11
Batch Datei funktioniert lokal aber nicht über GPO
Hallo Zusammen,
da es von TeamViewer Meeting aktuell keine MSI Dateien gibt, dachte ich mir das ich das per Batch Skript lösen kann. Das funktioniert auch lokal (allerdings nur mit Administrator Berechtigung) soweit ganz gut, nur sobald ich diese Batch als Teil einer GPO benutze funktioniert das ganze nicht mehr.
Das ganze läuft auf Windows Server 2019 - [Version 10.0.17763.2746]
Die Batch sieht wie folgt aus:
In dem Skript wird ein Ordner angelegt indem sich alle Dateien befinden die das Programm braucht um ausgeführt zu werden, dazu wird noch eine Verknüpfung auf dem Desktop angelegt.
Die GPO wird über Computerkonfiguration>Richtlinien>Windows-Einstellungen>Skripts>Starten ausgeführt und hat keine Skriptparameter angegeben.
Wenn das Skript nun ausgeführt wird erstellt er den Ordner wie in "mkdir C:\Users\Public\TeamViewerMeeting" angegeben und erstellt dort eine log Datei die ich dem Skript beigefügt habe. Diese gibt mir nach der Ausführung "Zugriff verweigert" aus, was für mich nicht klar ist da man über die Computerkonfiguration Administratorberechtigung besitzt. Danach passiert nichts mehr, es bleibt ein leerer Ordner mit einer log.txt.
Zusätzlich kommt noch hinzu das ich unter Softwareeinstellungen>Softwareinstallation 7-Zip als MSI Datei zugewiesen habe, diese wird ebenfalls nicht erstellt.
Mit dem Befehl
bin ich leider auch nicht weiter gekommen, da mir keine Fehlermeldung über die GPO angegeben wird.
Vielen Dank für jegliche Hilfe und Grüße
da es von TeamViewer Meeting aktuell keine MSI Dateien gibt, dachte ich mir das ich das per Batch Skript lösen kann. Das funktioniert auch lokal (allerdings nur mit Administrator Berechtigung) soweit ganz gut, nur sobald ich diese Batch als Teil einer GPO benutze funktioniert das ganze nicht mehr.
Das ganze läuft auf Windows Server 2019 - [Version 10.0.17763.2746]
Die Batch sieht wie folgt aus:
mkdir C:\Users\Public\TeamViewerMeeting
copy \\*File-Server*\Install\Teamviewer\TeamViewerMeeting_Setup\$_4_\files C:\Users\Public\TeamViewerMeeting
icacls C:\Users\Public\TeamViewerMeeting /grant Jeder:F
copy C:\Users\Public\TeamViewerMeeting\TeamViewerMeeting.lnk C:\Users\Public\DesktopIn dem Skript wird ein Ordner angelegt indem sich alle Dateien befinden die das Programm braucht um ausgeführt zu werden, dazu wird noch eine Verknüpfung auf dem Desktop angelegt.
Die GPO wird über Computerkonfiguration>Richtlinien>Windows-Einstellungen>Skripts>Starten ausgeführt und hat keine Skriptparameter angegeben.
Wenn das Skript nun ausgeführt wird erstellt er den Ordner wie in "mkdir C:\Users\Public\TeamViewerMeeting" angegeben und erstellt dort eine log Datei die ich dem Skript beigefügt habe. Diese gibt mir nach der Ausführung "Zugriff verweigert" aus, was für mich nicht klar ist da man über die Computerkonfiguration Administratorberechtigung besitzt. Danach passiert nichts mehr, es bleibt ein leerer Ordner mit einer log.txt.
Zusätzlich kommt noch hinzu das ich unter Softwareeinstellungen>Softwareinstallation 7-Zip als MSI Datei zugewiesen habe, diese wird ebenfalls nicht erstellt.
Mit dem Befehl
Get-WinEvent -ProviderName Microsoft-Windows-GroupPolicy |
where{$_.LevelDisplayName -eq "Fehler" -or $_.LevelDisplayName -eq "Warnung"} | fl Vielen Dank für jegliche Hilfe und Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2545161260
Url: https://administrator.de/contentid/2545161260
Printed on: April 20, 2024 at 01:04 o'clock
11 Comments
Latest comment
Moin,
wer hat denn alles auf diesen Pfad Zugriffsrechte?
Dürfen die Computerkonten darauf zugreifen?
Gruß
em-pie
wer hat denn alles auf diesen Pfad Zugriffsrechte?
\\*File-Server*\Install\Teamviewer\TeamViewerMeeting_Setup\$_4_\filesGruß
em-pie
Hallo em-pie,
der Computer mit dem die GPO getestet wird ist momentan noch in einer Test OU, welche Lesezugriff auf diesen Pfad hat.
Gruß
der Computer mit dem die GPO getestet wird ist momentan noch in einer Test OU, welche Lesezugriff auf diesen Pfad hat.
Gruß
eine OU kann keine Dateirechte auf einem Filesystem erhalten!
Kommt das Computerkonto derzeit an den o.g Pfad?
Also hast du die NTFS- und Freigabe-Rechte passend gesetzt?
Kommt das Computerkonto derzeit an den o.g Pfad?
Also hast du die NTFS- und Freigabe-Rechte passend gesetzt?
Tschuldigung das war die falsche Ausdrucksweise, der Computer auf dem die GPO laufen soll, befindet sich in einer OU welche eine weitere GPO besitzt die ihm Lesezugriff auf diesem Pfad gibt.
Moin
Siehe:
Nochmal: Du kannst keine Dateiberechtigungen via GPO verteilen, nur durch Gruppen oder Benutzerzuordnung.
Siehe:
em-pie
eine OU kann keine Dateirechte auf einem Filesystem erhalten!
eine OU kann keine Dateirechte auf einem Filesystem erhalten!
Zitat von @DarkZoneSD:
Tschuldigung das war die falsche Ausdrucksweise, der Computer auf dem die GPO laufen soll, befindet sich in einer OU welche eine weitere GPO besitzt die ihm Lesezugriff auf diesem Pfad gibt.
Tschuldigung das war die falsche Ausdrucksweise, der Computer auf dem die GPO laufen soll, befindet sich in einer OU welche eine weitere GPO besitzt die ihm Lesezugriff auf diesem Pfad gibt.
Nochmal: Du kannst keine Dateiberechtigungen via GPO verteilen, nur durch Gruppen oder Benutzerzuordnung.
Zitat von @DarkZoneSD:
Tschuldigung das war die falsche Ausdrucksweise, der Computer auf dem die GPO laufen soll, befindet sich in einer OU welche eine weitere GPO besitzt die ihm Lesezugriff auf diesem Pfad gibt.
Tschuldigung das war die falsche Ausdrucksweise, der Computer auf dem die GPO laufen soll, befindet sich in einer OU welche eine weitere GPO besitzt die ihm Lesezugriff auf diesem Pfad gibt.
dann starte einmal den File-Server neu, denn DER benötigt die relevanten Berechtigungen.
Oder erstelle eine Gruppe (keine OU!) im AD (z. B. grp_foder_rollout), in der du das Computerkonto (myComputer$) hinzufügst. Diese Gruppe hinterlegst du mit Leserechten auf den o.g. Pfad
Die Gruppe Domänen-Benutzer bekommen Lesezugriff, mein Fehler. Der Computer ist mit einem normalen Domänen-Benutzer auch angemeldet.
Die Gruppe Domänen-Benutzer bekommen Lesezugriff
Das ist dein Fehler. Ein Computerkonto ist kein Domänen-Benutzer!Der Computer ist mit einem normalen Domänen-Benutzer auch angemeldet.
Beim Starten und Abarbeiten der Computerbasierten GPO-Richtlinien ist aber noch kein User angemeldet!
Zitat von @DarkZoneSD:
Die Gruppe Domänen-Benutzer bekommen Lesezugriff, mein Fehler. Der Computer ist mit einem normalen Domänen-Benutzer auch angemeldet.
Die Gruppe Domänen-Benutzer bekommen Lesezugriff, mein Fehler. Der Computer ist mit einem normalen Domänen-Benutzer auch angemeldet.
Dat is falsch. Benutze die Authenticated Users [Authentifizierte Benutzer]- oder auch Domain-Computers[Domänen-Computer] Gruppe da sind dann auch die Computer-Konten enthalten die bei Start-Skripts Verwendung finden, da ist noch kein User angemeldet weil alles vor der Benutzeranmeldung ausgeführt wird.
(und wie schon geschrieben wurde an die Freigabeberechtigungen denken).
1Zitat von @DarkZoneSD:
Die Gruppe Domänen-Benutzer bekommen Lesezugriff, mein Fehler. Der Computer ist mit einem normalen Domänen-Benutzer auch angemeldet.
Die Gruppe Domänen-Benutzer bekommen Lesezugriff, mein Fehler. Der Computer ist mit einem normalen Domänen-Benutzer auch angemeldet.
Deine GPO wirkt aber auf die Computerkonfiguration. Das heißt, es interessiert nicht welche benutzerrechte du hast, da die GPO vor der Benutzeranmeldung durchgeführt wird. Daher wie die Kollegen schon sagen, die richtige Gruppe (die mit dem Computer) dem Ordner berechtigen oder den (nicht zu empfehlen) Holzhammer jeder aus dem Schrank kramen ;)
Gruß
Doskias
Also, die NTFS Berechtigung für den
\\*File-Server*\Install\Teamviewer\TeamViewerMeeting_Setup\$_4_\files wurden jetzt auf "ändern" gestellt, danach hat es nicht funktioniert. Jedoch nach der Änderung der Freigabe auf Vollzugriff funktioniert es jetzt.
Die Verknüpfung wurde erstellt und kann auch ausgeführt werden.
Vielen Dank für die Hilfe und entschuldigt die Verwirrung, ich bin noch neu in der ganzen Enterprise IT Welt.
Ihr habt mir jedoch sehr geholfen.
Liebe Grüße
Florian
\\*File-Server*\Install\Teamviewer\TeamViewerMeeting_Setup\$_4_\files wurden jetzt auf "ändern" gestellt, danach hat es nicht funktioniert. Jedoch nach der Änderung der Freigabe auf Vollzugriff funktioniert es jetzt.
Die Verknüpfung wurde erstellt und kann auch ausgeführt werden.
Vielen Dank für die Hilfe und entschuldigt die Verwirrung, ich bin noch neu in der ganzen Enterprise IT Welt.
Ihr habt mir jedoch sehr geholfen.
Liebe Grüße
Florian
