1
GPO Starup-Skript wird ausgeführt - Befehl-Syntax OK - Zugriff verweigert? Office 2007
Zur zentralen Software-Verteilung von Office 2007 werden bekannterweise keine MSI-Pakete mehr benutzt, deshalb soll dieses nun Script-Basierend ablaufen.
Das manuelle Ausführen des von mir erstellten Scripts (unter dem Benutzer Administrator) läuft einwandfrei,
beim Starten per GPO (Computereinstellungen .... Skript -- Start) will es jedoch einfach nicht.
Habe schon viel Debugged, aber ich komme nicht hinter den entsprechenden Fehler.
Umgebung:
Windows Server 2003 --> Mehrere Standorte
Clients Win XP / Win7
Eigentlich sollte es ja alles recht einfach sein.
Seit Office 2007 soll die installation (gemäß TECHNET) über ein Startup-Script ablaufen und fertig...
Selbiges gilt mit dem setup.exe-"Switch" /uninstall.
In unserem besonderen Fall wurde Office 2007 Enterprise leider per Hand (historisch bedingt) installiert,
und da nun auf Office 2010 der nächste Schritt erfolgen soll, dachte ich mir ich deinstalliere davor Office 2007.
--> Hintergrund ist, dass wir bislang immer nur 32-Bit Editionen installiert haben (trotz teilweise 64bit Win7) und mein neues Installationsscript für Office 2010
bei den 64 bit-Betriebssystemen auch entsprechend hier installiert. --> Wenn jedoch ein 32bit drauf ist, kann kein Upgrade durchgeführt werden usw. Lange rede kurzer Sinn... OFFICE 2007 soll zuvor runter.
Habe - um das ganze SILENT zu machen - die XML-Datei angepasst, die Software auf unser Software-Share gelegt (von hier installieren wir normalerweise per MSI) und eine BAT-Datei erstellt die das ganze Aufruft.
Die BAT sieht in etwa so aus:
echo %date% %time% %computername% Setup start with error code --script before runned--. >> \\10.49.1.100\Softwareverteilung\officeVLC\log.log
start /wait \\10.49.1.100\Softwareverteilung\officeVLC\setup.exe /config \\10.49.1.100\Softwareverteilung\officeVLC\Enterprise.WW\config_uninstall.xml /uninstall enterprise
echo %date% %time% %computername% Setup ended with error code --script after runned--. >> \\10.49.1.100\Softwareverteilung\officeVLC\log.log
pause
Wie Ihr seht habe ich mir sowohl schon kleine LOGs schreiben lassen, um zu sehen ob das ganze geht, als auch die PAUSE.
Die GPO ist natürlich so eingestellt das sie aufs Netzwerk wartet, Scripts asynchron ausgeführt werden, parallel ausgeführt werden, sichtbar ausgeführt werden usw.
Wenn ich das Script handisch (mit einem Benutzer --> Administrator) an einem Client ausführe funktioniert das ganze super.
Wenn die GPO beim Systemstart das ganze macht --> Script wird gestartet und ausgeführt, aber die Befehle die ihr oben seht werden mit "Zugriff verweigert" quittiert, deswegen auch das PAUSE um das zu sehen was der Fehler ist usw.
--> Na klar dacht ich mit liegt an den Zugriffsberechtigungen auf das Share, diese sind jedoch sowohl als Freigabe als auch NTFS für Domänencomputer und testhalber JEDER entsprechend gesetzt.
Ich kriege noch die Krise. Sitze mittlerweile seit 2 Tagen dran.
Woran liegt es? Was mache ich falsch? Was übersehe ich?
Habe davor noch nichts per Script installieren lassen, aber eigentlich kann das doch nicht so schwer sein ;)
Danke
P.S.: Wenn ich das Script bei der Benutzeranmeldung ausführen lasse, funktioniert alles bestens (aber normale User sind keine ADMINs wegen Softwaredeinstallation) und ich kann mich nicht an 600 Systme anmelden (alla Turnschuh-Admin)
Windows Server 2003 --> Mehrere Standorte
Clients Win XP / Win7
Eigentlich sollte es ja alles recht einfach sein.
Seit Office 2007 soll die installation (gemäß TECHNET) über ein Startup-Script ablaufen und fertig...
Selbiges gilt mit dem setup.exe-"Switch" /uninstall.
In unserem besonderen Fall wurde Office 2007 Enterprise leider per Hand (historisch bedingt) installiert,
und da nun auf Office 2010 der nächste Schritt erfolgen soll, dachte ich mir ich deinstalliere davor Office 2007.
--> Hintergrund ist, dass wir bislang immer nur 32-Bit Editionen installiert haben (trotz teilweise 64bit Win7) und mein neues Installationsscript für Office 2010
bei den 64 bit-Betriebssystemen auch entsprechend hier installiert. --> Wenn jedoch ein 32bit drauf ist, kann kein Upgrade durchgeführt werden usw. Lange rede kurzer Sinn... OFFICE 2007 soll zuvor runter.
Habe - um das ganze SILENT zu machen - die XML-Datei angepasst, die Software auf unser Software-Share gelegt (von hier installieren wir normalerweise per MSI) und eine BAT-Datei erstellt die das ganze Aufruft.
Die BAT sieht in etwa so aus:
echo %date% %time% %computername% Setup start with error code --script before runned--. >> \\10.49.1.100\Softwareverteilung\officeVLC\log.log
start /wait \\10.49.1.100\Softwareverteilung\officeVLC\setup.exe /config \\10.49.1.100\Softwareverteilung\officeVLC\Enterprise.WW\config_uninstall.xml /uninstall enterprise
echo %date% %time% %computername% Setup ended with error code --script after runned--. >> \\10.49.1.100\Softwareverteilung\officeVLC\log.log
pause
Wie Ihr seht habe ich mir sowohl schon kleine LOGs schreiben lassen, um zu sehen ob das ganze geht, als auch die PAUSE.
Die GPO ist natürlich so eingestellt das sie aufs Netzwerk wartet, Scripts asynchron ausgeführt werden, parallel ausgeführt werden, sichtbar ausgeführt werden usw.
Wenn ich das Script handisch (mit einem Benutzer --> Administrator) an einem Client ausführe funktioniert das ganze super.
Wenn die GPO beim Systemstart das ganze macht --> Script wird gestartet und ausgeführt, aber die Befehle die ihr oben seht werden mit "Zugriff verweigert" quittiert, deswegen auch das PAUSE um das zu sehen was der Fehler ist usw.
--> Na klar dacht ich mit liegt an den Zugriffsberechtigungen auf das Share, diese sind jedoch sowohl als Freigabe als auch NTFS für Domänencomputer und testhalber JEDER entsprechend gesetzt.
Ich kriege noch die Krise. Sitze mittlerweile seit 2 Tagen dran.
Woran liegt es? Was mache ich falsch? Was übersehe ich?
Habe davor noch nichts per Script installieren lassen, aber eigentlich kann das doch nicht so schwer sein ;)
Danke
P.S.: Wenn ich das Script bei der Benutzeranmeldung ausführen lasse, funktioniert alles bestens (aber normale User sind keine ADMINs wegen Softwaredeinstallation) und ich kann mich nicht an 600 Systme anmelden (alla Turnschuh-Admin)
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 174929
Url: https://administrator.de/contentid/174929
Printed on: April 23, 2024 at 07:04 o'clock
1 Comment
Ich denke ich hab die Lösung gefunden.
Ich hatte im Skript immer die IP-Adresse oder NETBIOS-Namen genommen. Dieser steht dem PC aber anscheinend zum Auflösung und Sachgerechten Aushandling/Übermittlung der System-Credentials beim anmelden noch nicht zur Verfügung.
Kaum geändert auf den FQDN und nen DHCP-Client zum Testen verwendet (sonst wird nämlich auch nicht aufs Netz gewartet --> es sollte wohl besser "Auf IP-Adresse warten" lauten, die bei meinem Test-PC halt leider fixiert war) und schon funktioniert es ;)
Vermutlich hängen die Credentials mit dem per DHCP standarisierten/übertragenen DNS-Suffix zusammen (sozusagen reliktmäßige Auflösung der Credentials aus LDAP-Zeit), da ich einen englischen Foren-Eintrag gelesen hatte, das jemand dies mit ner GPO (Computer-->Windows-->Netzwerk-->DNS-Suffix oder so ähnlich anhängen) gelöst hat.
Man lernt eben doch nie aus.
P.S.: Ich bin zwar kein Skript-Freak, aber die Install-Methode finde ich trotzdem super. Lasse mir jetzt zum Status-Test eines Clients nen eigenen Registry-Softwarebaum erstellen/auslesen und bin sofort an einem zentralen Punkt über die installierte Software informiert. (den Schalter baue ich nun auch in die MSI-Pakete mit ein oder in die jeweilige GPO als Mini-Skript nach erfolgreicher Installation).
Errors lass ich mir in LOGS schreiben die ich nach nem Rollout prüfe und das erleichtert mir das Monitoring enorm.
--> Deployment-Software war aus Kostengründen nicht gewünscht und die meisten brauchen dazu auch noch nen Agent (auch Freeware) der dann im Systemkontext im Hintergrund die ganze Zeit mitläuft.
Ein geiles Tool zum Debug war hier tatsächlich PSexec von SYSINTERNALS.
Hat mich über nen Telnet Emulation zumindest auf die richtige Spur gebracht --> denn wenn PC hochgefahren ist, geht ja IP und NETBIOS und alle Netzwerkdienste des Clients laufen auch schon sauber.
Hoffe ich konnte mit dem Erfahrungsbeitrag jemanden in Zukunft helfen.
@moderatoren: wäre froh über eure Verifizierung.
Grüße
Ich hatte im Skript immer die IP-Adresse oder NETBIOS-Namen genommen. Dieser steht dem PC aber anscheinend zum Auflösung und Sachgerechten Aushandling/Übermittlung der System-Credentials beim anmelden noch nicht zur Verfügung.
Kaum geändert auf den FQDN und nen DHCP-Client zum Testen verwendet (sonst wird nämlich auch nicht aufs Netz gewartet --> es sollte wohl besser "Auf IP-Adresse warten" lauten, die bei meinem Test-PC halt leider fixiert war) und schon funktioniert es ;)
Vermutlich hängen die Credentials mit dem per DHCP standarisierten/übertragenen DNS-Suffix zusammen (sozusagen reliktmäßige Auflösung der Credentials aus LDAP-Zeit), da ich einen englischen Foren-Eintrag gelesen hatte, das jemand dies mit ner GPO (Computer-->Windows-->Netzwerk-->DNS-Suffix oder so ähnlich anhängen) gelöst hat.
Man lernt eben doch nie aus.
P.S.: Ich bin zwar kein Skript-Freak, aber die Install-Methode finde ich trotzdem super. Lasse mir jetzt zum Status-Test eines Clients nen eigenen Registry-Softwarebaum erstellen/auslesen und bin sofort an einem zentralen Punkt über die installierte Software informiert. (den Schalter baue ich nun auch in die MSI-Pakete mit ein oder in die jeweilige GPO als Mini-Skript nach erfolgreicher Installation).
Errors lass ich mir in LOGS schreiben die ich nach nem Rollout prüfe und das erleichtert mir das Monitoring enorm.
--> Deployment-Software war aus Kostengründen nicht gewünscht und die meisten brauchen dazu auch noch nen Agent (auch Freeware) der dann im Systemkontext im Hintergrund die ganze Zeit mitläuft.
Ein geiles Tool zum Debug war hier tatsächlich PSexec von SYSINTERNALS.
Hat mich über nen Telnet Emulation zumindest auf die richtige Spur gebracht --> denn wenn PC hochgefahren ist, geht ja IP und NETBIOS und alle Netzwerkdienste des Clients laufen auch schon sauber.
Hoffe ich konnte mit dem Erfahrungsbeitrag jemanden in Zukunft helfen.
@moderatoren: wäre froh über eure Verifizierung.
Grüße
