Inicio y detención de servicios.

Hola a todos, les planteo mi caso para ver si consigo solucionar el
problema.


Server W2003 R2, controlador de dominio, DNS y catalogo global

usuario genérico que se loguea al server (solo es usuario de
dominio), por políticas le doy permisos para que acceda (inicio de
sesión local). Este usuario debe detener e iniciar un servicio de
"terceros", por lo
que siempre genera un error de acceso denegado.
La primera solución fue generar un .cmd que haga la tarea mediante la
ejecucion del comando RUNAS /Savecred. De esta forma consigo realizar
la tarea pero las credenciales que guarda son las de un administrador
del dominio, ya que al intentar realizarlo con credenciales de
usuario que pertenece al grupo operador de servidores, no nos deja.

Tengo forma de que este usuario del dominio haga esta tarea sin
necesitar de la cuenta de administrador para la detención y reinicio
de estos servicios?
Muchas gracias de antemano.
Christian

Aplícale al equipo un GPO donde lo definas.
Está en Configuración del Equipo, Configuracón de Windows, Configuración
de Seguridad, Servicios del Sistema

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.


Christian wrote:

Hola a todos, les planteo mi caso para ver si consigo solucionar el
problema.


Server W2003 R2, controlador de dominio, DNS y catalogo global

usuario genérico que se loguea al server (solo es usuario de
dominio), por políticas le doy permisos para que acceda (inicio de
sesión local). Este usuario debe detener e iniciar un servicio de
"terceros", por lo
que siempre genera un error de acceso denegado.
La primera solución fue generar un .cmd que haga la tarea mediante la
ejecucion del comando RUNAS /Savecred. De esta forma consigo realizar
la tarea pero las credenciales que guarda son las de un administrador
del dominio, ya que al intentar realizarlo con credenciales de
usuario que pertenece al grupo operador de servidores, no nos deja.

Tengo forma de que este usuario del dominio haga esta tarea sin
necesitar de la cuenta de administrador para la detención y reinicio
de estos servicios?
Muchas gracias de antemano.
Christian

Gracias por responder Guillermo, el tema es que es un controlador de
Dominio y en el dominio tengo 20 controladores y no todos tienen este
servicio instalado.
hay alguna forma de generar algun script para esta tarea?
Gracias.
Christian

"Guillermo Delprato [MS-MVP]"
escribió en el
mensaje news:

Aplícale al equipo un GPO donde lo definas.
Está en Configuración del Equipo, Configuracón de Windows,
Configuración de Seguridad, Servicios del Sistema

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna
clase, y no otorga ningún derecho. Ud. asume los riesgos This
posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.


Christian wrote:

Hola a todos, les planteo mi caso para ver si consigo solucionar el
problema.


Server W2003 R2, controlador de dominio, DNS y catalogo global

usuario genérico que se loguea al server (solo es usuario de
dominio), por políticas le doy permisos para que acceda (inicio de
sesión local). Este usuario debe detener e iniciar un servicio de
"terceros", por lo
que siempre genera un error de acceso denegado.
La primera solución fue generar un .cmd que haga la tarea mediante
la ejecucion del comando RUNAS /Savecred. De esta forma consigo
realizar la tarea pero las credenciales que guarda son las de un
administrador del dominio, ya que al intentar realizarlo con
credenciales de usuario que pertenece al grupo operador de
servidores, no nos deja. Tengo forma de que este usuario del dominio
haga esta tarea sin
necesitar de la cuenta de administrador para la detención y reinicio
de estos servicios?
Muchas gracias de antemano.
Christian

El scrip siempre se hace con el contexto de seguridad de alguien, sea
usuario o máquina, así que no se me ocurre cómo puedes hacer lo que
buscas.

Pero usando GPO si, creo que se puede hacer, simplemente creas una OU
dentro de la OU de los DCs, y en esta enlazas la política que modifica
dicho servicio.
Ten en cuenta, que los derechos los tomará *todos* desde la última, así
que debes asegurarte que tenga las configuraciones adecuadas de *todos*
los servicios

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.


Christian wrote:

Gracias por responder Guillermo, el tema es que es un controlador de
Dominio y en el dominio tengo 20 controladores y no todos tienen este
servicio instalado.
hay alguna forma de generar algun script para esta tarea?
Gracias.
Christian

"Guillermo Delprato [MS-MVP]"
escribió en el
mensaje news:

Aplícale al equipo un GPO donde lo definas.
Está en Configuración del Equipo, Configuracón de Windows,
Configuración de Seguridad, Servicios del Sistema

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna
clase, y no otorga ningún derecho. Ud. asume los riesgos This
posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.


Christian wrote:

Hola a todos, les planteo mi caso para ver si consigo solucionar el
problema.


Server W2003 R2, controlador de dominio, DNS y catalogo global

usuario genérico que se loguea al server (solo es usuario de
dominio), por políticas le doy permisos para que acceda (inicio de
sesión local). Este usuario debe detener e iniciar un servicio de
"terceros", por lo
que siempre genera un error de acceso denegado.
La primera solución fue generar un .cmd que haga la tarea mediante
la ejecucion del comando RUNAS /Savecred. De esta forma consigo
realizar la tarea pero las credenciales que guarda son las de un
administrador del dominio, ya que al intentar realizarlo con
credenciales de usuario que pertenece al grupo operador de
servidores, no nos deja. Tengo forma de que este usuario del dominio
haga esta tarea sin
necesitar de la cuenta de administrador para la detención y reinicio
de estos servicios?
Muchas gracias de antemano.
Christian

Gracias Guillermo, lo voy a probar y luego comento como me fué.

Christian

"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:%

El scrip siempre se hace con el contexto de seguridad de alguien, sea
usuario o máquina, así que no se me ocurre cómo puedes hacer lo que
buscas.

Pero usando GPO si, creo que se puede hacer, simplemente creas una OU
dentro de la OU de los DCs, y en esta enlazas la política que modifica
dicho servicio.
Ten en cuenta, que los derechos los tomará *todos* desde la última, así
que debes asegurarte que tenga las configuraciones adecuadas de *todos*
los servicios

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.


Christian wrote:

Gracias por responder Guillermo, el tema es que es un controlador de
Dominio y en el dominio tengo 20 controladores y no todos tienen este
servicio instalado.
hay alguna forma de generar algun script para esta tarea?
Gracias.
Christian

"Guillermo Delprato [MS-MVP]"
escribió en el
mensaje news:

Aplícale al equipo un GPO donde lo definas.
Está en Configuración del Equipo, Configuracón de Windows,
Configuración de Seguridad, Servicios del Sistema

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna
clase, y no otorga ningún derecho. Ud. asume los riesgos This
posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.


Christian wrote:

Hola a todos, les planteo mi caso para ver si consigo solucionar el
problema.


Server W2003 R2, controlador de dominio, DNS y catalogo global

usuario genérico que se loguea al server (solo es usuario de
dominio), por políticas le doy permisos para que acceda (inicio de
sesión local). Este usuario debe detener e iniciar un servicio de
"terceros", por lo
que siempre genera un error de acceso denegado.
La primera solución fue generar un .cmd que haga la tarea mediante
la ejecucion del comando RUNAS /Savecred. De esta forma consigo
realizar la tarea pero las credenciales que guarda son las de un
administrador del dominio, ya que al intentar realizarlo con
credenciales de usuario que pertenece al grupo operador de
servidores, no nos deja. Tengo forma de que este usuario del dominio
haga esta tarea sin
necesitar de la cuenta de administrador para la detención y reinicio
de estos servicios?
Muchas gracias de antemano.
Christian