillermo Delprato [MS-MVP]" wrote:

En el blog de Daniel está mal la sintaxis.
Revisa en el origen
SetACL - Windows permission management:
http://setacl.sourceforge.net/html/examples.html

SetACL.exe -on "\\server1\W32Time" -ot srv -actn ace
-ace "n:domain1\group1;p:start_stop"Sets permissions to start and
stop the Windows time service on server 'server1' for group 'group1' in
domain 'domain1'.


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, ni
otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"Gerardo" wrote in message
news:
> Si no me exprese bien mis disculpas, pero quise explicar mi motivación.
> Lo que necesito es dar permiso a un usuario del dominio permisos para que
> baje y suba servicios 2 de los cuales son propios de una aplicación de
> telefonía.
> Estoy probando con las indicaciones del link de Miguel pero me dan errores
> de sintaxis los comandos. Los estoy revisando y les cuento.
>
> Gracias.
>
> "Guillermo Delprato [MS-MVP]" wrote:
>
>> Planteas dos problemas diferentes:
>> - Promover un servidor como Controlador de Dominio
>> - Que un usuario pueda arrancar, pausar y detener un servicio
>>
>> Promover un servidor como Controlador de Dominio
>> Para hacer esto se necesitan las credenciales de un Domain Admins, no hay
>> alternativa, si estamos hablando de 2003
>> Puedes crear una cuenta con el privilegio requerido, darle la contraseña,
>> pero una vez que lo instala, simplemente le cambias la contraseña o
>> deshabilitas la cuenta
>>
>> Que un usuario pueda arrancar, pausar y detener un servicio
>> Eso se puede hacer por policies, siempre y cuando el servicio sea de
>> Windows. Lo tienes en Configuración del Equipo, Configuración de Windows,
>> Configuración de Seguridad, Servicios del Sistema
>>
>> En realidad, lo que te complica la situación, es que quieres que la
>> aplicación con servicio funcione en un controlador de dominio.
>> La solución sería que dicha aplicación esté en un servidor miembro
>>
>>
>> Guillermo Delprato
>> MVP - MCT - MCSE
>> Buenos Aires, Argentina
>> http://w2k8-server.spaces.live.com
>>
>> Este mensaje se proporciona "como está" sin garantías de ninguna clase,
>> ni
>> otorga ningún derecho. Ud. asume los riesgos.
>> This posting is provide "as is" with no warranties and confers no rights.
>> You assume all risk for your use.
>> _____________________
>>
>>
>> "Gerardo" wrote in message
>> news:
>> > Necesito promover un servir miembro a PDC para tener respaldo del actve
>> > directory de W2k3R2. En este servidor existe un usuario local con
>> > derechos
>> > de
>> > administración local para resolver problemas de un software que
>> > requiere
>> > bajar y subir servicios de este cuando hay problemas o se hacen
>> > modificaciones.
>> > Al promoverlo a PDC ya no se tendra acceso a la cuenta local. El
>> > software
>> > funciona con una cuenta normal del dominio y no quiero darle permiso
>> > de
>> > administración del dominio pero debo darle permiso de que pueda bajar o
>> > subir
>> > servicios, ojala solo a los especificos del software.
>> > Probé asignando un usuario del dominio a la directiva "Log on as a
>> > service"
>> > (es una versión en ingles) y no resulto. Se ¿puede dar permiso sin
>> > darle
>> > equivalencia de administrador a un usuario para que baje y suba
>> > permisos
>> > en
>> > un controlador de dominio?
>>
>>


Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida