83319
10.11.2009, aktualisiert um 10:39:24 Uhr
5973
19
0
Group Policy Objects
Moin Moin,
Hallo Leute, habe folgendes Problem:
Ich musste einer bestimmten Gruppe von Usern Rechte auf einem Ordner bei uns im NW geben und aus eben diesem Ordner mittels Batchfile eine Verknüpfung auf
dem Desktop der User erstellen. Alles soweit kein Problem, Batchfile geschrieben, Ordnerberechtigungen gesetzt.
So, das Batchfile funktionierte unter meinem Account anstandslos, die Verknüpfung erschien wunderbar auf dem Desktop, aber bei den anderen Usern die diese Verknüpfung auch
bekommen sollten passierte nicht. waren alle in der selben Sicherheitsgruppe, habe das ganze dann mittels Group Policy Results und Group Policy Modeling überprüft, in beiden war diese GPO bei den jeweiligen rechner als Apllied drinnen.
Nachdem das icht funktioniert hat, hab ich mittels Group Policy Results und Group Policy Modeling meine GPO überprüft und bei beiden war sie als Applied drinnen.
So nun meine Fragen:
1. Kann es sein das mir da irgendeine Sicherheitseinstellung das Verhindert das diese GPO ausgeführt wird ?
2. Müssen alle Loginscripts am Selben Speicherort sein oder ist das egal wo die abgespeichert werden??
Danke schon mal im Vorhinein
Hallo Leute, habe folgendes Problem:
Ich musste einer bestimmten Gruppe von Usern Rechte auf einem Ordner bei uns im NW geben und aus eben diesem Ordner mittels Batchfile eine Verknüpfung auf
dem Desktop der User erstellen. Alles soweit kein Problem, Batchfile geschrieben, Ordnerberechtigungen gesetzt.
So, das Batchfile funktionierte unter meinem Account anstandslos, die Verknüpfung erschien wunderbar auf dem Desktop, aber bei den anderen Usern die diese Verknüpfung auch
bekommen sollten passierte nicht. waren alle in der selben Sicherheitsgruppe, habe das ganze dann mittels Group Policy Results und Group Policy Modeling überprüft, in beiden war diese GPO bei den jeweiligen rechner als Apllied drinnen.
Nachdem das icht funktioniert hat, hab ich mittels Group Policy Results und Group Policy Modeling meine GPO überprüft und bei beiden war sie als Applied drinnen.
So nun meine Fragen:
1. Kann es sein das mir da irgendeine Sicherheitseinstellung das Verhindert das diese GPO ausgeführt wird ?
2. Müssen alle Loginscripts am Selben Speicherort sein oder ist das egal wo die abgespeichert werden??
Danke schon mal im Vorhinein
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 129008
Url: https://administrator.de/contentid/129008
Ausgedruckt am: 25.11.2024 um 13:11 Uhr
19 Kommentare
Neuester Kommentar
Warum machst du den 2. Schritt vor dem Ersten?
Was passiert, wenn du das Batch-Script unter einem der User-Accs manuell startest und mit
Was passiert, wenn du das Batch-Script unter einem der User-Accs manuell startest und mit
pause abfängst?
Moin,
1. -> wenn sie "applied", wurde sie auch angewandt
2. nein, müssen sie nicht. ja, ist egal solange "Jeder" zumindest leserechte hat.
Die Frage ist auch wie deine batch aussieht. evtl liegt da das problem.
lg,
Slainte
1. -> wenn sie "applied", wurde sie auch angewandt
2. nein, müssen sie nicht. ja, ist egal solange "Jeder" zumindest leserechte hat.
Die Frage ist auch wie deine batch aussieht. evtl liegt da das problem.
lg,
Slainte
wenn ich das batchfile unter dem User-Accs ausführen möchte bekomm ich nur zugriff verweigert und mit strg+c kommt dann batchvorgang abgebrochen
wie meinst du das den, 2. Schritt vor dem ersten ??
wie meinst du das den, 2. Schritt vor dem ersten ??
Moin wiesi222,
1. Ja das kann durchaus sein. In der Grupenrichtlinienverwaltung unter der entsprechenden Gruppenrichtlinie gibt es den Punkt "Delegierung".
Wenn dort für die Benutzer der Punkt "Verweigern" eingetragen ist, wird die GP nicht angewendet.
2. Ja und zwar im Sysvol Verzeichnis (C:\Windows\SYSVOL) sofern du eine Standard Installation laufen hast.
Ich vermute du hast das Skript im AD in den Eigenschaften der Benutzer hinterlegt oder wie führst du es aus?
1. Ja das kann durchaus sein. In der Grupenrichtlinienverwaltung unter der entsprechenden Gruppenrichtlinie gibt es den Punkt "Delegierung".
Wenn dort für die Benutzer der Punkt "Verweigern" eingetragen ist, wird die GP nicht angewendet.
2. Ja und zwar im Sysvol Verzeichnis (C:\Windows\SYSVOL) sofern du eine Standard Installation laufen hast.
Ich vermute du hast das Skript im AD in den Eigenschaften der Benutzer hinterlegt oder wie führst du es aus?
das habe ich auch gedacht, das wenn sie applied sind auch angewandt, aber wie schon gesagt, das was das batchfile ausführen bzw. machen sollte passiert nicht, sprich kein icon am desktop
Zitat von @SlainteMhath:
2. nein, müssen sie nicht. ja, ist egal solange
"Jeder" zumindest leserechte hat.
2. nein, müssen sie nicht. ja, ist egal solange
"Jeder" zumindest leserechte hat.
Da würde ich dir gerne wiedersprechen. Es ist nicht egal wo die Skripte liegen. Es kommt darauf an ob die Batch im AD hinterlegt wurde oder ob innerhalb der Batch Datei auf den Ordner verwiesen wird wo Sie liegt.
Zitat von @83319:
wenn ich das batchfile unter dem User-Accs ausführen möchte
bekomm ich nur zugriff verweigert und mit strg+c kommt dann
batchvorgang abgebrochen
Ok, dann ist jetzt der Zeitpunkt wo Du uns das Batchfile zeigen musst wenn ich das batchfile unter dem User-Accs ausführen möchte
bekomm ich nur zugriff verweigert und mit strg+c kommt dann
batchvorgang abgebrochen
Wo wird die BAtch gestartet? Logon oder Startup?
moin komabaer
habe das script auf unseren Fileserver gelegt, und von diesem aus beim GPO Editor bei windows/Logonscripts eingefügt
habe das script auf unseren Fileserver gelegt, und von diesem aus beim GPO Editor bei windows/Logonscripts eingefügt
wenn ich das batchfile unter dem User-Accs ausführen möchte bekomm ich nur zugriff verweigert
Ähhhmm...also mal ganz langsam: Du kannst die Batch-Datei nicht mal manuell beim Benutzer ausführen, aber du suchst das Problem bei der Anwendung der GPO? Oo
@ Komabaer:
/EDIT:
In einer GPO kann ich bei Logon/Logoff/Startup/Shutdown jeglichen UNC Pfad angeben der für SYSTEM/Jeder bzw. den angemeldeten User erreichbar und einsehbar ist.
Da würde ich dir gerne wiedersprechen.
kannst Du gern, deswegen hab' ich aber trotzdem recht /EDIT:
Ich vermute du hast das Skript im AD in den Eigenschaften der Benutzer hinterlegt oder wie führst du es aus?
Per GPO, steht doch da In einer GPO kann ich bei Logon/Logoff/Startup/Shutdown jeglichen UNC Pfad angeben der für SYSTEM/Jeder bzw. den angemeldeten User erreichbar und einsehbar ist.
batchfile wird über logon gestartet, aber wie gesagt, bei meinem Account funktioniert das ja !!
Drum eben mein Verdacht der Rechte, denn wenn ich meine Adminrechre weggebe und mich in die gleicher Gruppe gebe auf die dieses File dann effetktiv greifen soll, passiert auch bei mir nichts
Drum eben mein Verdacht der Rechte, denn wenn ich meine Adminrechre weggebe und mich in die gleicher Gruppe gebe auf die dieses File dann effetktiv greifen soll, passiert auch bei mir nichts
ja, das ist ja das komische, bei meinem User ACC geht das ding, nur eben nicht bei den UserACC´s für die es gedacht ist.
Dann solltest du überprüfen ob die Benutzer auf dem Verzeichnis in dem die Datei liegt über Zugriffsrechte verfügen. Das Leserecht reicht da im Allgemeinen aus und das Verzeichnis muss im Netzwerk über eine Freigabe verfügen.
Ok, ich fass' nochmal zusammen:
1. Die GPO wurde lt. gpresult angewandt
2. Die Batch läuft als Admin
3. Als User ausgeführt bringt die Batch ein "Access denied", und/oder lässt sich per STRG-C abbrechen
Fazit:
ZEIG UNS DIE BATCH der Fehler liegt hier, nicht an der GPO
oder alternativ:
Prüfe ob der ausführende User Lese/Schreibrechte auf alle beteiligten Verzueichnisse/Dateien hat - es geht schliesslich um einen Kopiervorgang.
1. Die GPO wurde lt. gpresult angewandt
2. Die Batch läuft als Admin
3. Als User ausgeführt bringt die Batch ein "Access denied", und/oder lässt sich per STRG-C abbrechen
Fazit:
ZEIG UNS DIE BATCH
der Fehler liegt hier, nicht an der GPOoder alternativ:
Prüfe ob der ausführende User Lese/Schreibrechte auf alle beteiligten Verzueichnisse/Dateien hat - es geht schliesslich um einen Kopiervorgang.
Zitat von @SlainteMhath:
@ Komabaer:
> Da würde ich dir gerne wiedersprechen.
kannst Du gern, deswegen hab' ich aber trotzdem recht
@ Komabaer:
> Da würde ich dir gerne wiedersprechen.
kannst Du gern, deswegen hab' ich aber trotzdem recht
Jo hast du, allerdings ging das aus deiner Antwort so nicht heraus ;o)
> Ich vermute du hast das Skript im AD in den Eigenschaften der
Benutzer hinterlegt oder wie führst du es aus?
Per GPO, steht doch da
Benutzer hinterlegt oder wie führst du es aus?
Per GPO, steht doch da
Habe ich dann auch bemerkt
In einer GPO kann ich bei Logon/Logoff/Startup/Shutdown jeglichen UNC
Pfad angeben der für SYSTEM/Jeder bzw. den angemeldeten User
erreichbar und einsehbar ist.
Pfad angeben der für SYSTEM/Jeder bzw. den angemeldeten User
erreichbar und einsehbar ist.
Ja da gebe ich dir recht, nur war deine erste Antwort nicht ganz so ausführlich :o)
Und wo wir beide uns einig sind auch nur unter der Vorraussetzung das die Benutzer auf dem Ordner wo die Skripte liegen über Lese-/Schreibrechte verfügen
so, habe mittlerweile nach einigen Versuchen mal das Problem identifiziert:
es dürfte in diesem Fall defintiv ein Rechte Problem sein, habe gerade einen der User in die Gruppe der Administratoren aufgenommen und siehe da, das Batchfile macht das was es machen soll.
So, nun stehe ich vor einem neuen Problem, da ich ja das NW nicht eingerichtet habe, hab ich keinen blassen schimmer welche GPO mir das verhindert.
weiss irgendwer, wie man das GPO technisch bechränken kann, das bei einem "Normaluser" keine Batchfiles ausgeführt werden !!
es dürfte in diesem Fall defintiv ein Rechte Problem sein, habe gerade einen der User in die Gruppe der Administratoren aufgenommen und siehe da, das Batchfile macht das was es machen soll.
So, nun stehe ich vor einem neuen Problem, da ich ja das NW nicht eingerichtet habe, hab ich keinen blassen schimmer welche GPO mir das verhindert.
weiss irgendwer, wie man das GPO technisch bechränken kann, das bei einem "Normaluser" keine Batchfiles ausgeführt werden !!
so, habe mittlerweile nach einigen Versuchen mal das Problem identifiziert:
es dürfte in diesem Fall defintiv ein Rechte Problem sein, habe gerade einen der User in die Gruppe der Administratoren aufgenommen und siehe da, das Batchfile macht das was es machen soll.
So, nun stehe ich vor einem neuen Problem, da ich ja das NW nicht eingerichtet habe, hab ich keinen blassen schimmer welche GPO mir das verhindert.
weiss irgendwer/du, wie man das GPO technisch bechränken kann, das bei einem "Normaluser" keine Batchfiles ausgeführt werden !!
es dürfte in diesem Fall defintiv ein Rechte Problem sein, habe gerade einen der User in die Gruppe der Administratoren aufgenommen und siehe da, das Batchfile macht das was es machen soll.
So, nun stehe ich vor einem neuen Problem, da ich ja das NW nicht eingerichtet habe, hab ich keinen blassen schimmer welche GPO mir das verhindert.
weiss irgendwer/du, wie man das GPO technisch bechränken kann, das bei einem "Normaluser" keine Batchfiles ausgeführt werden !!
(ok, das ist jetzt mein letzter post zu dem thema)
Check alle beteiligten Pfade+Dateien!
Um mich zu wiederholen: Prüfe ob der ausführende User Lese/Schreibrechte auf alle beteiligten Verzueichnisse/Dateien hat - es geht schliesslich um einen Kopiervorgang.
es dürfte in diesem Fall defintiv ein Rechte Problem sein, habe gerade einen der User in die Gruppe der Administratoren aufgenommen
ja aber die Frage ist doch: WO!Check alle beteiligten Pfade+Dateien!
hab ich keinen blassen schimmer welche GPO mir das verhindert.
KEINE! das liegt an Datei/Verzeichnis-rechten!Um mich zu wiederholen: Prüfe ob der ausführende User Lese/Schreibrechte auf alle beteiligten Verzueichnisse/Dateien hat - es geht schliesslich um einen Kopiervorgang.
weiss irgendwer/du, wie man das GPO technisch bechränken ....
Du kannst nur die Ausführung im ganzen verhindern.
berechtigungen sind alle gesetzt,
das problem liegt im Copy Befehl, muss jetzt nur noch rausfinden wie ich diesen als Admin ausführe
das problem liegt im Copy Befehl, muss jetzt nur noch rausfinden wie ich diesen als Admin ausführe
