7
Win Terminal-Server 2003, startet nach Virtualisierung keine .EXE-Dateien auf Netzlaufwerken
Hallo Leute,
vor ca. 2 Wochen ist einer von beiden Servern der Meinung gewesen, er müsste mal meine Brandmeldeanlage testen
(Ziemlich übler Geruch, wenn sich so ein Motherboard in Rauch auflöst )
Auf jedenfall habe ich das, gleich dazu genutzt den Windows-2003-Terminal-Server auf einer neuen Hardware mit EXSi zu virtualisieren.
Da ich ein Vollbackup vom kompletten System als Acronis .TIB-Datei hatte ging das auch extrem schnell und leicht.
Der Server selbst läuft sehr schnell und sehr zuverlässig als Virtuelle-Maschine.
Jetzt kommt das große ABER, aus irgendeinen Grund kann ich in einer Terminalsession als RDP-User keine .EXE-Dateien mehr öffnen
die sich auf einem Netzwerkpfad befinden, egal ob UNC-Pfad oder Laufwerksbuchstabe mit Net Use.
Die Lokal installierten Programme scheinen alle zu laufen und sind auch startbar.
Ich bekomme immer die folgende Meldung:
"Auf das angegebene Gerät, bzw. den Pfad oder die Datei kann nicht zugegriffen werden. Sie verfügen eventuell nicht über die ausreichende Berechtigung, um auf das Element zugreifen zu können."
Aber kopieren kann ich diese Datei auch schon als Benutzer, wenn ich als Admin angemeldet bin, kann ich diese EXE-Dateien auch starten.
Die Rechte unter Datei-Sicherheit sind eigentlich in Ordnung, die Benutzer dürfen alles was nötig ist: Ändern, Lesen, Ausführen, Ordnerinhalt auflisten, Schreiben, Lesen.
Aber trotzdem klappt da was nicht.
Irgendwie habe ich das Gefühl, das beim Wiederherstellen irgendeine Sicherheitsrichtlinie dazwischen funkt.
Ich habe schon überall nachgesehen, aber leider nichts gefunden. Hat Jemand von euch eine Idee?
Gruß
Thorsten
vor ca. 2 Wochen ist einer von beiden Servern der Meinung gewesen, er müsste mal meine Brandmeldeanlage testen
(Ziemlich übler Geruch, wenn sich so ein Motherboard in Rauch auflöst
)Auf jedenfall habe ich das, gleich dazu genutzt den Windows-2003-Terminal-Server auf einer neuen Hardware mit EXSi zu virtualisieren.
Da ich ein Vollbackup vom kompletten System als Acronis .TIB-Datei hatte ging das auch extrem schnell und leicht.
Der Server selbst läuft sehr schnell und sehr zuverlässig als Virtuelle-Maschine.
Jetzt kommt das große ABER, aus irgendeinen Grund kann ich in einer Terminalsession als RDP-User keine .EXE-Dateien mehr öffnen
die sich auf einem Netzwerkpfad befinden, egal ob UNC-Pfad oder Laufwerksbuchstabe mit Net Use.
Die Lokal installierten Programme scheinen alle zu laufen und sind auch startbar.
Ich bekomme immer die folgende Meldung:
"Auf das angegebene Gerät, bzw. den Pfad oder die Datei kann nicht zugegriffen werden. Sie verfügen eventuell nicht über die ausreichende Berechtigung, um auf das Element zugreifen zu können."
Aber kopieren kann ich diese Datei auch schon als Benutzer, wenn ich als Admin angemeldet bin, kann ich diese EXE-Dateien auch starten.
Die Rechte unter Datei-Sicherheit sind eigentlich in Ordnung, die Benutzer dürfen alles was nötig ist: Ändern, Lesen, Ausführen, Ordnerinhalt auflisten, Schreiben, Lesen.
Aber trotzdem klappt da was nicht.
Irgendwie habe ich das Gefühl, das beim Wiederherstellen irgendeine Sicherheitsrichtlinie dazwischen funkt.
Ich habe schon überall nachgesehen, aber leider nichts gefunden. Hat Jemand von euch eine Idee?
Gruß
Thorsten
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 176582
Url: https://administrator.de/contentid/176582
Printed on: April 24, 2024 at 04:04 o'clock
7 Comments
Latest comment
Hallo,
1. Versuch:
Ich tippe mal auf Datenausführungsverhinderung. Irgendwo unter System/Erweitert oder so einzustellen.
Obwohl da meistens gar keine Meldung kommt.
2. Versuch:
Beim 2008er haben wir manchmal das Phänomen, dass man eine Sicherheitsmeldung (bzgl. Zertifikaten) bestätigen muss wenn man eine EXE auf einem Netzlaufwerk starten will.
Dann hilft es dieses Laufwerk bzw. den (File)server in die vertrauenswürdigen Seiten unter Optionen im Internetexplorer aufzunehmen.
Henning
1. Versuch:
Ich tippe mal auf Datenausführungsverhinderung. Irgendwo unter System/Erweitert oder so einzustellen.
Obwohl da meistens gar keine Meldung kommt.
2. Versuch:
Beim 2008er haben wir manchmal das Phänomen, dass man eine Sicherheitsmeldung (bzgl. Zertifikaten) bestätigen muss wenn man eine EXE auf einem Netzlaufwerk starten will.
Dann hilft es dieses Laufwerk bzw. den (File)server in die vertrauenswürdigen Seiten unter Optionen im Internetexplorer aufzunehmen.
Henning
Moin,
mein Verdacht geht eher dahin - im normalen Terminalservermodus hat der User auf die installierten Programme Ausführungsrechte - aber auf nix weiter - alles andere hat installiert zu werden...
Gruß
24
mein Verdacht geht eher dahin - im normalen Terminalservermodus hat der User auf die installierten Programme Ausführungsrechte - aber auf nix weiter - alles andere hat installiert zu werden...
Gruß
24
Hallo Vossi31.
Da scheint alles ok zu sein, jedenfalls so wie es sein soll.
Das war auch meine 1. Idee, hat aber nichts gebracht.
Gruss
Thorsten
Zitat von @vossi31:
1. Versuch:
Ich tippe mal auf Datenausführungsverhinderung. Irgendwo unter System/Erweitert oder so einzustellen.
Obwohl da meistens gar keine Meldung kommt.
1. Versuch:
Ich tippe mal auf Datenausführungsverhinderung. Irgendwo unter System/Erweitert oder so einzustellen.
Obwohl da meistens gar keine Meldung kommt.
Da scheint alles ok zu sein, jedenfalls so wie es sein soll.
2. Versuch:
Beim 2008er haben wir manchmal das Phänomen, dass man eine Sicherheitsmeldung (bzgl. Zertifikaten) bestätigen muss wenn
man eine EXE auf einem Netzlaufwerk starten will.
Dann hilft es dieses Laufwerk bzw. den (File)server in die vertrauenswürdigen Seiten unter Optionen im Internetexplorer
aufzunehmen.
Beim 2008er haben wir manchmal das Phänomen, dass man eine Sicherheitsmeldung (bzgl. Zertifikaten) bestätigen muss wenn
man eine EXE auf einem Netzlaufwerk starten will.
Dann hilft es dieses Laufwerk bzw. den (File)server in die vertrauenswürdigen Seiten unter Optionen im Internetexplorer
aufzunehmen.
Das war auch meine 1. Idee, hat aber nichts gebracht.
Gruss
Thorsten
Hallo 2had4you.
Also es läuft jetzt, mit Deiner Vermutung lagst Du gar nicht soo falsch, das Problem war wohl das anlegen der Temp-Dateien und Zugriffe auf das "...\All Users\...".
Die Domain-Benutzer-Gruppen die auf dem Terminalserver arbeiten dürfen, sind in der Lokalen-RemoteDesktopBenutzergruppe und in der Lokalen-Benutzergruppe auf dem Terminalserver.
So hat es bis zu dem Crash auch ohne Probleme funktioniert.
Aber aus irgendeinen Grund ist die Benutzergruppe zwar im Verzeichnis "C:\Dokumente und Einstellungen\All Users\" mit allen Rechten versehen, aber in den darunterliegenden Verzeichnisen eben
nur als "Lesen". Ändern und so weiter dürfen Sie sie nicht, obwohl ich jetzt mehrmals probiert habe im Verzeichnis "....\All Users\" das auf "Ändern" mit vererben auf die Unterordner einzustellen.
Der Terminalserver ändert dies für die Unterordner und Dateien nicht!
Ich habe jetzt erstmal die Benutzergruppen in die Lokale-Gruppe Hauptbenutzer genommen, damit läuft wieder alles, aber so ganz recht ist mir das nicht. Lieber wäre mir auf dem Terminalserver
nur die Berechtigung "Benutzer-Gruppe".
Woran kann das jetzt liegen, vor allen lief das jetzt Jahrelang ohne Probleme bis zum Crash und zur Virtualisierung.
Gruss
Thorsten
Zitat von @2hard4you:
Moin,
mein Verdacht geht eher dahin - im normalen Terminalservermodus hat der User auf die installierten Programme
Ausführungsrechte - aber auf nix weiter - alles andere hat installiert zu werden...
Moin,
mein Verdacht geht eher dahin - im normalen Terminalservermodus hat der User auf die installierten Programme
Ausführungsrechte - aber auf nix weiter - alles andere hat installiert zu werden...
Also es läuft jetzt, mit Deiner Vermutung lagst Du gar nicht soo falsch, das Problem war wohl das anlegen der Temp-Dateien und Zugriffe auf das "...\All Users\...".
Die Domain-Benutzer-Gruppen die auf dem Terminalserver arbeiten dürfen, sind in der Lokalen-RemoteDesktopBenutzergruppe und in der Lokalen-Benutzergruppe auf dem Terminalserver.
So hat es bis zu dem Crash auch ohne Probleme funktioniert.
Aber aus irgendeinen Grund ist die Benutzergruppe zwar im Verzeichnis "C:\Dokumente und Einstellungen\All Users\" mit allen Rechten versehen, aber in den darunterliegenden Verzeichnisen eben
nur als "Lesen". Ändern und so weiter dürfen Sie sie nicht, obwohl ich jetzt mehrmals probiert habe im Verzeichnis "....\All Users\" das auf "Ändern" mit vererben auf die Unterordner einzustellen.
Der Terminalserver ändert dies für die Unterordner und Dateien nicht!
Ich habe jetzt erstmal die Benutzergruppen in die Lokale-Gruppe Hauptbenutzer genommen, damit läuft wieder alles, aber so ganz recht ist mir das nicht. Lieber wäre mir auf dem Terminalserver
nur die Berechtigung "Benutzer-Gruppe".
Woran kann das jetzt liegen, vor allen lief das jetzt Jahrelang ohne Probleme bis zum Crash und zur Virtualisierung.
Gruss
Thorsten
Hallo,
also aktuell ist der Stand noch immer, ich habe die Benutzergruppen in die Lokale-Gruppe der Hauptbenutzer genommen und belassen,
es sind zum Glück nicht so viele Benutzer auf dem Terminalserver am arbeiten, dieser dient nur als Home-Office-Anbindung und Zugang von der ferne.
Der Grund warum das auf einmal Probleme macht, nach der VM-Umstellung habe ich leider nicht herrausgefunden.
Gruss
THorsten
also aktuell ist der Stand noch immer, ich habe die Benutzergruppen in die Lokale-Gruppe der Hauptbenutzer genommen und belassen,
es sind zum Glück nicht so viele Benutzer auf dem Terminalserver am arbeiten, dieser dient nur als Home-Office-Anbindung und Zugang von der ferne.
Der Grund warum das auf einmal Probleme macht, nach der VM-Umstellung habe ich leider nicht herrausgefunden.
Gruss
THorsten
Ich habe vor einigen Tagen auch einen TS 2003 Server aufgesetzt.
Als lokaler Admin war alles über das Netztwerk auszuführen doch kurz darauf sagten mir einige Mitarbeiter, dasß sie über den TS 2003 Server keine Programme starten können.
Lösung hier scheint im IE zu liegen.
Wir haben noch den IE8
Hier auf " Extras - Internetoptionen - Sicherheit - Lokales Intranet"
Die Sicherheitsstufe auf Niedrig setzen und dann klappt es (zumindest bei mir)
Wenn es noch eine bessere Lösung gibt her damit
Ich hab noch nicht rausbekommen, ob es reicht das als lokaler Admin einzustellen, damit es bei den Benutzern auch so eingestellt ist.
Edit: Es hat doch nicht ganz geklappt
bei mir geht es jetzt aber ein "normaler Benutzer" darf es immernoch nicht ausführen.
Ich bin offen für jeden Vorschlag
Gruß Underdog
Als lokaler Admin war alles über das Netztwerk auszuführen doch kurz darauf sagten mir einige Mitarbeiter, dasß sie über den TS 2003 Server keine Programme starten können.
Lösung hier scheint im IE zu liegen.
Wir haben noch den IE8
Hier auf " Extras - Internetoptionen - Sicherheit - Lokales Intranet"
Die Sicherheitsstufe auf Niedrig setzen und dann klappt es (zumindest bei mir)
Wenn es noch eine bessere Lösung gibt her damit
Ich hab noch nicht rausbekommen, ob es reicht das als lokaler Admin einzustellen, damit es bei den Benutzern auch so eingestellt ist.
Edit: Es hat doch nicht ganz geklappt
bei mir geht es jetzt aber ein "normaler Benutzer" darf es immernoch nicht ausführen.
Ich bin offen für jeden Vorschlag
Gruß Underdog
So und weiter geht die Suche
auch das hier hat nichts gebracht -> http://www.geekshangout.com/?q=node/47
Es ist also kein Problem der Freigabe, da die User es ja auch im lokalen Netzwerk öffnen können.
Wir haben nen 2ten Ordner für die TS Profile und da war es schon eingestellt.
Muss ich denn auf dem 2k3 Server noch was einstellen, daß der normale user auch im Intranet
was öffnen darf?
Ich denke hier an die Gruppenrichtlinien....
Computerverwaltung - Lokale Benutzer und Gruppen - Gruppen
Unter den Hauptbenutzern habe ich die Gruppe_user und Gruppe_Remote wobei der Benutzer mit Zugrff immer in beiden Gruppen ist.
Und unter Remotedesktopbenutzer habe ich nochmal die Gruppe_Remote eingetragen.
Hat wer nen Tipp ich hab keine Idee mehr ?
auch das hier hat nichts gebracht -> http://www.geekshangout.com/?q=node/47
Es ist also kein Problem der Freigabe, da die User es ja auch im lokalen Netzwerk öffnen können.
Wir haben nen 2ten Ordner für die TS Profile und da war es schon eingestellt.
Muss ich denn auf dem 2k3 Server noch was einstellen, daß der normale user auch im Intranet
was öffnen darf?
Ich denke hier an die Gruppenrichtlinien....
Computerverwaltung - Lokale Benutzer und Gruppen - Gruppen
Unter den Hauptbenutzern habe ich die Gruppe_user und Gruppe_Remote wobei der Benutzer mit Zugrff immer in beiden Gruppen ist.
Und unter Remotedesktopbenutzer habe ich nochmal die Gruppe_Remote eingetragen.
Hat wer nen Tipp ich hab keine Idee mehr ?
