eastfrisian
Goto Top

Msra.exe - keine Berechtigung mehr, weil kein Domänen-Admin?

Hallo zusammen!
Wir nutzen seit einigen Jahren bereits intern das Tool msra.exe für die Remoteunterstützung unserer Benutzer.

Ein Benutzer der bisher "Domänenadministrator" war, wurde zu einem normalen Benutzer heruntergestuft, da dieser natürlich nicht permanent als Domänenadministrator auf seinem PC angemeldet sein soll.

Nun kann dieser Benutzer jedoch keine Hilfe mehr über msra.exe/offerra anbieten, da Windows dies gleich mit einer Fehlermeldung quittiert:

"Das Unterstützungsangebot konnte nicht gesendet werden

- Berechtigungen?
- Remotecomputer eingeschaltet?
- Netzwerkproblem?"

Die Konfiguration von msra haben wir seinerzeit jedoch nicht auf Domänenadmins konfiguriert, sondern auf eine gesonderte Sicherheitsgruppe im AD: "IT-Helper".
Der angesprochene Benutzer ist auch weiterhin Mitglied dieser Gruppe.

Auch ein manuelles definieren des Benutzers als "Helfer" in der Gruppenrichtlinie hilft leider nicht. Es ist keine Verbindung möglich.

Jemand eine Idee??

Content-ID: 608346

Url: https://administrator.de/contentid/608346

Ausgedruckt am: 23.11.2024 um 04:11 Uhr

Marabunta
Marabunta 28.09.2020 um 11:12:47 Uhr
Goto Top
VGem-e
VGem-e 28.09.2020 um 12:46:20 Uhr
Goto Top
Servus,

ich hatte das mal, dass eine Antivirus-Software dies blockiert hatte.

Evtl. auch @to??

Gruß
KowaKowalski
KowaKowalski 28.09.2020 aktualisiert um 13:46:43 Uhr
Goto Top
Zitat von @eastfrisian:
Nun kann dieser Benutzer jedoch keine Hilfe mehr über msra.exe/offerra anbieten, da Windows dies gleich mit einer Fehlermeldung quittiert:

Hi,

da fehlt eine Leerstelle nach exe!
msra.exe/offerra (falsch)
msra.exe /offerra (richtig)


mfg
kowa
DerWoWusste
DerWoWusste 28.09.2020 aktualisiert um 13:57:25 Uhr
Goto Top
Auch ohne Leerzeichen kämen diese Fehler nicht, somit hat er es nur im Text falsch wiedergegeben.

@eastfrisian
Teste es als Domänenadmin (zu deiner eigenen vertrauten Workstation hin) - geht das überhaupt noch?
eastfrisian
eastfrisian 28.09.2020 aktualisiert um 14:02:07 Uhr
Goto Top
Ja, geht.

Zu einigen Clients hin scheint es auch nach wie vor zu klappen. Sehr seltsam alles.

Habe an den - nicht funktionierenden - Clients bereits gpupdate laufen lassen, um hier nicht in die Falle zu tappen - aber leider keine Auswirkung. Zwischenzeitlich hatte ich noch den Benutzer der das msra startet manuell zur Gruppe hinzugefügt.
DerWoWusste
DerWoWusste 28.09.2020 aktualisiert um 14:29:55 Uhr
Goto Top
Du solltest es schon hinbekommen.
Teste, ob Du wirklich Adminrechte remote brauchst, indem du auf einem nichtfunktionierenden Ziel den Supportadmin in die Admingruppe namentlich einträgst (bin da gerade unsicher, ob offerRA Adminrechte remote braucht, oder nur den Policyeintrag)..

Ich würde abseits davon die ganze Methode ändern, siehe mein Artikel: Verwenden von Shadowing für Windows-Benutzerunterstützung und Fernsteuerung