1
Windows 7 - GPO darf nicht ins system32 schreiben
Hallo!
In unserem bisherigen XP und Windows 2003 Server Verbund haben wir eine GPO, die per Batchdatei eine ini-Datei ins System32-Verzeichnis des Clients installiert. Soweit so gut, aber bei Windows 7 klappt das nicht, da bekomme ich ein "Zugriff verweigert". Ich lasse das Script bereits über SteelRunAs als Domänen-Admin ausführen, aber dann habe ich gesehen, dass die Gruppe der Domänen-Admins nicht in der Liste erlaubter User auf System32 ist (Tab "Sicherheit"). Wie kann ich das denn nun mit möglichst wenig Aufwand ändern? Ich kann mir vorstellen, dass es dieses Problem schon bei Vista gab, aber das haben wir nie getestet (worum auch)
Grüße, Peter
In unserem bisherigen XP und Windows 2003 Server Verbund haben wir eine GPO, die per Batchdatei eine ini-Datei ins System32-Verzeichnis des Clients installiert. Soweit so gut, aber bei Windows 7 klappt das nicht, da bekomme ich ein "Zugriff verweigert". Ich lasse das Script bereits über SteelRunAs als Domänen-Admin ausführen, aber dann habe ich gesehen, dass die Gruppe der Domänen-Admins nicht in der Liste erlaubter User auf System32 ist (Tab "Sicherheit"). Wie kann ich das denn nun mit möglichst wenig Aufwand ändern? Ich kann mir vorstellen, dass es dieses Problem schon bei Vista gab, aber das haben wir nie getestet (worum auch)
Grüße, Peter
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 125976
Url: https://administrator.de/contentid/125976
Ausgedruckt am: 26.11.2024 um 04:11 Uhr
1 Kommentar
Hallo Peter. Mach Dich mit der UAC vertraut. Ganz wichtig, oder Du läuft bei Vista und W7 immer wieder ins Messer.
In System 32 können Domänenadmins selbstredend schreiben, denn die Gruppe der lokalen Admins (der Domadmins per se angehören), kann dort schreiben - jedoch erst, wenn elevated=hochgestuft. Am einfachsten löst Du die Aufgabe mit einem Startskript, das braucht weder Steelrunas, noch elevation, denn es läuft mit Systemrechten und darf nahezu alles.
Elevation in einem Skript zu erreichen ist nicht mal so eben. Es gibt hier aber eine Anleitung dazu, beachte dort auch meinen Hinweis auf das Powertoy elevate hier: Benutzerkontensteuerung unter Vista temporaer deaktivieren
Noch besser': nimm einfach GPPs.
In System 32 können Domänenadmins selbstredend schreiben, denn die Gruppe der lokalen Admins (der Domadmins per se angehören), kann dort schreiben - jedoch erst, wenn elevated=hochgestuft. Am einfachsten löst Du die Aufgabe mit einem Startskript, das braucht weder Steelrunas, noch elevation, denn es läuft mit Systemrechten und darf nahezu alles.
Elevation in einem Skript zu erreichen ist nicht mal so eben. Es gibt hier aber eine Anleitung dazu, beachte dort auch meinen Hinweis auf das Powertoy elevate hier: Benutzerkontensteuerung unter Vista temporaer deaktivieren
Noch besser': nimm einfach GPPs.
