gelöst Skript per GPO bei Anmeldung ausführen - Zugriff verweigert

Mitglied: Rattical84

Rattical84 (Level 1) - Jetzt verbinden

15.05.2019 um 23:52 Uhr, 1136 Aufrufe, 12 Kommentare

Hallo,

ich möchte eine GPO erstellen, die bei jeder Benutzeranmeldung ein Skript ausführt. Ich habe mir dazu mehrere Anleitungen angesehen, jede beinhaltet, das entsprechende Skript an einen bestimmten Ordner zu verschieben, der zur entsprechenden Policy gehört:
\\FQDN\SYSVOL\FQDN\policies\<GUID>\user\scripts\logon
Genau diesen Schritt kann ich aber nicht durchführen, da immer die Meldung kommt, dass ich keine Berechtigungen für diesen Ordner bekomme. Ich bekomme nicht mal die Gelegenheit, mich zu authentifizieren. Und ja, ich bin Domänenadmin und in der Gruppe, der der Ordner gehört. Berechtigungen oder Besitzer ändern geht auch nicht, da ich nicht die Rechte habe. Wenn ich aber die Sicherheitseinstellungen ansehe, müsste ich EIGENTLICH Vollzugriff haben.
Kann mir hier jemand weiterhelfen?

Danke schonmal.
LG Ratte
Mitglied: certifiedit.net
16.05.2019 um 01:49 Uhr
Hallo,

sysvol policy war, ist und wird nie per Share Zugriff schreibbar, wenn musst du per lokaler Ordnerebene zugreifen...

Viele Grüße,

Christian
certifiedit.net
Bitte warten ..
Mitglied: emeriks
16.05.2019 um 08:24 Uhr
Zitat von certifiedit.net:
sysvol policy war, ist und wird nie per Share Zugriff schreibbar, wenn musst du per lokaler Ordnerebene zugreifen...
Sorry, aber das ist Quatsch. Selbstverständlich geht das. Es sein denn, Du meinst tatsächlich "sysvol policy", denn sowas gibt es nicht per default. Aber davon schreibt der TO ja gar nichts.
Bitte warten ..
Mitglied: erikro
16.05.2019, aktualisiert um 08:41 Uhr
Moin,

Zitat von Rattical84:
ich möchte eine GPO erstellen, die bei jeder Benutzeranmeldung ein Skript ausführt. Ich habe mir dazu mehrere Anleitungen angesehen, jede beinhaltet, das entsprechende Skript an einen bestimmten Ordner zu verschieben, der zur entsprechenden Policy gehört:
\\FQDN\SYSVOL\FQDN\policies\<GUID>\user\scripts\logon

Echt? Komische Anleitungen. Das habe ich noch nie gemacht. Die kommen schon immer in die Domainfreigabe NETLOGON und gut ist. Ansonsten kannst Du sie auch an jedem beliebigen anderen Ort ablegen, der für den Client bzw. den User lesbar ist und mit der vollen Pfadangabe aus Sicht des Clients. Der Vorteil von NETLOGON ist halt, dass Start-/Stop-/Logon- und Logoffskripts dann ohne Pfad angegeben werden können.

hth

Erik
Bitte warten ..
Mitglied: emeriks
16.05.2019, aktualisiert um 08:38 Uhr
Hi,
Zitat von Rattical84:
... beinhaltet, das entsprechende Skript an einen bestimmten Ordner zu verschieben, der zur entsprechenden Policy gehört:
\\FQDN\SYSVOL\FQDN\policies\<GUID>\user\scripts\logon
Genau diesen Schritt kann ich aber nicht durchführen, da immer die Meldung kommt, dass ich keine Berechtigungen für diesen Ordner bekomme.
Ich nehme an, "FQDN" ist hier der FQDN der AD-Domäne?

Das müsste jedoch funktionieren. Ich arbeite sehr viel damit. Ich könnte mir jetzt folgende Sachen vorstellen:
  • Da sind mehrere DC in der Domäne und nicht alle haben automatisch die Freigabe "SYSVOL" erstellt. Das tun sie nur, wenn sie sich selbst als voll funktionstüchtig einstufen. Wenn das also zutreffen sollte, dann hat min. ein DC ein Problem.
  • Du greifst von einem Standalone-Computer auf die Freigabe zu un im DNS stehen für diese Domäne noch andere (veraltete) Server drin. (A-Records ohne Namen direkt in der Root der DNS-Zone (-Domäne) ("identisch mit ....")
  • Der DFS-Dienst läuft nicht auf allen DC's

Kommst Du denn überhaupt auf ...?
- \\FQDN\SYSVOL
- \\FQDN\SYSVOL\FQDN
- \\FQDN\SYSVOL\FQDN\policies
- \\FQDN\SYSVOL\FQDN\policies\<GUID>
- \\FQDN\SYSVOL\FQDN\policies\<GUID>\user
- \\FQDN\SYSVOL\FQDN\policies\<GUID>\user\scripts
- \\FQDN\SYSVOL\FQDN\policies\<GUID>\user\scripts\logon
Hübsch der Reihe nach durchhangeln.

Wenn z.B. erst der <GUID>-Ordner fehlt, dann hast Du hier höchstwahrscheinlich ein Replikationsproblem im SYSVOL. Wo wir bei der nächsten Frage wären: Replikation über NtFRS oder DFS-R?

E.
Bitte warten ..
Mitglied: emeriks
16.05.2019 um 08:35 Uhr
Zitat von erikro:
Echt? Komische Anleitungen. Das habe ich noch nie gemacht. Die kommen schon immer in die Domainfreigabe NETLOGON und gut ist.
Was ist daran komisch? Das ist vollkommen normal. Man muss sich nur über den Unterschied bewusst sein.

Wenn man die Startup-, Shutdown-, Login- und Logoff-Scripte in ihren Standardpfaden innerhalb der GPO-Pfade belässt, dann hat man geregelt, dass nur jemand, der/die GPO bearbeiten darf auch diese Scripte bearbeiten darf.

Wenn man die Script hingegen von einem anderen Ort aus startet, dann regelt man das Änder-Recht für diese Scripte unabhängig vom Änder-Recht für die GPO. Und sowas kann u.U. definitiv nicht gewollt sein.
Bitte warten ..
Mitglied: emeriks
16.05.2019 um 08:36 Uhr
Zitat von erikro:
... an jedem beliebigen anderen Ort ablegen, der für den Client lesbar ist
Login-Scripte muss der Client nicht lesen können, nur der Benutzer.
mit der vollen Pfadangabe aus Sicht des Clients.
Das ist korrekt.
Bitte warten ..
Mitglied: erikro
16.05.2019 um 08:39 Uhr
Moin,

Zitat von emeriks:

Zitat von erikro:
Echt? Komische Anleitungen. Das habe ich noch nie gemacht. Die kommen schon immer in die Domainfreigabe NETLOGON und gut ist.
Was ist daran komisch? Das ist vollkommen normal. Man muss sich nur über den Unterschied bewusst sein.

Das klang für mich beim TO so, als ob die Anleitungen beschreiben, dass das zwingend notwendig sei. Das wäre dann komisch.

Wenn man die Startup-, Shutdown-, Login- und Logoff-Scripte in ihren Standardpfaden innerhalb der GPO-Pfade belässt, dann hat man geregelt, dass nur jemand, der/die GPO bearbeiten darf auch diese Scripte bearbeiten darf.

Wenn man die Script hingegen von einem anderen Ort aus startet, dann regelt man das Änder-Recht für diese Scripte unabhängig vom Änder-Recht für die GPO. Und sowas kann u.U. definitiv nicht gewollt sein.

Da hast Du recht. In sehr großen Umgebungen mit ausdifferenzierter Administration macht das Sinn. In kleineren Umgebungen, in denen ein oder einige wenige Admins alles machen, ist es m. E. eher sinnvoll, die Skripts an einer zentralen Stelle zu speichern, weil man sie dann leichter findet.

Liebe Grüße

Erik
Bitte warten ..
Mitglied: erikro
16.05.2019 um 08:40 Uhr
Zitat von emeriks:

Zitat von erikro:
... an jedem beliebigen anderen Ort ablegen, der für den Client lesbar ist
Login-Scripte muss der Client nicht lesen können, nur der Benutzer.

Ja, hast recht. Ist korrigiert.
Bitte warten ..
Mitglied: Rattical84
16.05.2019 um 09:27 Uhr
Hallo,

also zunächst mal - hätt ich vielleicht vorher machen sollen - das sind zwei der Anleitungen, die ich gefunden habe, und die das beide erwähnen.
https://www.websense.com/content/support/library/web/v78/logon_agent/la_ ...
https://www.windowspro.de/wolfgang-sommergut/login-scripts-ueber-gpos-us ... (der relevante Teil geht ab etwa der Mitte der Seite los)

@emeriks: Ja, es ist der FQDN der AD-Domäne gemeint. Es gibt nur einen DC. Ich kann sämtliche Ordner der Struktur öffnen (das geht eh indem man auf den Button für "Dateien anzeigen" klickt). Ich habe aber überall nur Lesezugriff.

@erikro: Ob das jetzt zwingend so gemacht werden muss, weiß ich nicht. Aber da die Anleitungen halt alle diesen Schritt beinhalten, und ich nicht so erfahren bin, was die Gruppenrichtlinien betrifft, muss ich davon ausgehen, dass es so gemacht werden muss.

Ich hatte das schon oft genug, dass bestimmte Dateien an vorgegebenen Orten gespeichert werden müssen, da es sonst z.B. zu Zugriffsproblemen kommt, insofern würde mich das nicht überraschen. Wenn das letztendlich für die Funktionsfähigkeit egal ist, wo ich das Skript speichere, packe ich es einfach in ein zentrales Verzeichnis. Ich versteh das richtig, dass ich dieses Verzeichnis dann freigeben, und in die GP den Netzwerkpfad zum Skript \\Server\...\ eingeben muss?
Bitte warten ..
Mitglied: erikro
16.05.2019 um 09:53 Uhr
Moin,

nimm die Freigabe NETLOGON der Domain, um die Skripte abzulegen, wenn Du sie zentral verwalten willst.

hth

Erik
Bitte warten ..
Mitglied: emeriks
LÖSUNG 16.05.2019 um 10:15 Uhr
Zitat von Rattical84:
Ich kann sämtliche Ordner der Struktur öffnen
Gut, dann habe ich das wohl falsch verstanden. Das Problem ist also nicht, dass Du nicht an diesen Ordner kommst, sondern dass Du da eine Datei nicht hinein verschieben kannst. (Wie Du eingangs schreibst.)

Ich vermute, Du kannst diese Datei nicht verschieben, weil UAC Dir dazwischen funkt. Die Berechtigungen für diese Datei an der Quelle wirst Du nur über eine der Standard-Gruppen "Administratoren" oder "Domänen-Admins" haben. Und da gibt es dann Probeme mit dem Explorer.

Ich würde versuchen:
  • Kannst Du diese Datei kopieren?
  • Kannst Du diese Datei in einer voll elevierten CMD ("als Administrator ausführen") mit dem MOVE-Befehl verschieben?
Bitte warten ..
Mitglied: Rattical84
16.05.2019, aktualisiert um 16:30 Uhr
Danke @emeriks, das hat funktioniert. Ich habs mit einer elevierten CMD und MOVE versucht, da gings dann. Kopieren ging übrigens auch nicht.

Das Skript ist jetzt in dem Ordner, wo es laut Anleitungen sein sollte.
Vielen Dank an alle für eure Zeit.

LG Ratte
Bitte warten ..
Heiß diskutierte Inhalte
Sicherheit
Unbefugtes Öffnen zählt nicht als Einbruch
certifiedit.netInformationSicherheit19 Kommentare

Moin, wenn wir das auf die IT übertragen dürfte kaum ein Einbruch etc unter Einbruch zu definieren sein, immerhin ...

Ausbildung
MCSA Kurs Server 2016 mit VM Jobchancen
gelöst IntershipFrageAusbildung17 Kommentare

Hallo Leute, dies ist eine dringende Frage für mich, da ich gerne einen MCSA Kurs belegen möchte. Ich brauche ...

DSL, VDSL
Glasfaser Neuvertrag möglich, bei bereits vorhandenem alten Telefonvertrag im Haus?
gelöst nioletFrageDSL, VDSL15 Kommentare

Hi Könnte eigentlich im gleichen Haus ein neuer Glasfaservertrag abgeschlossen werden, sagen wir mal auf Stockwerk 0, wenn bereits ...

Exchange Server
Zustellbestätigung deaktivieren
defiant01FrageExchange Server15 Kommentare

Hallo, ich stehe vor der Aufgabe bei einem Postfach die Zustellbestätigung für eingehende Mails zu deaktivieren. Der User geht ...

Netzwerke
SonicWall VPN - Windows top - Mac flopp
MazenauerFrageNetzwerke12 Kommentare

Grüezi und hallo Vorgeschichte, das Übliche: Marketingfirma. Corona. Homeoffice. Soweit so normal, nur scheinen die iMacs irgendein Problem mit ...

Peripheriegeräte
Kaufberatung 32" Monitor mit WQHD Auflösung
gelöst GrueneSosseMitSpeckFragePeripheriegeräte11 Kommentare

Ich wollt mir einen 32" Monitor als 16:9 zulegen, 2560x1440 Pixel (WQHD). muß kein Ultrawide mit 21:9 und curved ...

Ähnliche Inhalte
Batch & Shell
Batch Skript Move - Zugriff verweigert
gelöst newit1FrageBatch & Shell2 Kommentare

Hallo, will alle Dateien von H:\Neuer Ordner nach C:\Users\myuser\Desktop verschieben. Fehlermeldung: Zugriff verweigert. Wenn ich die Aktion von Hand ...

Windows Netzwerk

Datei per GPO kopieren - Zugriff Verweigert

gelöst erwin.tFrageWindows Netzwerk3 Kommentare

Hallo zusammen, ich wollte dieses Thema nochmal aufgreifen, da ich bisher keinen Beitrag finden konnte, der genau mein Problem ...

Windows Server

Zugriff verweigert (Sicherheitsfilterung)

n0cturneFrageWindows Server9 Kommentare

Hallo zusammen, seit kurzem habe ich das Problem, dass GPOs, die sich auf Clients anwende, nicht mehr greifen. Mein ...

Festplatten, SSD, Raid

Netzlaufwerk - Zugriff verweigert

Jannis92FrageFestplatten, SSD, Raid2 Kommentare

Moin Administratoren, ich habe ein Problem mit unserem Share-Laufwerk und benötige mal einen kleinen Denkanstoß. Wir stellen auf unserem ...

Windows Server

Fehler bei der Anmeldung des Diensts "Gruppenrichtlinienclient" - Zugriff verweigert

BillTorvaldsFrageWindows Server3 Kommentare

Moin zusammen, beim Starten einer RemoteApp kommt folgender Fehler: Fehler bei der Anmeldung des Diensts "Gruppenrichtlinienclient" - Zugriff verweigert ...

Windows Server

GPO wird teilweise nicht angewandt. GPResult -R Zugriff verweigert

SchroediFrageWindows Server8 Kommentare

Hallo zusammen, wir haben in unserer Umgebung die Folder Redirection per Standard für jeden User aktiviert. Einige Clients sind ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT