As of 23.08.2023 NWC Services GmbH has become CANCOM GmbH. Please feel free to visit us at www.cancom.com
Toggle Bar

BLOG

BLOGGING CONSULTANTS

NWC Services Blog

Blogs von Consultants der NWC Services GmbH

Runtime Service als Local SYSTEM Konto

Seit DSM 7.1 gibt es die Möglichkeit, den Runtime im Context des SYSTEM Users laufen zu lassen. Dies hat folgende Vorteile:

  • Lokale Admins werden verringert
    Die Konfiguration eines Runtime Users kann komplett entfallen. Dies muss allerdings bei einer DSM 7.1 Neu-Installation nachträglich erfolgen, der Installations-Wizard ist noch nicht darauf angepasst.
     
  • Mangement von Konfiguration auf die nur SYSTEM zugreifen darf
    Beispiel: Der Microsoft Forefront Client sollen nicht via GPO konfiguriert werden, sondern Ihre Settings via DSM Paket erhalten. In diesem Fall müssen die Exclusions unter "HKLMSoftwareMicrosoftMicrosoft ForefrontClient Security1.0AMExclusions" gepflegt werden. Auf diesen Registry Zweig hat aber nur SYSTEM Schreibzugriff. Auch ein vorhergehender "ChangeRegSecurity" hilft da nicht weiter, um dem Runtime Dienst Zugriff zu geben. 
     
  • Management von Domain Controllern
    Wird ein Domain Controller mit einem DSM Client versehen, wurde der assoziierte User immer automatisch zum Domain Admin.

Soll dieses Feature eingesetzt werden, müssen folgende Dinge beachtet werden:

 

  • Die Einstellung "Service settings -> Don't use service on admin login" sollte immer auf "No" (default = "yes") stehen, damit auch beim testen in der  Paketierung die Funktionalität des SYSTEM Kontos genutzt wird. Andernfalls würde ein Paket bei "F7" den lokal angemeldeten Benutzeraccount nutzen und Zugriff die den SYSTEM Account voraussetzen (wie oben genannt beim Virenscanner) schlagen fehl. 
     
  • Existieren Pakete, die auf die Variable "ServiceSettings.AccountName" zugreifen um aus irgendwelchen Gründen den Serviceuser auszulesen, müssen u.U. angepasst werden. Hintergrund ist, das diese Variable ab DSM 7.1 auf die neue Einstellung "Service Settings -> User account for depot access" zeigt und für die Einstellung die den Serviceuser definiert, eine neue Variable (ServiceSettings.SrvAccountName) eingeführt wurde.
     
  • Dialoge, die interaktiv aus DSM Paketen aufgerufen werden, müssen noch vermehrt auf Backdoors (also Funktionen die z.B. eine CMD oder den Explorer aufrufen) untersucht werden. Alle Prozesse die Maschinenbezogen per Service aufgerufen werden, laufen im Context des SYSTEM Account. 

 

×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

DSM 7.1 „IsPreInstalled“ Bedingungen und „Enforce ...
Schemaerweiterungen während der OSD Phase bearbeit...

Related Posts

 

Comments 1

Klaus Salger (website) on Thursday, 05 July 2012 09:59

Installationen im SYSTEM-Kontext laufen zu lassen halte ich auch für eine gute Idee. Es muss dann allerdings wirklich sichergestellt werden, dass alle Netzzugriffe mit dem Service User authentifiziert werden. Das scheint z.B. bei der Remote-Installation von Management Points nicht zu funktionieren. Der Zugriff auf das Depot scheitert und die Installation bricht ab. Das war auch damals bei NetInstall 5.x ein Problem.

Installationen im SYSTEM-Kontext laufen zu lassen halte ich auch für eine gute Idee. Es muss dann allerdings wirklich sichergestellt werden, dass alle Netzzugriffe mit dem Service User authentifiziert werden. Das scheint z.B. bei der Remote-Installation von Management Points nicht zu funktionieren. Der Zugriff auf das Depot scheitert und die Installation bricht ab. Das war auch damals bei NetInstall 5.x ein Problem.
Already Registered? Login Here
Thursday, 28 March 2024

Captcha Image

Consulting Services: