12
Skript per GPO bei Anmeldung ausführen - Zugriff verweigert
Hallo,
ich möchte eine GPO erstellen, die bei jeder Benutzeranmeldung ein Skript ausführt. Ich habe mir dazu mehrere Anleitungen angesehen, jede beinhaltet, das entsprechende Skript an einen bestimmten Ordner zu verschieben, der zur entsprechenden Policy gehört:
\\FQDN\SYSVOL\FQDN\policies\<GUID>\user\scripts\logon
Genau diesen Schritt kann ich aber nicht durchführen, da immer die Meldung kommt, dass ich keine Berechtigungen für diesen Ordner bekomme. Ich bekomme nicht mal die Gelegenheit, mich zu authentifizieren. Und ja, ich bin Domänenadmin und in der Gruppe, der der Ordner gehört. Berechtigungen oder Besitzer ändern geht auch nicht, da ich nicht die Rechte habe. Wenn ich aber die Sicherheitseinstellungen ansehe, müsste ich EIGENTLICH Vollzugriff haben.
Kann mir hier jemand weiterhelfen?
Danke schonmal.
LG Ratte
ich möchte eine GPO erstellen, die bei jeder Benutzeranmeldung ein Skript ausführt. Ich habe mir dazu mehrere Anleitungen angesehen, jede beinhaltet, das entsprechende Skript an einen bestimmten Ordner zu verschieben, der zur entsprechenden Policy gehört:
\\FQDN\SYSVOL\FQDN\policies\<GUID>\user\scripts\logon
Genau diesen Schritt kann ich aber nicht durchführen, da immer die Meldung kommt, dass ich keine Berechtigungen für diesen Ordner bekomme. Ich bekomme nicht mal die Gelegenheit, mich zu authentifizieren. Und ja, ich bin Domänenadmin und in der Gruppe, der der Ordner gehört. Berechtigungen oder Besitzer ändern geht auch nicht, da ich nicht die Rechte habe. Wenn ich aber die Sicherheitseinstellungen ansehe, müsste ich EIGENTLICH Vollzugriff haben.
Kann mir hier jemand weiterhelfen?
Danke schonmal.
LG Ratte
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 451745
Url: https://administrator.de/forum/skript-per-gpo-bei-anmeldung-ausfuehren-zugriff-verweigert-451745.html
Ausgedruckt am: 22.04.2025 um 00:04 Uhr
12 Kommentare
Neuester Kommentar
Hallo,
sysvol policy war, ist und wird nie per Share Zugriff schreibbar, wenn musst du per lokaler Ordnerebene zugreifen...
Viele Grüße,
Christian
certifiedit.net
sysvol policy war, ist und wird nie per Share Zugriff schreibbar, wenn musst du per lokaler Ordnerebene zugreifen...
Viele Grüße,
Christian
certifiedit.net
Zitat von @certifiedit.net:
sysvol policy war, ist und wird nie per Share Zugriff schreibbar, wenn musst du per lokaler Ordnerebene zugreifen...
Sorry, aber das ist Quatsch. Selbstverständlich geht das. Es sein denn, Du meinst tatsächlich "sysvol policy", denn sowas gibt es nicht per default. Aber davon schreibt der TO ja gar nichts.sysvol policy war, ist und wird nie per Share Zugriff schreibbar, wenn musst du per lokaler Ordnerebene zugreifen...
Moin,
Echt? Komische Anleitungen. Das habe ich noch nie gemacht. Die kommen schon immer in die Domainfreigabe NETLOGON und gut ist. Ansonsten kannst Du sie auch an jedem beliebigen anderen Ort ablegen, der für den Client bzw. den User lesbar ist und mit der vollen Pfadangabe aus Sicht des Clients. Der Vorteil von NETLOGON ist halt, dass Start-/Stop-/Logon- und Logoffskripts dann ohne Pfad angegeben werden können.
hth
Erik
Zitat von @Rattical84:
ich möchte eine GPO erstellen, die bei jeder Benutzeranmeldung ein Skript ausführt. Ich habe mir dazu mehrere Anleitungen angesehen, jede beinhaltet, das entsprechende Skript an einen bestimmten Ordner zu verschieben, der zur entsprechenden Policy gehört:
\\FQDN\SYSVOL\FQDN\policies\<GUID>\user\scripts\logon
ich möchte eine GPO erstellen, die bei jeder Benutzeranmeldung ein Skript ausführt. Ich habe mir dazu mehrere Anleitungen angesehen, jede beinhaltet, das entsprechende Skript an einen bestimmten Ordner zu verschieben, der zur entsprechenden Policy gehört:
\\FQDN\SYSVOL\FQDN\policies\<GUID>\user\scripts\logon
Echt? Komische Anleitungen. Das habe ich noch nie gemacht. Die kommen schon immer in die Domainfreigabe NETLOGON und gut ist. Ansonsten kannst Du sie auch an jedem beliebigen anderen Ort ablegen, der für den Client bzw. den User lesbar ist und mit der vollen Pfadangabe aus Sicht des Clients. Der Vorteil von NETLOGON ist halt, dass Start-/Stop-/Logon- und Logoffskripts dann ohne Pfad angegeben werden können.
hth
Erik
Hi,
Das müsste jedoch funktionieren. Ich arbeite sehr viel damit. Ich könnte mir jetzt folgende Sachen vorstellen:
Kommst Du denn überhaupt auf ...?
- \\FQDN\SYSVOL
- \\FQDN\SYSVOL\FQDN
- \\FQDN\SYSVOL\FQDN\policies
- \\FQDN\SYSVOL\FQDN\policies\<GUID>
- \\FQDN\SYSVOL\FQDN\policies\<GUID>\user
- \\FQDN\SYSVOL\FQDN\policies\<GUID>\user\scripts
- \\FQDN\SYSVOL\FQDN\policies\<GUID>\user\scripts\logon
Hübsch der Reihe nach durchhangeln.
Wenn z.B. erst der <GUID>-Ordner fehlt, dann hast Du hier höchstwahrscheinlich ein Replikationsproblem im SYSVOL. Wo wir bei der nächsten Frage wären: Replikation über NtFRS oder DFS-R?
E.
Zitat von @Rattical84:
... beinhaltet, das entsprechende Skript an einen bestimmten Ordner zu verschieben, der zur entsprechenden Policy gehört:
\\FQDN\SYSVOL\FQDN\policies\<GUID>\user\scripts\logon
Genau diesen Schritt kann ich aber nicht durchführen, da immer die Meldung kommt, dass ich keine Berechtigungen für diesen Ordner bekomme.
Ich nehme an, "FQDN" ist hier der FQDN der AD-Domäne?... beinhaltet, das entsprechende Skript an einen bestimmten Ordner zu verschieben, der zur entsprechenden Policy gehört:
\\FQDN\SYSVOL\FQDN\policies\<GUID>\user\scripts\logon
Genau diesen Schritt kann ich aber nicht durchführen, da immer die Meldung kommt, dass ich keine Berechtigungen für diesen Ordner bekomme.
Das müsste jedoch funktionieren. Ich arbeite sehr viel damit. Ich könnte mir jetzt folgende Sachen vorstellen:
- Da sind mehrere DC in der Domäne und nicht alle haben automatisch die Freigabe "SYSVOL" erstellt. Das tun sie nur, wenn sie sich selbst als voll funktionstüchtig einstufen. Wenn das also zutreffen sollte, dann hat min. ein DC ein Problem.
- Du greifst von einem Standalone-Computer auf die Freigabe zu un im DNS stehen für diese Domäne noch andere (veraltete) Server drin. (A-Records ohne Namen direkt in der Root der DNS-Zone (-Domäne) ("identisch mit ....")
- Der DFS-Dienst läuft nicht auf allen DC's
Kommst Du denn überhaupt auf ...?
- \\FQDN\SYSVOL
- \\FQDN\SYSVOL\FQDN
- \\FQDN\SYSVOL\FQDN\policies
- \\FQDN\SYSVOL\FQDN\policies\<GUID>
- \\FQDN\SYSVOL\FQDN\policies\<GUID>\user
- \\FQDN\SYSVOL\FQDN\policies\<GUID>\user\scripts
- \\FQDN\SYSVOL\FQDN\policies\<GUID>\user\scripts\logon
Hübsch der Reihe nach durchhangeln.
Wenn z.B. erst der <GUID>-Ordner fehlt, dann hast Du hier höchstwahrscheinlich ein Replikationsproblem im SYSVOL. Wo wir bei der nächsten Frage wären: Replikation über NtFRS oder DFS-R?
E.
Zitat von @erikro:
Echt? Komische Anleitungen. Das habe ich noch nie gemacht. Die kommen schon immer in die Domainfreigabe NETLOGON und gut ist.
Was ist daran komisch? Das ist vollkommen normal. Man muss sich nur über den Unterschied bewusst sein.Echt? Komische Anleitungen. Das habe ich noch nie gemacht. Die kommen schon immer in die Domainfreigabe NETLOGON und gut ist.
Wenn man die Startup-, Shutdown-, Login- und Logoff-Scripte in ihren Standardpfaden innerhalb der GPO-Pfade belässt, dann hat man geregelt, dass nur jemand, der/die GPO bearbeiten darf auch diese Scripte bearbeiten darf.
Wenn man die Script hingegen von einem anderen Ort aus startet, dann regelt man das Änder-Recht für diese Scripte unabhängig vom Änder-Recht für die GPO. Und sowas kann u.U. definitiv nicht gewollt sein.
Login-Scripte muss der Client nicht lesen können, nur der Benutzer.
mit der vollen Pfadangabe aus Sicht des Clients.
Das ist korrekt.
Moin,
Das klang für mich beim TO so, als ob die Anleitungen beschreiben, dass das zwingend notwendig sei. Das wäre dann komisch.
Da hast Du recht. In sehr großen Umgebungen mit ausdifferenzierter Administration macht das Sinn. In kleineren Umgebungen, in denen ein oder einige wenige Admins alles machen, ist es m. E. eher sinnvoll, die Skripts an einer zentralen Stelle zu speichern, weil man sie dann leichter findet.
Liebe Grüße
Erik
Zitat von @emeriks:
Zitat von @erikro:
Echt? Komische Anleitungen. Das habe ich noch nie gemacht. Die kommen schon immer in die Domainfreigabe NETLOGON und gut ist.
Was ist daran komisch? Das ist vollkommen normal. Man muss sich nur über den Unterschied bewusst sein.Echt? Komische Anleitungen. Das habe ich noch nie gemacht. Die kommen schon immer in die Domainfreigabe NETLOGON und gut ist.
Das klang für mich beim TO so, als ob die Anleitungen beschreiben, dass das zwingend notwendig sei. Das wäre dann komisch.
Wenn man die Startup-, Shutdown-, Login- und Logoff-Scripte in ihren Standardpfaden innerhalb der GPO-Pfade belässt, dann hat man geregelt, dass nur jemand, der/die GPO bearbeiten darf auch diese Scripte bearbeiten darf.
Wenn man die Script hingegen von einem anderen Ort aus startet, dann regelt man das Änder-Recht für diese Scripte unabhängig vom Änder-Recht für die GPO. Und sowas kann u.U. definitiv nicht gewollt sein.
Wenn man die Script hingegen von einem anderen Ort aus startet, dann regelt man das Änder-Recht für diese Scripte unabhängig vom Änder-Recht für die GPO. Und sowas kann u.U. definitiv nicht gewollt sein.
Da hast Du recht. In sehr großen Umgebungen mit ausdifferenzierter Administration macht das Sinn. In kleineren Umgebungen, in denen ein oder einige wenige Admins alles machen, ist es m. E. eher sinnvoll, die Skripts an einer zentralen Stelle zu speichern, weil man sie dann leichter findet.
Liebe Grüße
Erik
Hallo,
also zunächst mal - hätt ich vielleicht vorher machen sollen - das sind zwei der Anleitungen, die ich gefunden habe, und die das beide erwähnen.
https://www.websense.com/content/support/library/web/v78/logon_agent/la_ ...
https://www.windowspro.de/wolfgang-sommergut/login-scripts-ueber-gpos-us ... (der relevante Teil geht ab etwa der Mitte der Seite los)
@emeriks: Ja, es ist der FQDN der AD-Domäne gemeint. Es gibt nur einen DC. Ich kann sämtliche Ordner der Struktur öffnen (das geht eh indem man auf den Button für "Dateien anzeigen" klickt). Ich habe aber überall nur Lesezugriff.
@erikro: Ob das jetzt zwingend so gemacht werden muss, weiß ich nicht. Aber da die Anleitungen halt alle diesen Schritt beinhalten, und ich nicht so erfahren bin, was die Gruppenrichtlinien betrifft, muss ich davon ausgehen, dass es so gemacht werden muss.
Ich hatte das schon oft genug, dass bestimmte Dateien an vorgegebenen Orten gespeichert werden müssen, da es sonst z.B. zu Zugriffsproblemen kommt, insofern würde mich das nicht überraschen. Wenn das letztendlich für die Funktionsfähigkeit egal ist, wo ich das Skript speichere, packe ich es einfach in ein zentrales Verzeichnis. Ich versteh das richtig, dass ich dieses Verzeichnis dann freigeben, und in die GP den Netzwerkpfad zum Skript \\Server\...\ eingeben muss?
also zunächst mal - hätt ich vielleicht vorher machen sollen - das sind zwei der Anleitungen, die ich gefunden habe, und die das beide erwähnen.
https://www.websense.com/content/support/library/web/v78/logon_agent/la_ ...
https://www.windowspro.de/wolfgang-sommergut/login-scripts-ueber-gpos-us ... (der relevante Teil geht ab etwa der Mitte der Seite los)
@emeriks: Ja, es ist der FQDN der AD-Domäne gemeint. Es gibt nur einen DC. Ich kann sämtliche Ordner der Struktur öffnen (das geht eh indem man auf den Button für "Dateien anzeigen" klickt). Ich habe aber überall nur Lesezugriff.
@erikro: Ob das jetzt zwingend so gemacht werden muss, weiß ich nicht. Aber da die Anleitungen halt alle diesen Schritt beinhalten, und ich nicht so erfahren bin, was die Gruppenrichtlinien betrifft, muss ich davon ausgehen, dass es so gemacht werden muss.
Ich hatte das schon oft genug, dass bestimmte Dateien an vorgegebenen Orten gespeichert werden müssen, da es sonst z.B. zu Zugriffsproblemen kommt, insofern würde mich das nicht überraschen. Wenn das letztendlich für die Funktionsfähigkeit egal ist, wo ich das Skript speichere, packe ich es einfach in ein zentrales Verzeichnis. Ich versteh das richtig, dass ich dieses Verzeichnis dann freigeben, und in die GP den Netzwerkpfad zum Skript \\Server\...\ eingeben muss?
Moin,
nimm die Freigabe NETLOGON der Domain, um die Skripte abzulegen, wenn Du sie zentral verwalten willst.
hth
Erik
nimm die Freigabe NETLOGON der Domain, um die Skripte abzulegen, wenn Du sie zentral verwalten willst.
hth
Erik
Gut, dann habe ich das wohl falsch verstanden. Das Problem ist also nicht, dass Du nicht an diesen Ordner kommst, sondern dass Du da eine Datei nicht hinein verschieben kannst. (Wie Du eingangs schreibst.)
Ich vermute, Du kannst diese Datei nicht verschieben, weil UAC Dir dazwischen funkt. Die Berechtigungen für diese Datei an der Quelle wirst Du nur über eine der Standard-Gruppen "Administratoren" oder "Domänen-Admins" haben. Und da gibt es dann Probeme mit dem Explorer.
Ich würde versuchen:
Ich vermute, Du kannst diese Datei nicht verschieben, weil UAC Dir dazwischen funkt. Die Berechtigungen für diese Datei an der Quelle wirst Du nur über eine der Standard-Gruppen "Administratoren" oder "Domänen-Admins" haben. Und da gibt es dann Probeme mit dem Explorer.
Ich würde versuchen:
- Kannst Du diese Datei kopieren?
- Kannst Du diese Datei in einer voll elevierten CMD ("als Administrator ausführen") mit dem MOVE-Befehl verschieben?
Danke @emeriks, das hat funktioniert. Ich habs mit einer elevierten CMD und MOVE versucht, da gings dann. Kopieren ging übrigens auch nicht.
Das Skript ist jetzt in dem Ordner, wo es laut Anleitungen sein sollte.
Vielen Dank an alle für eure Zeit.
LG Ratte
Das Skript ist jetzt in dem Ordner, wo es laut Anleitungen sein sollte.
Vielen Dank an alle für eure Zeit.
LG Ratte
