12
Zugriffsproblem beim Ausführen eines Startscriptes
Nachdem ich heute gefühlte 24 Stunden an diesem Problem gesessen habe und es leider immernoch nicht lösen konnte, hoffe ich in diesem tollen Forum einen rettenden Tip zu bekommen 
Vorweg:
Windows Server 2003 SB SP2
Clients Win XP SP3
Also, folgendes Problem:
Ich versuche nichts weiter als per Gruppenrichtlinie Netzwerkdrucker bestimmten Clients zuzuweisen. Dies wollte ich mit Hilfe eines Startscriptes lösen.
Also habe ich die betreffenden Clients in eine OU gesteckt und diese mit der Richtlinie verknüpft in welcher ich das Startscript eingebunden habe (Computerkonfiguration -> Windows-Einstellungen -> Scripts -> Starten).
Das Script grob sieht folgendermaßen aus: (setprinter.bat)
Wenn ich den Client dann hochfahre und das Startscript ausgeführt wird hab ich dann folgenden Fehler im Ereignisprotokoll des Clients :
Ereignistyp: Fehler
Ereignisquelle: UserInit
Ereigniskategorie: Keine
Ereigniskennung: 1000
Datum: 04.02.2010
Zeit: 21:42:36
Benutzer: Nicht zutreffend
Computer: xxx
Beschreibung:
Folgendes Skript konnte nicht ausgeführt werden: \\192.168.200.2\netlogon\printerset.bat. Zugriff verweigert
Auf setprinter.bat haben "Authentifizierte Nutzer", "System" und halt die "Administratoren" Vollzugriff.
Was mach ich falsch? Bzw. was übersehe ich?
Ich glaub ich hab einfach schon zu lange dran gesessen ...
Freue mich auf Tips.
Gruß,
Tom
Windows Server 2003 SB SP2
Clients Win XP SP3
Also, folgendes Problem:
Ich versuche nichts weiter als per Gruppenrichtlinie Netzwerkdrucker bestimmten Clients zuzuweisen. Dies wollte ich mit Hilfe eines Startscriptes lösen.
Also habe ich die betreffenden Clients in eine OU gesteckt und diese mit der Richtlinie verknüpft in welcher ich das Startscript eingebunden habe (Computerkonfiguration -> Windows-Einstellungen -> Scripts -> Starten).
Das Script grob sieht folgendermaßen aus: (setprinter.bat)
%logonserver%\netlogon\con2prt /f
if /i %computername%==xxx1 goto Drucker1
if /i %computername%==xxx2 goto Drucker1
goto END
:Drucker1
%logonserver%\netlogon\con2prt /cd "\\server\HPLaserJ1"
goto end
:Drucker2
%logonserver%\netlogon\con2prt /cd "\\client1\HPLaserJ2"
goto end
:endWenn ich den Client dann hochfahre und das Startscript ausgeführt wird hab ich dann folgenden Fehler im Ereignisprotokoll des Clients :
Ereignistyp: Fehler
Ereignisquelle: UserInit
Ereigniskategorie: Keine
Ereigniskennung: 1000
Datum: 04.02.2010
Zeit: 21:42:36
Benutzer: Nicht zutreffend
Computer: xxx
Beschreibung:
Folgendes Skript konnte nicht ausgeführt werden: \\192.168.200.2\netlogon\printerset.bat. Zugriff verweigert
Auf setprinter.bat haben "Authentifizierte Nutzer", "System" und halt die "Administratoren" Vollzugriff.
Was mach ich falsch? Bzw. was übersehe ich?
Ich glaub ich hab einfach schon zu lange dran gesessen ...
Freue mich auf Tips.
Gruß,
Tom
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Kommentar vom Moderator Biber am Feb 06, 2010 um 20:14:38 Uhr
Content-Key: 135212
Url: https://administrator.de/contentid/135212
Printed on: April 24, 2024 at 06:04 o'clock
12 Comments
Latest comment
Hi Tom,
die goldende Frage ist: Hast du die Datei auf dem NETLOGON-Verzeichnis angelegt oder zuerst lokal und dann auf die Freigabe kopiert. Daher stimmen die Sicherheitseinstellungen dieser Datei nicht. Einfach über Eigenschaften mal reinschauen und sicherstellen, dass auth. Benutzer lesen und ausführen dürfen.
Grüße,
Dani
die goldende Frage ist: Hast du die Datei auf dem NETLOGON-Verzeichnis angelegt oder zuerst lokal und dann auf die Freigabe kopiert. Daher stimmen die Sicherheitseinstellungen dieser Datei nicht. Einfach über Eigenschaften mal reinschauen und sicherstellen, dass auth. Benutzer lesen und ausführen dürfen.
Grüße,
Dani
Schonmal Danke für den Tip.
Auf dem NETLOGON habe ich nun gar nichts mehr liegen. Das Script hab ich den den zu der GPO gehörenden Ordner abgelegt (\\procara.local\SysVol\procara.local\Policies\{2049DDCE-2B34-4301-AB61-C0F3838392E0}\Machine\Scripts\Startup). Auf die setprinter.bat haben "Administratoren" und "System" Vollzugriff. "Authentifizierte Benutzer" dürfen lesen und ausführen. Unter Sicherheitsfilterung in der GPO steht auch "Authentifizierte Benutzer".
Wenn ich das Script selber auf dem Client vom Server aus starte macht es genau das was es soll. Nur von selbst will es einfach nicht starten. Ich führe auch nach jeder Änderung an der GPO ein "gpupdate /force" durch. Dauert es vl. trotzdem einige Minuten? Die Gruppe "Authentifizierte Benutzer" enthält doch auch die Clients oder? Komme hier echt kein Stück voran ...
Gruß,
Tom
Auf dem NETLOGON habe ich nun gar nichts mehr liegen. Das Script hab ich den den zu der GPO gehörenden Ordner abgelegt (\\procara.local\SysVol\procara.local\Policies\{2049DDCE-2B34-4301-AB61-C0F3838392E0}\Machine\Scripts\Startup). Auf die setprinter.bat haben "Administratoren" und "System" Vollzugriff. "Authentifizierte Benutzer" dürfen lesen und ausführen. Unter Sicherheitsfilterung in der GPO steht auch "Authentifizierte Benutzer".
Wenn ich das Script selber auf dem Client vom Server aus starte macht es genau das was es soll. Nur von selbst will es einfach nicht starten. Ich führe auch nach jeder Änderung an der GPO ein "gpupdate /force" durch. Dauert es vl. trotzdem einige Minuten? Die Gruppe "Authentifizierte Benutzer" enthält doch auch die Clients oder? Komme hier echt kein Stück voran ...
Gruß,
Tom
Hi Tom,
ob für den Client die GPO gilt, kannst du am Client mit "gpresult" prüfen.
Grüße,
Dani
ob für den Client die GPO gilt, kannst du am Client mit "gpresult" prüfen.
Grüße,
Dani
Ok, per GPRESULT konnte ich am Client auslesen, dass dieser Mitglied der Gruppe "Authentifizierte Benutzer" ist und das die entsprechende GPO angewendet wurde.
Ich hab in einer anderen GPo eingestellt, dass Startscripts sichtbar ausgeführt werden sollen. Bei der Anmeldung nach dem Hochfahren des Clients steht dann auch kurz "Startscripts werden gestartet" und das DOS-Fenster ist für vl. 2 Sekunden sichtbar. Das Script wird also schon erkannt, jedoch halt aus irgendwelchen Gründen nicht richtig ausgeführt ...
Ich hab in einer anderen GPo eingestellt, dass Startscripts sichtbar ausgeführt werden sollen. Bei der Anmeldung nach dem Hochfahren des Clients steht dann auch kurz "Startscripts werden gestartet" und das DOS-Fenster ist für vl. 2 Sekunden sichtbar. Das Script wird also schon erkannt, jedoch halt aus irgendwelchen Gründen nicht richtig ausgeführt ...
Hört sich so an, als wäre das Netzwerk zu diesem Zeitpunkt an diesem Client noch nicht "bereit".
Es gibt eine Einstellunge in den GPOs, die veranlässt, dass sich der USer erst anmelden kann, wenn das Netzerk auch bereit ist.
Grüße,
Dani
Es gibt eine Einstellunge in den GPOs, die veranlässt, dass sich der USer erst anmelden kann, wenn das Netzerk auch bereit ist.
Grüße,
Dani
Ich hab von Anfang an sowohl "Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten", als auch "Anmeldeskripts gleichzeitig ausführen" aktiviert.
Das Fenster war jetzt auch mal lang genug offen, so dass ich sehen konnte dass dort irgendwas steht mit " .... konnte Pfad nicht gefunden werden".
Per Explorer komme ich aber ohne Probleme in den Pfad (in diesem Fall: \\xxx.local\sysvol\xxx.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\Scripts\Startup) und kann dort die "Setprinter.bat" normal ausführen und alles funktioniert.
Klingt irgendwie schon dannach als wäre der Pfad einfach nicht schnell genug verfügbar, aber mehr als die zwei aktivierten GPOs von oben finde ich nicht ...
Auf jeden Fall nochmal Danke für deine Mühe ;)
Gruß,
Tom
Das Fenster war jetzt auch mal lang genug offen, so dass ich sehen konnte dass dort irgendwas steht mit " .... konnte Pfad nicht gefunden werden".
Per Explorer komme ich aber ohne Probleme in den Pfad (in diesem Fall: \\xxx.local\sysvol\xxx.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\Scripts\Startup) und kann dort die "Setprinter.bat" normal ausführen und alles funktioniert.
Klingt irgendwie schon dannach als wäre der Pfad einfach nicht schnell genug verfügbar, aber mehr als die zwei aktivierten GPOs von oben finde ich nicht ...
Auf jeden Fall nochmal Danke für deine Mühe ;)
Gruß,
Tom
Kopiere mal das Script und lege es auf den NETLOGON Verzeichnis ab. Achte aber auf die Zugriffsrechte und ggf. ergänzen. Danach definierst du das Script bei einem User direkt in den AD-Eigenschaften. Somit kannst du ausschließen ob es Pfad oder Script liegt. (GPO).
@Biber
passiert, war schon bisschen spät...
Grüße,
Dani
@Biber
passiert, war schon bisschen spät...
Grüße,
Dani
Auf diese Art funktioniert es einwandfrei ...
Weiss nicht ob es von Interesse ist, aber ich habe KEIN R2. Macht das vl. einen Unterschied? (Andererseits wieso sollte es diese Funktion in den GPO dann geben ^^)
Weiss nicht ob es von Interesse ist, aber ich habe KEIN R2. Macht das vl. einen Unterschied? (Andererseits wieso sollte es diese Funktion in den GPO dann geben ^^)
Ob du R2 besitzt, spielt keine Rolle. Du sagst also wenn du es manuell startest funktioniert es ohne Probleme. Füge einfach am Ende der Batch noch ein "pause" hinzu. So kannst du in Ruhe die Meldungen anschauen. Interessant ist, welchen Pfad er nicht finden kann.
Grüße,
Dani
Grüße,
Dani
So, neuer Versuch, wieder kein Erfolg.
Habe die "Setprinter.bat" jetzt auf dem Netlogon-Verzeichnis gelassen (So hat es ja per direkter Zuweisung im Benutzerpforil funktioniert!)und die GPO einfach auf den Pfad verlinkt ansatt auf das extra für die GPO vorgesehene. Hab dann noch zusätzlich mit Berechtigungen um mich geschmissen und sowohl der "Setprinter.bat", als auch dem NETLOGON-Verzeichnis (auf Freigabe- und Sicherheitsebene) "JEDER" mit "Vollzugriff" hinzugefügt.
Beim Starten des Clients kommt dann eine Userinit-Fehlermeldung (Kennung 1000) mit der Meldung:
Folgendes Skript konnte nicht ausgeführt werden: \\192.168.200.2\netlogon\SetPrinter.bat. Zugriff verweigert
Mittlerweile glaube ich, ich hab die letzten Jahre nichts gemacht und hier hat sich alles von allein eingerichtet. Ich schaffs einfach nicht. ^^
Wie kann ich bei den Einstellungen denn immernoch ein Zugriffsproblem haben?
Gruß,
Tom
Habe die "Setprinter.bat" jetzt auf dem Netlogon-Verzeichnis gelassen (So hat es ja per direkter Zuweisung im Benutzerpforil funktioniert!)und die GPO einfach auf den Pfad verlinkt ansatt auf das extra für die GPO vorgesehene. Hab dann noch zusätzlich mit Berechtigungen um mich geschmissen und sowohl der "Setprinter.bat", als auch dem NETLOGON-Verzeichnis (auf Freigabe- und Sicherheitsebene) "JEDER" mit "Vollzugriff" hinzugefügt.
Beim Starten des Clients kommt dann eine Userinit-Fehlermeldung (Kennung 1000) mit der Meldung:
Folgendes Skript konnte nicht ausgeführt werden: \\192.168.200.2\netlogon\SetPrinter.bat. Zugriff verweigert
Mittlerweile glaube ich, ich hab die letzten Jahre nichts gemacht und hier hat sich alles von allein eingerichtet. Ich schaffs einfach nicht. ^^
Wie kann ich bei den Einstellungen denn immernoch ein Zugriffsproblem haben?
Gruß,
Tom
Also. Es lag an der "con2prt.cmd", welche im NETLOGON-Verzeichnis lag. Diese hab ich nun in einen anderen, selbsterstellten Pfad geschoben (\\server\scripte) und auf diesen "Authentifizierten Benutzern" Lese- und Ausführrechte gegeben.
Jetzt startet das Script beim Hochfahren und führt auch brav alle Befehle aus. Jetzt hab ich jedoch das nächste Problem:
Da ich das Script sichtbar starte kann ich sehen, dass alle Netzwerkdrucker hinzugefügt werden und auch der richitge Drucker als Standarddrucker hinterlegt wird. Wenn ich mich jedoch dannach mit einem User anmelde habe ich wieder die falschen Drucker. Ich habe das Gefühl dass die vorher richtig zugewiesenen Drucker durch die Benutzeranmeldung wieder überschrieben werden. Ist das möglich? Und falls ja, wie kann ich das verhindern?
Vielen Dank. Tom
EDIT:
Also, da ich kein Nerv mehr habe, habe ich das Script jetzt in die Benutzeranmeldung geschoben. Jetzt funktioniert dann auch endlich alles.
Auf jeden Fall Danke für deine Hilfe Dani! Echt super wie schnell einem hier geholfen wird!
Gruß,
Tom
Jetzt startet das Script beim Hochfahren und führt auch brav alle Befehle aus. Jetzt hab ich jedoch das nächste Problem:
Da ich das Script sichtbar starte kann ich sehen, dass alle Netzwerkdrucker hinzugefügt werden und auch der richitge Drucker als Standarddrucker hinterlegt wird. Wenn ich mich jedoch dannach mit einem User anmelde habe ich wieder die falschen Drucker. Ich habe das Gefühl dass die vorher richtig zugewiesenen Drucker durch die Benutzeranmeldung wieder überschrieben werden. Ist das möglich? Und falls ja, wie kann ich das verhindern?
Vielen Dank. Tom
EDIT:
Also, da ich kein Nerv mehr habe, habe ich das Script jetzt in die Benutzeranmeldung geschoben. Jetzt funktioniert dann auch endlich alles.
Auf jeden Fall Danke für deine Hilfe Dani! Echt super wie schnell einem hier geholfen wird!
Gruß,
Tom
Hi Tom,
Grüße,
Dani
Da ich das Script sichtbar starte kann ich sehen, dass alle Netzwerkdrucker hinzugefügt werden und auch der richitge Drucker als Standarddrucker hinterlegt wird. Wenn ich mich jedoch dannach mit einem User anmelde habe ich wieder die
falschen Drucker. Ich habe das Gefühl dass die vorher richtig zugewiesenen Drucker durch die Benutzeranmeldung wieder überschrieben werden. Ist das möglich? Und falls ja, wie kann ich das verhindern?
Das liegt daran dass innerhalb eines User jeder sein eigenes Druckermanagement hat. D.h. wenn User A den Drucker A eingerichtet wird, hat User B NICHT automatisch diesen auch. Was helfen könnte, wäre wenn du das Script auf Computerebene laufen lässt -GPO.falschen Drucker. Ich habe das Gefühl dass die vorher richtig zugewiesenen Drucker durch die Benutzeranmeldung wieder überschrieben werden. Ist das möglich? Und falls ja, wie kann ich das verhindern?
Also. Es lag an der "con2prt.cmd", welche im NETLOGON-Verzeichnis lag.
Dann haben dort die entsprechende Rechte gefehlt...100%.Grüße,
Dani
