NWC Services Blog
Runtime Service als Local SYSTEM Konto
Seit DSM 7.1 gibt es die Möglichkeit, den Runtime im Context des SYSTEM Users laufen zu lassen. Dies hat folgende Vorteile:
- Lokale Admins werden verringert
Die Konfiguration eines Runtime Users kann komplett entfallen. Dies muss allerdings bei einer DSM 7.1 Neu-Installation nachträglich erfolgen, der Installations-Wizard ist noch nicht darauf angepasst.
- Mangement von Konfiguration auf die nur SYSTEM zugreifen darf
Beispiel: Der Microsoft Forefront Client sollen nicht via GPO konfiguriert werden, sondern Ihre Settings via DSM Paket erhalten. In diesem Fall müssen die Exclusions unter "HKLMSoftwareMicrosoftMicrosoft ForefrontClient Security1.0AMExclusions" gepflegt werden. Auf diesen Registry Zweig hat aber nur SYSTEM Schreibzugriff. Auch ein vorhergehender "ChangeRegSecurity" hilft da nicht weiter, um dem Runtime Dienst Zugriff zu geben.
- Management von Domain Controllern
Wird ein Domain Controller mit einem DSM Client versehen, wurde der assoziierte User immer automatisch zum Domain Admin.
Soll dieses Feature eingesetzt werden, müssen folgende Dinge beachtet werden:
- Die Einstellung "Service settings -> Don't use service on admin login" sollte immer auf "No" (default = "yes") stehen, damit auch beim testen in der Paketierung die Funktionalität des SYSTEM Kontos genutzt wird. Andernfalls würde ein Paket bei "F7" den lokal angemeldeten Benutzeraccount nutzen und Zugriff die den SYSTEM Account voraussetzen (wie oben genannt beim Virenscanner) schlagen fehl.
- Existieren Pakete, die auf die Variable "ServiceSettings.AccountName" zugreifen um aus irgendwelchen Gründen den Serviceuser auszulesen, müssen u.U. angepasst werden. Hintergrund ist, das diese Variable ab DSM 7.1 auf die neue Einstellung "Service Settings -> User account for depot access" zeigt und für die Einstellung die den Serviceuser definiert, eine neue Variable (ServiceSettings.SrvAccountName) eingeführt wurde.
- Dialoge, die interaktiv aus DSM Paketen aufgerufen werden, müssen noch vermehrt auf Backdoors (also Funktionen die z.B. eine CMD oder den Explorer aufrufen) untersucht werden. Alle Prozesse die Maschinenbezogen per Service aufgerufen werden, laufen im Context des SYSTEM Account.
When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.
Comments 1
Installationen im SYSTEM-Kontext laufen zu lassen halte ich auch für eine gute Idee. Es muss dann allerdings wirklich sichergestellt werden, dass alle Netzzugriffe mit dem Service User authentifiziert werden. Das scheint z.B. bei der Remote-Installation von Management Points nicht zu funktionieren. Der Zugriff auf das Depot scheitert und die Installation bricht ab. Das war auch damals bei NetInstall 5.x ein Problem.