7-07-04 11:59
[MS Windows] Kontrola rada windows servisa putem group policyja
piše BORIS TROJAN
Pri rješavanju ovakvog problema potrebno je identificirati servis koji zbog neodgovarajućih ACL dozvola ne radi, identificirati group policy objekt koji je odgovoran za neispravnu konfiguraciju i, konačno, ispravno odrediti dozvole koje će omogućiti kvalitetan rad servisa. Događaji u application logu na koje smo naišli, a koji su nas naveli na rješavanje ovog problema su tzv. "SCECLI 1202 Events", točnije oni pod kodom 0x5: Acces denied; preostali kodovi ovih događaja zahtijevaju slične zahvate pri njihovu rješavanju.
Bitno je pri ovakvim rješavanjima problema odrediti konfiguraciju servisnih ACL lista definiranih group policyjem. Potom je potrebno saznati postoji li log datoteka group policya koja se može analizirati i koristiti prilikom troubleshootinga sistemskih servisa.
Greška 0x5: Access denied, događaja SCECLI 1202, upućuje na nedostatak sistemskih ovlasti definiranih unutar ACLa (listi pristupa) određenog servisa koji se ne može ispravno pokrenuti. Ostali kodovi ovog događaja navedeni su u članku Q324383 Microsoftove baze znanja.
Sljedećim koracima identificiramo problematični servis unutar GPO-a i rješavamo problem:
1. Provjeravamo da li sustav logira greške za Security Configuration client-side ekstenziju unutar registryja.
Podključ koji tražimo je:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
a vrijednost je
Name: ExstensionDebugLevel
Data Type: DWORD
Value: 2
2. Potrebno je reproducirati grešku tako da osvježimo policy (secedit pod w2k ili gpupdate pod w2k3 operacijskim sustavom). Ovako smo osvježili winlogon.log datoteku.
3. Naredba FIND pomaže da identificiramo servis sa nedostatno konfiguriranim dozvolama unutar datoteke winlogon.log
find /i "error opening" %SYSTEMROOT%\security\logs\winlogon.log
(Traženi string unutar navodnika mijenja se ovisno o tipu problema na razini sigurnosne konfiguracije sustava. Dovoljno je pogledati winlogon.log datoteku i dobiti uvid o logiranju grešaka unutar ove datoteke. Tako, naprimjer, string za pretraživanje može sadržavati "cannot find" ili "account name", ako je siguronosni problem vezan uz ovlasti accounta koji je odgovoran za rad problematičnog servisa.)
4. Potrebno je odrediti koji je group policy objekt odgovoran za neispravnu konfiguraciju servisa, a pri tome opet koristimo naredbu FIND, no ovog puta pretražujemo GPO logove
find /i "ime servisa identificiranog u prethodnom koraku" %SYSTEMROOT%\security\templates\policies\gpt*.*".
5. Otvaramo navedenu .dom ili .inf datoteku, odnosno group policy security predložak koji se propagira u sustavu preko domene i potražimo njegov ključ; na primjer
GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
6. Alatom gpotool (Resource Kit utility) ovaj ključ još prevedemo u razumljivo ime
gpotool /verbose {6AC1786C-016F-11D2-945F-00C04FB984F9}
7. Dakle, identificirali smo problematični servis i group policy security predložak odgovoran za krivu konfiguraciju dozvola. Ostaje još samo da unutar dotičnog group policyja (dovoljan će biti domain security policy), pod sekcijom System Services, problematičnom servisu dodamo pune (full) sistemske ovlasti.
Dakle, Ovaj troubleshooting nas navodi na saznanje o kontroli rada servisa preko group policy-a unutar domene, te saznanje o mogućnostima identifikacije servisnih problema preko group policy log datoteka.
|