rattical84
Goto Top

Skript per GPO bei Anmeldung ausführen - Zugriff verweigert

Hallo,

ich möchte eine GPO erstellen, die bei jeder Benutzeranmeldung ein Skript ausführt. Ich habe mir dazu mehrere Anleitungen angesehen, jede beinhaltet, das entsprechende Skript an einen bestimmten Ordner zu verschieben, der zur entsprechenden Policy gehört:
\\FQDN\SYSVOL\FQDN\policies\<GUID>\user\scripts\logon
Genau diesen Schritt kann ich aber nicht durchführen, da immer die Meldung kommt, dass ich keine Berechtigungen für diesen Ordner bekomme. Ich bekomme nicht mal die Gelegenheit, mich zu authentifizieren. Und ja, ich bin Domänenadmin und in der Gruppe, der der Ordner gehört. Berechtigungen oder Besitzer ändern geht auch nicht, da ich nicht die Rechte habe. Wenn ich aber die Sicherheitseinstellungen ansehe, müsste ich EIGENTLICH Vollzugriff haben.
Kann mir hier jemand weiterhelfen?

Danke schonmal.
LG Ratte

Content-Key: 451745

Url: https://administrator.de/contentid/451745

Ausgedruckt am: 29.03.2024 um 15:03 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 16.05.2019 um 01:49:36 Uhr
Goto Top
Hallo,

sysvol policy war, ist und wird nie per Share Zugriff schreibbar, wenn musst du per lokaler Ordnerebene zugreifen...

Viele Grüße,

Christian
certifiedit.net
Mitglied: emeriks
emeriks 16.05.2019 um 08:24:13 Uhr
Goto Top
Zitat von @falscher-sperrstatus:
sysvol policy war, ist und wird nie per Share Zugriff schreibbar, wenn musst du per lokaler Ordnerebene zugreifen...
Sorry, aber das ist Quatsch. Selbstverständlich geht das. Es sein denn, Du meinst tatsächlich "sysvol policy", denn sowas gibt es nicht per default. Aber davon schreibt der TO ja gar nichts.
Mitglied: erikro
erikro 16.05.2019 aktualisiert um 08:41:18 Uhr
Goto Top
Moin,

Zitat von @Rattical84:
ich möchte eine GPO erstellen, die bei jeder Benutzeranmeldung ein Skript ausführt. Ich habe mir dazu mehrere Anleitungen angesehen, jede beinhaltet, das entsprechende Skript an einen bestimmten Ordner zu verschieben, der zur entsprechenden Policy gehört:
\\FQDN\SYSVOL\FQDN\policies\<GUID>\user\scripts\logon

Echt? Komische Anleitungen. Das habe ich noch nie gemacht. Die kommen schon immer in die Domainfreigabe NETLOGON und gut ist. Ansonsten kannst Du sie auch an jedem beliebigen anderen Ort ablegen, der für den Client bzw. den User lesbar ist und mit der vollen Pfadangabe aus Sicht des Clients. Der Vorteil von NETLOGON ist halt, dass Start-/Stop-/Logon- und Logoffskripts dann ohne Pfad angegeben werden können.

hth

Erik
Mitglied: emeriks
emeriks 16.05.2019 aktualisiert um 08:38:46 Uhr
Goto Top
Hi,
Zitat von @Rattical84:
... beinhaltet, das entsprechende Skript an einen bestimmten Ordner zu verschieben, der zur entsprechenden Policy gehört:
\\FQDN\SYSVOL\FQDN\policies\<GUID>\user\scripts\logon
Genau diesen Schritt kann ich aber nicht durchführen, da immer die Meldung kommt, dass ich keine Berechtigungen für diesen Ordner bekomme.
Ich nehme an, "FQDN" ist hier der FQDN der AD-Domäne?

Das müsste jedoch funktionieren. Ich arbeite sehr viel damit. Ich könnte mir jetzt folgende Sachen vorstellen:
  • Da sind mehrere DC in der Domäne und nicht alle haben automatisch die Freigabe "SYSVOL" erstellt. Das tun sie nur, wenn sie sich selbst als voll funktionstüchtig einstufen. Wenn das also zutreffen sollte, dann hat min. ein DC ein Problem.
  • Du greifst von einem Standalone-Computer auf die Freigabe zu un im DNS stehen für diese Domäne noch andere (veraltete) Server drin. (A-Records ohne Namen direkt in der Root der DNS-Zone (-Domäne) ("identisch mit ....")
  • Der DFS-Dienst läuft nicht auf allen DC's

Kommst Du denn überhaupt auf ...?
- \\FQDN\SYSVOL
- \\FQDN\SYSVOL\FQDN
- \\FQDN\SYSVOL\FQDN\policies
- \\FQDN\SYSVOL\FQDN\policies\<GUID>
- \\FQDN\SYSVOL\FQDN\policies\<GUID>\user
- \\FQDN\SYSVOL\FQDN\policies\<GUID>\user\scripts
- \\FQDN\SYSVOL\FQDN\policies\<GUID>\user\scripts\logon
Hübsch der Reihe nach durchhangeln.

Wenn z.B. erst der <GUID>-Ordner fehlt, dann hast Du hier höchstwahrscheinlich ein Replikationsproblem im SYSVOL. Wo wir bei der nächsten Frage wären: Replikation über NtFRS oder DFS-R?

E.
Mitglied: emeriks
emeriks 16.05.2019 um 08:35:14 Uhr
Goto Top
Zitat von @erikro:
Echt? Komische Anleitungen. Das habe ich noch nie gemacht. Die kommen schon immer in die Domainfreigabe NETLOGON und gut ist.
Was ist daran komisch? Das ist vollkommen normal. Man muss sich nur über den Unterschied bewusst sein.

Wenn man die Startup-, Shutdown-, Login- und Logoff-Scripte in ihren Standardpfaden innerhalb der GPO-Pfade belässt, dann hat man geregelt, dass nur jemand, der/die GPO bearbeiten darf auch diese Scripte bearbeiten darf.

Wenn man die Script hingegen von einem anderen Ort aus startet, dann regelt man das Änder-Recht für diese Scripte unabhängig vom Änder-Recht für die GPO. Und sowas kann u.U. definitiv nicht gewollt sein.
Mitglied: emeriks
emeriks 16.05.2019 um 08:36:54 Uhr
Goto Top
Zitat von @erikro:
... an jedem beliebigen anderen Ort ablegen, der für den Client lesbar ist
Login-Scripte muss der Client nicht lesen können, nur der Benutzer.
mit der vollen Pfadangabe aus Sicht des Clients.
Das ist korrekt.
Mitglied: erikro
erikro 16.05.2019 um 08:39:54 Uhr
Goto Top
Moin,

Zitat von @emeriks:

Zitat von @erikro:
Echt? Komische Anleitungen. Das habe ich noch nie gemacht. Die kommen schon immer in die Domainfreigabe NETLOGON und gut ist.
Was ist daran komisch? Das ist vollkommen normal. Man muss sich nur über den Unterschied bewusst sein.

Das klang für mich beim TO so, als ob die Anleitungen beschreiben, dass das zwingend notwendig sei. Das wäre dann komisch.

Wenn man die Startup-, Shutdown-, Login- und Logoff-Scripte in ihren Standardpfaden innerhalb der GPO-Pfade belässt, dann hat man geregelt, dass nur jemand, der/die GPO bearbeiten darf auch diese Scripte bearbeiten darf.

Wenn man die Script hingegen von einem anderen Ort aus startet, dann regelt man das Änder-Recht für diese Scripte unabhängig vom Änder-Recht für die GPO. Und sowas kann u.U. definitiv nicht gewollt sein.

Da hast Du recht. In sehr großen Umgebungen mit ausdifferenzierter Administration macht das Sinn. In kleineren Umgebungen, in denen ein oder einige wenige Admins alles machen, ist es m. E. eher sinnvoll, die Skripts an einer zentralen Stelle zu speichern, weil man sie dann leichter findet.

Liebe Grüße

Erik
Mitglied: erikro
erikro 16.05.2019 um 08:40:45 Uhr
Goto Top
Zitat von @emeriks:

Zitat von @erikro:
... an jedem beliebigen anderen Ort ablegen, der für den Client lesbar ist
Login-Scripte muss der Client nicht lesen können, nur der Benutzer.

Ja, hast recht. Ist korrigiert. face-wink
Mitglied: Rattical84
Rattical84 16.05.2019 um 09:27:21 Uhr
Goto Top
Hallo,

also zunächst mal - hätt ich vielleicht vorher machen sollen - das sind zwei der Anleitungen, die ich gefunden habe, und die das beide erwähnen.
https://www.websense.com/content/support/library/web/v78/logon_agent/la_ ...
https://www.windowspro.de/wolfgang-sommergut/login-scripts-ueber-gpos-us ... (der relevante Teil geht ab etwa der Mitte der Seite los)

@emeriks: Ja, es ist der FQDN der AD-Domäne gemeint. Es gibt nur einen DC. Ich kann sämtliche Ordner der Struktur öffnen (das geht eh indem man auf den Button für "Dateien anzeigen" klickt). Ich habe aber überall nur Lesezugriff.

@erikro: Ob das jetzt zwingend so gemacht werden muss, weiß ich nicht. Aber da die Anleitungen halt alle diesen Schritt beinhalten, und ich nicht so erfahren bin, was die Gruppenrichtlinien betrifft, muss ich davon ausgehen, dass es so gemacht werden muss.

Ich hatte das schon oft genug, dass bestimmte Dateien an vorgegebenen Orten gespeichert werden müssen, da es sonst z.B. zu Zugriffsproblemen kommt, insofern würde mich das nicht überraschen. Wenn das letztendlich für die Funktionsfähigkeit egal ist, wo ich das Skript speichere, packe ich es einfach in ein zentrales Verzeichnis. Ich versteh das richtig, dass ich dieses Verzeichnis dann freigeben, und in die GP den Netzwerkpfad zum Skript \\Server\...\ eingeben muss?
Mitglied: erikro
erikro 16.05.2019 um 09:53:43 Uhr
Goto Top
Moin,

nimm die Freigabe NETLOGON der Domain, um die Skripte abzulegen, wenn Du sie zentral verwalten willst.

hth

Erik
Mitglied: emeriks
Lösung emeriks 16.05.2019 um 10:15:14 Uhr
Goto Top
Zitat von @Rattical84:
Ich kann sämtliche Ordner der Struktur öffnen
Gut, dann habe ich das wohl falsch verstanden. Das Problem ist also nicht, dass Du nicht an diesen Ordner kommst, sondern dass Du da eine Datei nicht hinein verschieben kannst. (Wie Du eingangs schreibst.)

Ich vermute, Du kannst diese Datei nicht verschieben, weil UAC Dir dazwischen funkt. Die Berechtigungen für diese Datei an der Quelle wirst Du nur über eine der Standard-Gruppen "Administratoren" oder "Domänen-Admins" haben. Und da gibt es dann Probeme mit dem Explorer.

Ich würde versuchen:
  • Kannst Du diese Datei kopieren?
  • Kannst Du diese Datei in einer voll elevierten CMD ("als Administrator ausführen") mit dem MOVE-Befehl verschieben?
Mitglied: Rattical84
Rattical84 16.05.2019 aktualisiert um 16:30:44 Uhr
Goto Top
Danke @emeriks, das hat funktioniert. Ich habs mit einer elevierten CMD und MOVE versucht, da gings dann. Kopieren ging übrigens auch nicht.

Das Skript ist jetzt in dem Ordner, wo es laut Anleitungen sein sollte.
Vielen Dank an alle für eure Zeit.

LG Ratte