lcer00
Oct 12, 2020
view1993
view5
0
Goto Top

Berechtigungen für Quelldateizugriff bei msi Installation über GPO und bei GPP Dateien

GermansolvedQuestionWindows ServerMicrosoft
Hallo zusammen,

Ich möchte ein MSI über GPO Computer -> Richtlinien -> Softwareinstallation installieren lassen. Die msi Dateien liegen in einer Freigabe auf einem Server. Welche Berechtigungen brauche ich, damit die installiert werden können? Muss ich hier das Computerkonto verwenden?

Analog, wie sieht das bei einer Computercontext-GPP für Dateien aus, bei der die Quelldatei auf einer Freigabe liegt? Muss hier auch das Computerkonto Zugriff auf die Freigabe haben?

Im Ereignisprotokoll des Clients beschwert sich jedenfalls "Local System" über fehlende Zugriffsrechte. Ist LocalSystem (S-1-5-18) von außen betrachtet das Computerkonto?

Ist vermutlich eine dumme Frage, aber Jeder:Lesen ist mir zu unspezifisch und das will ich vermeiden.

Grüße

lcer
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 612284

Url: https://administrator.de/contentid/612284

Printed on: April 18, 2024 at 03:04 o'clock

5 Comments
Latest comment
Goto Top
Mitglied: 146189
146189 Oct 12, 2020 updated at 09:05:03 (UTC)
Goto Top
Damit ein Computerkonto Zugriff auf Ressourcen wie Shares bekommen kann müssen die Computerkonten auch in den Share-ACLs sowie den NTFS ACLs zumindest Lese-Zugriff erhalten.
Die dafür möglichen Principals sind folgende
  • Authentifizierte Benutzer (Beinhaltet jegliche Objekte der Domäne welche sich gegenüber der Domäne legitimiert haben, also auch Computerkonten)
  • Domänen Computer (enthalten per Default alle Computerkonten der Domäne)
  • Jede angelegte Gruppe die die Computer-Accounts der Domäne beinhaltet
  • Einzelne Domänen-Computerkonten
Member: lcer00
lcer00 Oct 12, 2020 at 09:09:36 (UTC)
Goto Top
Hallo,
Zitat von @146189:

Damit ein Computerkonto Zugriff auf Ressourcen wie Shares bekommen kann müssen die Computerkonten auch in den Share-ACLs sowie den NTFS ACLs zumindest Lese-Zugriff erhalten.
Die dafür möglichen Principals sind folgende
  • Authentifizierte Benutzer (Beinhaltet jegliche Objekte der Domäne welche sich gegenüber der Domäne legitimiert haben, also auch Computerkonten)
  • Domänen Computer (enthalten per Default alle Computerkonten der Domäne)
  • Jede angelegte Gruppe die die Computer-Accounts der Domäne beinhaltet
  • Einzelne Domänen-Computerkonten
Der Punkt ist mit klar.

Nur - Ist "Local System" das Computerkonto - und werden die Computer-GPPs bzw. die MSI-Intallation im Computercontext von diesem Konto durchgeführt?

Grüße

lcer
Mitglied: 146189
Solution 146189 Oct 12, 2020 updated at 09:20:09 (UTC)
Goto Top
Zitat von @lcer00:

Nur - Ist "Local System" das Computerkonto
Nur das auf dem System lokale Computerkonto wo es angegeben wird.
Das Konto in den ACLs angeben bringt dir nichts, das steht nur für das System auf dem du dich gerade befindest.

- und werden die Computer-GPPs bzw. die MSI-Intallation im Computercontext von diesem Konto durchgeführt?
Ja, Local System führt den Prozess lokal auf dem System aus und legitimiert sich gegenüber dem Server mit seiner Computer SiD bzw. dem Machine-Token das er bei der Legitimation an der Domäne erhalten hat.
Member: lcer00
lcer00 Oct 12, 2020 at 10:38:00 (UTC)
Goto Top
Hallo,

OK, dann also das Computerkonto (oder eine Gruppe in der das enthalten ist) in die ACLs und es sollte gehen.

Danke

Grüße

lcer
Mitglied: 146189
146189 Oct 12, 2020 updated at 13:25:28 (UTC)
Goto Top
Jepp (Share Permissions neben den NTFS ACLs nicht vergessen)
GermansolvedQuestionWindows ServerMicrosoft
Hotly discussed
AlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment