Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Skript per GPO bei Anmeldung ausführen - Zugriff verweigert

Mitglied: Rattical84

Rattical84 (Level 1) - Jetzt verbinden

15.05.2019 um 23:52 Uhr, 243 Aufrufe, 12 Kommentare

Hallo,

ich möchte eine GPO erstellen, die bei jeder Benutzeranmeldung ein Skript ausführt. Ich habe mir dazu mehrere Anleitungen angesehen, jede beinhaltet, das entsprechende Skript an einen bestimmten Ordner zu verschieben, der zur entsprechenden Policy gehört:
\\FQDN\SYSVOL\FQDN\policies\<GUID>\user\scripts\logon
Genau diesen Schritt kann ich aber nicht durchführen, da immer die Meldung kommt, dass ich keine Berechtigungen für diesen Ordner bekomme. Ich bekomme nicht mal die Gelegenheit, mich zu authentifizieren. Und ja, ich bin Domänenadmin und in der Gruppe, der der Ordner gehört. Berechtigungen oder Besitzer ändern geht auch nicht, da ich nicht die Rechte habe. Wenn ich aber die Sicherheitseinstellungen ansehe, müsste ich EIGENTLICH Vollzugriff haben.
Kann mir hier jemand weiterhelfen?

Danke schonmal.
LG Ratte
Mitglied: certifiedit.net
16.05.2019 um 01:49 Uhr
Hallo,

sysvol policy war, ist und wird nie per Share Zugriff schreibbar, wenn musst du per lokaler Ordnerebene zugreifen...

Viele Grüße,

Christian
certifiedit.net
Bitte warten ..
Mitglied: emeriks
16.05.2019 um 08:24 Uhr
Zitat von certifiedit.net:
sysvol policy war, ist und wird nie per Share Zugriff schreibbar, wenn musst du per lokaler Ordnerebene zugreifen...
Sorry, aber das ist Quatsch. Selbstverständlich geht das. Es sein denn, Du meinst tatsächlich "sysvol policy", denn sowas gibt es nicht per default. Aber davon schreibt der TO ja gar nichts.
Bitte warten ..
Mitglied: erikro
16.05.2019, aktualisiert um 08:41 Uhr
Moin,

Zitat von Rattical84:
ich möchte eine GPO erstellen, die bei jeder Benutzeranmeldung ein Skript ausführt. Ich habe mir dazu mehrere Anleitungen angesehen, jede beinhaltet, das entsprechende Skript an einen bestimmten Ordner zu verschieben, der zur entsprechenden Policy gehört:
\\FQDN\SYSVOL\FQDN\policies\<GUID>\user\scripts\logon

Echt? Komische Anleitungen. Das habe ich noch nie gemacht. Die kommen schon immer in die Domainfreigabe NETLOGON und gut ist. Ansonsten kannst Du sie auch an jedem beliebigen anderen Ort ablegen, der für den Client bzw. den User lesbar ist und mit der vollen Pfadangabe aus Sicht des Clients. Der Vorteil von NETLOGON ist halt, dass Start-/Stop-/Logon- und Logoffskripts dann ohne Pfad angegeben werden können.

hth

Erik
Bitte warten ..
Mitglied: emeriks
16.05.2019, aktualisiert um 08:38 Uhr
Hi,
Zitat von Rattical84:
... beinhaltet, das entsprechende Skript an einen bestimmten Ordner zu verschieben, der zur entsprechenden Policy gehört:
\\FQDN\SYSVOL\FQDN\policies\<GUID>\user\scripts\logon
Genau diesen Schritt kann ich aber nicht durchführen, da immer die Meldung kommt, dass ich keine Berechtigungen für diesen Ordner bekomme.
Ich nehme an, "FQDN" ist hier der FQDN der AD-Domäne?

Das müsste jedoch funktionieren. Ich arbeite sehr viel damit. Ich könnte mir jetzt folgende Sachen vorstellen:
  • Da sind mehrere DC in der Domäne und nicht alle haben automatisch die Freigabe "SYSVOL" erstellt. Das tun sie nur, wenn sie sich selbst als voll funktionstüchtig einstufen. Wenn das also zutreffen sollte, dann hat min. ein DC ein Problem.
  • Du greifst von einem Standalone-Computer auf die Freigabe zu un im DNS stehen für diese Domäne noch andere (veraltete) Server drin. (A-Records ohne Namen direkt in der Root der DNS-Zone (-Domäne) ("identisch mit ....")
  • Der DFS-Dienst läuft nicht auf allen DC's

Kommst Du denn überhaupt auf ...?
- \\FQDN\SYSVOL
- \\FQDN\SYSVOL\FQDN
- \\FQDN\SYSVOL\FQDN\policies
- \\FQDN\SYSVOL\FQDN\policies\<GUID>
- \\FQDN\SYSVOL\FQDN\policies\<GUID>\user
- \\FQDN\SYSVOL\FQDN\policies\<GUID>\user\scripts
- \\FQDN\SYSVOL\FQDN\policies\<GUID>\user\scripts\logon
Hübsch der Reihe nach durchhangeln.

Wenn z.B. erst der <GUID>-Ordner fehlt, dann hast Du hier höchstwahrscheinlich ein Replikationsproblem im SYSVOL. Wo wir bei der nächsten Frage wären: Replikation über NtFRS oder DFS-R?

E.
Bitte warten ..
Mitglied: emeriks
16.05.2019 um 08:35 Uhr
Zitat von erikro:
Echt? Komische Anleitungen. Das habe ich noch nie gemacht. Die kommen schon immer in die Domainfreigabe NETLOGON und gut ist.
Was ist daran komisch? Das ist vollkommen normal. Man muss sich nur über den Unterschied bewusst sein.

Wenn man die Startup-, Shutdown-, Login- und Logoff-Scripte in ihren Standardpfaden innerhalb der GPO-Pfade belässt, dann hat man geregelt, dass nur jemand, der/die GPO bearbeiten darf auch diese Scripte bearbeiten darf.

Wenn man die Script hingegen von einem anderen Ort aus startet, dann regelt man das Änder-Recht für diese Scripte unabhängig vom Änder-Recht für die GPO. Und sowas kann u.U. definitiv nicht gewollt sein.
Bitte warten ..
Mitglied: emeriks
16.05.2019 um 08:36 Uhr
Zitat von erikro:
... an jedem beliebigen anderen Ort ablegen, der für den Client lesbar ist
Login-Scripte muss der Client nicht lesen können, nur der Benutzer.
mit der vollen Pfadangabe aus Sicht des Clients.
Das ist korrekt.
Bitte warten ..
Mitglied: erikro
16.05.2019 um 08:39 Uhr
Moin,

Zitat von emeriks:

Zitat von erikro:
Echt? Komische Anleitungen. Das habe ich noch nie gemacht. Die kommen schon immer in die Domainfreigabe NETLOGON und gut ist.
Was ist daran komisch? Das ist vollkommen normal. Man muss sich nur über den Unterschied bewusst sein.

Das klang für mich beim TO so, als ob die Anleitungen beschreiben, dass das zwingend notwendig sei. Das wäre dann komisch.

Wenn man die Startup-, Shutdown-, Login- und Logoff-Scripte in ihren Standardpfaden innerhalb der GPO-Pfade belässt, dann hat man geregelt, dass nur jemand, der/die GPO bearbeiten darf auch diese Scripte bearbeiten darf.

Wenn man die Script hingegen von einem anderen Ort aus startet, dann regelt man das Änder-Recht für diese Scripte unabhängig vom Änder-Recht für die GPO. Und sowas kann u.U. definitiv nicht gewollt sein.

Da hast Du recht. In sehr großen Umgebungen mit ausdifferenzierter Administration macht das Sinn. In kleineren Umgebungen, in denen ein oder einige wenige Admins alles machen, ist es m. E. eher sinnvoll, die Skripts an einer zentralen Stelle zu speichern, weil man sie dann leichter findet.

Liebe Grüße

Erik
Bitte warten ..
Mitglied: erikro
16.05.2019 um 08:40 Uhr
Zitat von emeriks:

Zitat von erikro:
... an jedem beliebigen anderen Ort ablegen, der für den Client lesbar ist
Login-Scripte muss der Client nicht lesen können, nur der Benutzer.

Ja, hast recht. Ist korrigiert.
Bitte warten ..
Mitglied: Rattical84
16.05.2019 um 09:27 Uhr
Hallo,

also zunächst mal - hätt ich vielleicht vorher machen sollen - das sind zwei der Anleitungen, die ich gefunden habe, und die das beide erwähnen.
https://www.websense.com/content/support/library/web/v78/logon_agent/la_ ...
https://www.windowspro.de/wolfgang-sommergut/login-scripts-ueber-gpos-us ... (der relevante Teil geht ab etwa der Mitte der Seite los)

@emeriks: Ja, es ist der FQDN der AD-Domäne gemeint. Es gibt nur einen DC. Ich kann sämtliche Ordner der Struktur öffnen (das geht eh indem man auf den Button für "Dateien anzeigen" klickt). Ich habe aber überall nur Lesezugriff.

@erikro: Ob das jetzt zwingend so gemacht werden muss, weiß ich nicht. Aber da die Anleitungen halt alle diesen Schritt beinhalten, und ich nicht so erfahren bin, was die Gruppenrichtlinien betrifft, muss ich davon ausgehen, dass es so gemacht werden muss.

Ich hatte das schon oft genug, dass bestimmte Dateien an vorgegebenen Orten gespeichert werden müssen, da es sonst z.B. zu Zugriffsproblemen kommt, insofern würde mich das nicht überraschen. Wenn das letztendlich für die Funktionsfähigkeit egal ist, wo ich das Skript speichere, packe ich es einfach in ein zentrales Verzeichnis. Ich versteh das richtig, dass ich dieses Verzeichnis dann freigeben, und in die GP den Netzwerkpfad zum Skript \\Server\...\ eingeben muss?
Bitte warten ..
Mitglied: erikro
16.05.2019 um 09:53 Uhr
Moin,

nimm die Freigabe NETLOGON der Domain, um die Skripte abzulegen, wenn Du sie zentral verwalten willst.

hth

Erik
Bitte warten ..
Mitglied: emeriks
LÖSUNG 16.05.2019 um 10:15 Uhr
Zitat von Rattical84:
Ich kann sämtliche Ordner der Struktur öffnen
Gut, dann habe ich das wohl falsch verstanden. Das Problem ist also nicht, dass Du nicht an diesen Ordner kommst, sondern dass Du da eine Datei nicht hinein verschieben kannst. (Wie Du eingangs schreibst.)

Ich vermute, Du kannst diese Datei nicht verschieben, weil UAC Dir dazwischen funkt. Die Berechtigungen für diese Datei an der Quelle wirst Du nur über eine der Standard-Gruppen "Administratoren" oder "Domänen-Admins" haben. Und da gibt es dann Probeme mit dem Explorer.

Ich würde versuchen:
  • Kannst Du diese Datei kopieren?
  • Kannst Du diese Datei in einer voll elevierten CMD ("als Administrator ausführen") mit dem MOVE-Befehl verschieben?
Bitte warten ..
Mitglied: Rattical84
16.05.2019, aktualisiert um 16:30 Uhr
Danke @emeriks, das hat funktioniert. Ich habs mit einer elevierten CMD und MOVE versucht, da gings dann. Kopieren ging übrigens auch nicht.

Das Skript ist jetzt in dem Ordner, wo es laut Anleitungen sein sollte.
Vielen Dank an alle für eure Zeit.

LG Ratte
Bitte warten ..
Ähnliche Inhalte
Windows Server
GPO Zugriff verweigert 0x80070005
gelöst Frage von xbast1xWindows Server29 Kommentare

Hallo zusammen, seit unsere Daten auf dem Netz inkl. Freigaben auf ein neues Storage übertragen wurden erhalten alle Clients ...

Windows Netzwerk

Datei per GPO kopieren - Zugriff Verweigert

gelöst Frage von erwin.tWindows Netzwerk3 Kommentare

Hallo zusammen, ich wollte dieses Thema nochmal aufgreifen, da ich bisher keinen Beitrag finden konnte, der genau mein Problem ...

Windows Server

GPO Datei kopieren 0x80070005 Zugriff verweigert

gelöst Frage von xbast1xWindows Server3 Kommentare

Hallo zusammen, ich bin gerade dabei unsere GPO's zu sichten und zu bereinigen. Mir ist aufgefallen, dass bei einer ...

Windows Server

Zugriff verweigert (Sicherheitsfilterung)

Frage von n0cturneWindows Server9 Kommentare

Hallo zusammen, seit kurzem habe ich das Problem, dass GPOs, die sich auf Clients anwende, nicht mehr greifen. Mein ...

Neue Wissensbeiträge
Off Topic
Europawahl 2019
Information von Frank vor 1 TagOff Topic23 Kommentare

Vom 23. bis 26. Mai 2019 findet die Europawahl in den Mitgliedstaaten der Europäischen Union statt (ja auch in ...

Humor (lol)

Minister wollen offenbar Ausweispflicht für .de-Domain

Information von Kraemer vor 1 TagHumor (lol)7 Kommentare

Zitat von Golem.de: Die zuständigen Verbraucherschutzminister fordern einem Medienbericht zufolge offenbar eine Ausweispflicht für .de-Domains. Das soll Betrugsfälle mit ...

Off Topic
Was als Noob hier mal gesagt werden musste
Information von th30ther vor 3 TagenOff Topic5 Kommentare

Moinsen wertes Forum, ich möchte mich an dieser Stelle mal beim Forum generell und bei aqui speziell bedanken! Ich ...

Windows 10
Windows 10 Mai 2019 Update (Version 1903) ist da
Information von kgborn vor 3 TagenWindows 109 Kommentare

Nur ein kurzer Infosplitter: Microsoft hat die Nacht (21. Mai 2019) das Funktionsupdate auf Windows 10 Version 1903 freigegeben. ...

Heiß diskutierte Inhalte
Ausbildung
Wie sind eure Erfahrungen als oder mit Ü30 Azubis für Fachinformatik Systemintegration?
Frage von CaptainProcessorAusbildung26 Kommentare

Tagchen allerseits :) Mir steht in wenigen Monaten eine Veränderung bevor, da mein AG seine IT auslagert und ich ...

Off Topic
Europawahl 2019
Information von FrankOff Topic23 Kommentare

Vom 23. bis 26. Mai 2019 findet die Europawahl in den Mitgliedstaaten der Europäischen Union statt (ja auch in ...

Router & Routing
ZyXEL ZyWALL USG 20 Routing
Frage von Oggy01Router & Routing12 Kommentare

Hallo, und wieder habe ich ein Problem mit dem Routing. Bis vor ein paar Tagen habe ich das mit ...

Virtualisierung
VServer (Linux): Absichern, verschlüsseln usw
Frage von mrserious73Virtualisierung11 Kommentare

Hallo zusammen, ich möchte einen Linux-Vserver mieten und diesen absichern. Darunter verstehe ich in diesem Falle hauptsächlich: Dafür sorgen, ...