darkzonesd
Goto Top

Batch Datei funktioniert lokal aber nicht über GPO

Hallo Zusammen,

da es von TeamViewer Meeting aktuell keine MSI Dateien gibt, dachte ich mir das ich das per Batch Skript lösen kann. Das funktioniert auch lokal (allerdings nur mit Administrator Berechtigung) soweit ganz gut, nur sobald ich diese Batch als Teil einer GPO benutze funktioniert das ganze nicht mehr.

Das ganze läuft auf Windows Server 2019 - [Version 10.0.17763.2746]

Die Batch sieht wie folgt aus:

mkdir C:\Users\Public\TeamViewerMeeting
copy  \\*File-Server*\Install\Teamviewer\TeamViewerMeeting_Setup\$_4_\files  C:\Users\Public\TeamViewerMeeting
icacls C:\Users\Public\TeamViewerMeeting /grant Jeder:F
copy C:\Users\Public\TeamViewerMeeting\TeamViewerMeeting.lnk C:\Users\Public\Desktop

In dem Skript wird ein Ordner angelegt indem sich alle Dateien befinden die das Programm braucht um ausgeführt zu werden, dazu wird noch eine Verknüpfung auf dem Desktop angelegt.

Die GPO wird über Computerkonfiguration>Richtlinien>Windows-Einstellungen>Skripts>Starten ausgeführt und hat keine Skriptparameter angegeben.

Wenn das Skript nun ausgeführt wird erstellt er den Ordner wie in "mkdir C:\Users\Public\TeamViewerMeeting" angegeben und erstellt dort eine log Datei die ich dem Skript beigefügt habe. Diese gibt mir nach der Ausführung "Zugriff verweigert" aus, was für mich nicht klar ist da man über die Computerkonfiguration Administratorberechtigung besitzt. Danach passiert nichts mehr, es bleibt ein leerer Ordner mit einer log.txt.

Zusätzlich kommt noch hinzu das ich unter Softwareeinstellungen>Softwareinstallation 7-Zip als MSI Datei zugewiesen habe, diese wird ebenfalls nicht erstellt.

Mit dem Befehl
 Get-WinEvent -ProviderName Microsoft-Windows-GroupPolicy |
where{$_.LevelDisplayName -eq "Fehler" -or $_.LevelDisplayName -eq "Warnung"} | fl   
bin ich leider auch nicht weiter gekommen, da mir keine Fehlermeldung über die GPO angegeben wird.

Vielen Dank für jegliche Hilfe und Grüße

Content-Key: 2545161260

Url: https://administrator.de/contentid/2545161260

Printed on: June 25, 2024 at 11:06 o'clock

Member: em-pie
em-pie Apr 20, 2022 at 09:22:59 (UTC)
Goto Top
Moin,

wer hat denn alles auf diesen Pfad Zugriffsrechte?
 \\*File-Server*\Install\Teamviewer\TeamViewerMeeting_Setup\$_4_\files
Dürfen die Computerkonten darauf zugreifen?

Gruß
em-pie
Member: DarkZoneSD
DarkZoneSD Apr 20, 2022 at 09:25:41 (UTC)
Goto Top
Hallo em-pie,

der Computer mit dem die GPO getestet wird ist momentan noch in einer Test OU, welche Lesezugriff auf diesen Pfad hat.

Gruß
Member: em-pie
em-pie Apr 20, 2022 at 09:28:28 (UTC)
Goto Top
eine OU kann keine Dateirechte auf einem Filesystem erhalten!

Kommt das Computerkonto derzeit an den o.g Pfad?
Also hast du die NTFS- und Freigabe-Rechte passend gesetzt?
Member: DarkZoneSD
DarkZoneSD Apr 20, 2022 at 09:31:39 (UTC)
Goto Top
Tschuldigung das war die falsche Ausdrucksweise, der Computer auf dem die GPO laufen soll, befindet sich in einer OU welche eine weitere GPO besitzt die ihm Lesezugriff auf diesem Pfad gibt.
Member: Doskias
Doskias Apr 20, 2022 updated at 09:43:59 (UTC)
Goto Top
Moin

Siehe:
em-pie
eine OU kann keine Dateirechte auf einem Filesystem erhalten!

Zitat von @DarkZoneSD:
Tschuldigung das war die falsche Ausdrucksweise, der Computer auf dem die GPO laufen soll, befindet sich in einer OU welche eine weitere GPO besitzt die ihm Lesezugriff auf diesem Pfad gibt.

Nochmal: Du kannst keine Dateiberechtigungen via GPO verteilen, nur durch Gruppen oder Benutzerzuordnung.
Member: em-pie
em-pie Apr 20, 2022 at 09:48:20 (UTC)
Goto Top
Zitat von @DarkZoneSD:

Tschuldigung das war die falsche Ausdrucksweise, der Computer auf dem die GPO laufen soll, befindet sich in einer OU welche eine weitere GPO besitzt die ihm Lesezugriff auf diesem Pfad gibt.

dann starte einmal den File-Server neu, denn DER benötigt die relevanten Berechtigungen.
Oder erstelle eine Gruppe (keine OU!) im AD (z. B. grp_foder_rollout), in der du das Computerkonto (myComputer$) hinzufügst. Diese Gruppe hinterlegst du mit Leserechten auf den o.g. Pfad
Member: DarkZoneSD
DarkZoneSD Apr 20, 2022 at 09:51:02 (UTC)
Goto Top
Die Gruppe Domänen-Benutzer bekommen Lesezugriff, mein Fehler. Der Computer ist mit einem normalen Domänen-Benutzer auch angemeldet.
Member: em-pie
em-pie Apr 20, 2022 updated at 09:56:35 (UTC)
Goto Top
Die Gruppe Domänen-Benutzer bekommen Lesezugriff
Das ist dein Fehler. Ein Computerkonto ist kein Domänen-Benutzer!

Der Computer ist mit einem normalen Domänen-Benutzer auch angemeldet.
Beim Starten und Abarbeiten der Computerbasierten GPO-Richtlinien ist aber noch kein User angemeldet!
Mitglied: 1915348599
Solution 1915348599 Apr 20, 2022 updated at 10:13:47 (UTC)
Goto Top
Zitat von @DarkZoneSD:

Die Gruppe Domänen-Benutzer bekommen Lesezugriff, mein Fehler. Der Computer ist mit einem normalen Domänen-Benutzer auch angemeldet.

Dat is falsch. Benutze die Authenticated Users [Authentifizierte Benutzer]- oder auch Domain-Computers[Domänen-Computer] Gruppe da sind dann auch die Computer-Konten enthalten die bei Start-Skripts Verwendung finden, da ist noch kein User angemeldet weil alles vor der Benutzeranmeldung ausgeführt wird.

(und wie schon geschrieben wurde an die Freigabeberechtigungen denken).
Member: Doskias
Doskias Apr 20, 2022 at 10:01:09 (UTC)
Goto Top
Zitat von @DarkZoneSD:

Die Gruppe Domänen-Benutzer bekommen Lesezugriff, mein Fehler. Der Computer ist mit einem normalen Domänen-Benutzer auch angemeldet.

Deine GPO wirkt aber auf die Computerkonfiguration. Das heißt, es interessiert nicht welche benutzerrechte du hast, da die GPO vor der Benutzeranmeldung durchgeführt wird. Daher wie die Kollegen schon sagen, die richtige Gruppe (die mit dem Computer) dem Ordner berechtigen oder den (nicht zu empfehlen) Holzhammer jeder aus dem Schrank kramen ;)

Gruß
Doskias
Member: DarkZoneSD
DarkZoneSD Apr 20, 2022 at 10:23:34 (UTC)
Goto Top
Also, die NTFS Berechtigung für den
\\*File-Server*\Install\Teamviewer\TeamViewerMeeting_Setup\$_4_\files wurden jetzt auf "ändern" gestellt, danach hat es nicht funktioniert. Jedoch nach der Änderung der Freigabe auf Vollzugriff funktioniert es jetzt.

Die Verknüpfung wurde erstellt und kann auch ausgeführt werden.

Vielen Dank für die Hilfe und entschuldigt die Verwirrung, ich bin noch neu in der ganzen Enterprise IT Welt.

Ihr habt mir jedoch sehr geholfen.

Liebe Grüße
Florian