5
Berechtigungen für Quelldateizugriff bei msi Installation über GPO und bei GPP Dateien
Hallo zusammen,
Ich möchte ein MSI über GPO Computer -> Richtlinien -> Softwareinstallation installieren lassen. Die msi Dateien liegen in einer Freigabe auf einem Server. Welche Berechtigungen brauche ich, damit die installiert werden können? Muss ich hier das Computerkonto verwenden?
Analog, wie sieht das bei einer Computercontext-GPP für Dateien aus, bei der die Quelldatei auf einer Freigabe liegt? Muss hier auch das Computerkonto Zugriff auf die Freigabe haben?
Im Ereignisprotokoll des Clients beschwert sich jedenfalls "Local System" über fehlende Zugriffsrechte. Ist LocalSystem (S-1-5-18) von außen betrachtet das Computerkonto?
Ist vermutlich eine dumme Frage, aber Jeder:Lesen ist mir zu unspezifisch und das will ich vermeiden.
Grüße
lcer
Ich möchte ein MSI über GPO Computer -> Richtlinien -> Softwareinstallation installieren lassen. Die msi Dateien liegen in einer Freigabe auf einem Server. Welche Berechtigungen brauche ich, damit die installiert werden können? Muss ich hier das Computerkonto verwenden?
Analog, wie sieht das bei einer Computercontext-GPP für Dateien aus, bei der die Quelldatei auf einer Freigabe liegt? Muss hier auch das Computerkonto Zugriff auf die Freigabe haben?
Im Ereignisprotokoll des Clients beschwert sich jedenfalls "Local System" über fehlende Zugriffsrechte. Ist LocalSystem (S-1-5-18) von außen betrachtet das Computerkonto?
Ist vermutlich eine dumme Frage, aber Jeder:Lesen ist mir zu unspezifisch und das will ich vermeiden.
Grüße
lcer
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 612284
Url: https://administrator.de/forum/berechtigungen-fuer-quelldateizugriff-bei-msi-installation-ueber-gpo-und-bei-gpp-dateien-612284.html
Ausgedruckt am: 15.04.2025 um 17:04 Uhr
5 Kommentare
Neuester Kommentar
Damit ein Computerkonto Zugriff auf Ressourcen wie Shares bekommen kann müssen die Computerkonten auch in den Share-ACLs sowie den NTFS ACLs zumindest Lese-Zugriff erhalten.
Die dafür möglichen Principals sind folgende
Die dafür möglichen Principals sind folgende
- Authentifizierte Benutzer (Beinhaltet jegliche Objekte der Domäne welche sich gegenüber der Domäne legitimiert haben, also auch Computerkonten)
- Domänen Computer (enthalten per Default alle Computerkonten der Domäne)
- Jede angelegte Gruppe die die Computer-Accounts der Domäne beinhaltet
- Einzelne Domänen-Computerkonten
Hallo,
Nur - Ist "Local System" das Computerkonto - und werden die Computer-GPPs bzw. die MSI-Intallation im Computercontext von diesem Konto durchgeführt?
Grüße
lcer
Zitat von @146189:
Damit ein Computerkonto Zugriff auf Ressourcen wie Shares bekommen kann müssen die Computerkonten auch in den Share-ACLs sowie den NTFS ACLs zumindest Lese-Zugriff erhalten.
Die dafür möglichen Principals sind folgende
Der Punkt ist mit klar.Damit ein Computerkonto Zugriff auf Ressourcen wie Shares bekommen kann müssen die Computerkonten auch in den Share-ACLs sowie den NTFS ACLs zumindest Lese-Zugriff erhalten.
Die dafür möglichen Principals sind folgende
- Authentifizierte Benutzer (Beinhaltet jegliche Objekte der Domäne welche sich gegenüber der Domäne legitimiert haben, also auch Computerkonten)
- Domänen Computer (enthalten per Default alle Computerkonten der Domäne)
- Jede angelegte Gruppe die die Computer-Accounts der Domäne beinhaltet
- Einzelne Domänen-Computerkonten
Nur - Ist "Local System" das Computerkonto - und werden die Computer-GPPs bzw. die MSI-Intallation im Computercontext von diesem Konto durchgeführt?
Grüße
lcer
Nur das auf dem System lokale Computerkonto wo es angegeben wird.
Das Konto in den ACLs angeben bringt dir nichts, das steht nur für das System auf dem du dich gerade befindest.
Das Konto in den ACLs angeben bringt dir nichts, das steht nur für das System auf dem du dich gerade befindest.
- und werden die Computer-GPPs bzw. die MSI-Intallation im Computercontext von diesem Konto durchgeführt?
Ja, Local System führt den Prozess lokal auf dem System aus und legitimiert sich gegenüber dem Server mit seiner Computer SiD bzw. dem Machine-Token das er bei der Legitimation an der Domäne erhalten hat.
Hallo,
OK, dann also das Computerkonto (oder eine Gruppe in der das enthalten ist) in die ACLs und es sollte gehen.
Danke
Grüße
lcer
OK, dann also das Computerkonto (oder eine Gruppe in der das enthalten ist) in die ACLs und es sollte gehen.
Danke
Grüße
lcer
Jepp (Share Permissions neben den NTFS ACLs nicht vergessen)
