12
Zugriff auf Freigabe mit Systemkonto
Hallo an alle,
Ich erstelle über die Windows Server 2019-GPO eine Aufgabenplanung um sie in der Domäne (Win10 Pro) zu verteilen. Aber dafür muss ich das Systemkonto verwenden, da die Aufgabe sonst in der Domäne nicht verteilt wird.
So weit, so gut. Aber diese Aufgabe führt eine .exe Datei auf jedem PC aus, der einige Daten aus einer Netzwerk-Freigabe auf den PC kopieren soll. Leider hat das lokale Systemkonto aber keinen Zugriff auf die Netzwerkfreigabe. Kennt wer eine Möglichkeit, das zu umgehen, bzw. dem lokalen Systemkonto Netzwerkzugriff zu gewähren?
Net use mit anderem User\Passwort ist der Firmendomäne leider nicht möglich.
Besten Dank im Voraus!
Gruz Andi...
Ich erstelle über die Windows Server 2019-GPO eine Aufgabenplanung um sie in der Domäne (Win10 Pro) zu verteilen. Aber dafür muss ich das Systemkonto verwenden, da die Aufgabe sonst in der Domäne nicht verteilt wird.
So weit, so gut. Aber diese Aufgabe führt eine .exe Datei auf jedem PC aus, der einige Daten aus einer Netzwerk-Freigabe auf den PC kopieren soll. Leider hat das lokale Systemkonto aber keinen Zugriff auf die Netzwerkfreigabe. Kennt wer eine Möglichkeit, das zu umgehen, bzw. dem lokalen Systemkonto Netzwerkzugriff zu gewähren?
Net use mit anderem User\Passwort ist der Firmendomäne leider nicht möglich.
Besten Dank im Voraus!
Gruz Andi...
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2309546892
Url: https://administrator.de/forum/zugriff-auf-freigabe-mit-systemkonto-2309546892.html
Ausgedruckt am: 14.04.2025 um 02:04 Uhr
12 Kommentare
Neuester Kommentar
Gib der Gruppe Die Domänencomputer Leserechte- das ist alles.
Hallo
Schlechte Alternative: Für diesen Zweck extra eine NFS Freigabe für den entsprechenden IP Bereich erstellen, den NFS Client überall nachinstallieren per Powershell und schon sollte es klappen. Das ganze ist aber höchst unsicher, denn jeder der Clients kann dann auf dem Share machen was er möchte.
Bessere Alternative: Nicht per GPO deployen, sondern per Deployment Lösung, etwa PDQ Deploy. Da wird dann alles per push entsprechend auf den Client geschoben und lokal gestartet.
MfG,
MacLeod
Schlechte Alternative: Für diesen Zweck extra eine NFS Freigabe für den entsprechenden IP Bereich erstellen, den NFS Client überall nachinstallieren per Powershell und schon sollte es klappen. Das ganze ist aber höchst unsicher, denn jeder der Clients kann dann auf dem Share machen was er möchte.
Bessere Alternative: Nicht per GPO deployen, sondern per Deployment Lösung, etwa PDQ Deploy. Da wird dann alles per push entsprechend auf den Client geschoben und lokal gestartet.
MfG,
MacLeod
Hallo DerWoWusste,
ich habe jetzt dem Gruppenrichtlinienobjekt unter "Delegierung" die Domänencomputer hinzugefügt u. Leserechte erteilt, hat aber nichts gebracht. (Bin mir auch nicht sicher ob du das gemeint hast. Eine spezielle Gruppe für das GPO gibt es nicht. )
Er startet die entsprechende Datei auch immer, aber schließt sie sofort wieder. Es gibt auch keinerlei Fehlermeldungen. Weder im Ereignisprotokoll, noch im Aufgabenverlauf. Ich weiß aber, dass sie prinzipiell funktioniert, denn wenn ich die Aufgabe als Admin ausführe, geht alles "einbahnfrei"...
ich habe jetzt dem Gruppenrichtlinienobjekt unter "Delegierung" die Domänencomputer hinzugefügt u. Leserechte erteilt, hat aber nichts gebracht. (Bin mir auch nicht sicher ob du das gemeint hast. Eine spezielle Gruppe für das GPO gibt es nicht. )
Er startet die entsprechende Datei auch immer, aber schließt sie sofort wieder. Es gibt auch keinerlei Fehlermeldungen. Weder im Ereignisprotokoll, noch im Aufgabenverlauf. Ich weiß aber, dass sie prinzipiell funktioniert, denn wenn ich die Aufgabe als Admin ausführe, geht alles "einbahnfrei"...
Hier mal noch ein Screenshot!
Hallo MacLeod,
ich fürchte beide Lösungen sind nicht wirklich praktikabel für uns. Externes Prog. ist zu teuer und wenn ich NFS Client benutze, hüppen mir die dortigen Admins aufs Dach...
Gruz Andi
ich fürchte beide Lösungen sind nicht wirklich praktikabel für uns. Externes Prog. ist zu teuer und wenn ich NFS Client benutze, hüppen mir die dortigen Admins aufs Dach...
Gruz Andi
Hier mal schön erklärt welche rechte welcher Account hat:
https://stackoverflow.com/a/510225/225906
Offenbar gibt es keine andere Möglichkeit außer den bisher schon aufgezählten.
MfG,
MacLeod
https://stackoverflow.com/a/510225/225906
Offenbar gibt es keine andere Möglichkeit außer den bisher schon aufgezählten.
MfG,
MacLeod
Nein, doch nicht auf die GPO. Auf die Freigabe des Ordners und ebenso unter dessen NTFS-Rechten.
Hallo MacLead,
ich fantasiere jetzt einfach mal etwas...
Was ist, wenn ich eine Aufgabe auf dem Server mit dem Domänen-Admin erstelle. (Damit funktionierts nämlich tadellos!) Das ganze exportiere ich als XML-Datei.
Dann verteile ich die XML-Datei über die GPO und zusätzlich eine Batch, die mittels "schtasks" die Aufgabe jeweils lokal importiert. Könnte das klappsen?
ich fantasiere jetzt einfach mal etwas...
Was ist, wenn ich eine Aufgabe auf dem Server mit dem Domänen-Admin erstelle. (Damit funktionierts nämlich tadellos!) Das ganze exportiere ich als XML-Datei.
Dann verteile ich die XML-Datei über die GPO und zusätzlich eine Batch, die mittels "schtasks" die Aufgabe jeweils lokal importiert. Könnte das klappsen?
Hallo DerWoWusste ,
aahh ok... Jetze ist schon Feierabend, morgen früh gleich mal probieren... Besten Dank
Gruz Andi...
aahh ok... Jetze ist schon Feierabend, morgen früh gleich mal probieren...
Besten DankGruz Andi...
Ich fürchte nicht.
Zitat von @AndreasD:
Hallo MacLead,
ich fantasiere jetzt einfach mal etwas...
Was ist, wenn ich eine Aufgabe auf dem Server mit dem Domänen-Admin erstelle. (Damit funktionierts nämlich tadellos!) Das ganze exportiere ich als XML-Datei.
Dann verteile ich die XML-Datei über die GPO und zusätzlich eine Batch, die mittels "schtasks" die Aufgabe jeweils lokal importiert. Könnte das klappsen?
Hallo MacLead,
ich fantasiere jetzt einfach mal etwas...
Was ist, wenn ich eine Aufgabe auf dem Server mit dem Domänen-Admin erstelle. (Damit funktionierts nämlich tadellos!) Das ganze exportiere ich als XML-Datei.
Dann verteile ich die XML-Datei über die GPO und zusätzlich eine Batch, die mittels "schtasks" die Aufgabe jeweils lokal importiert. Könnte das klappsen?
Hallo, Du solltest nix mit dem Domänen-Admin machen. Der ist im Grunde nur die Administration der Domänencontrollen und der Domäne zuständig - alles andere ist ein Sicherheitsrisiko.
Ansonsten, schau Dir mal die Möglichkeiten von Powershell Desired-State-Configuration an. Eventlogarchivierung mit Powershell DSC Zumindest das Verteilungsproblem von Dateien und das Erstellen der Tasks kann man damit gut lösen.
Grüße
lcer
Hallo DerWoWusste ,
DerWoWusste, wusste wirklich wo... Danke für eure Hilfe...
DerWoWusste, wusste wirklich wo... Danke für eure Hilfe...
