117471
Apr 16, 2016
1616
13
0
SBS2011 - Fehlermeldung beim Hinzufügen von Anmeldescripten per GPO
Ich möchte über einen SBS2011 ein Anmeldescript für einen 2012r2 Server verteilen.
Ich habe das Verzeichnis mit den ADMX-Vorlagen um die Vorlagen für Windows 8 / Windows 2012r2 angereichert: https://www.microsoft.com/en-us/download/details.aspx?id=41193
D.h., ich habe dieses Paket installiert und im Anschluss den Inhalt von "C:\Program Files (x86)\Microsoft Group Policy\Windows 8.1-Windows Server 2012 R2\" nach "C:\Windows\PolicyDefinitions\" kopiert und die darin enthaltenen Dateien ggf. überschrieben (Vorher habe ich natürlich ein Backup von dem Ordner gemacht).
Ich erwähne das aus diesem Grund, weil das "eigentlich" die einzige Umbaumaßnahme ist, die ich an dem SBS2011 vorgenommen habe. Ich bin bestrebt, das Teil möglichst nicht anzufassen bzw. nur die Sachen auf dem Server zu konfigurieren, für die der SBS2011 eine gut dokumentierte offizielle "Best practice" anbietet.
Wenn ich in die Gruppenrichtlinienverwaltung gehe und einer Benutzerrichtlinie ein Anmeldescript hinzufügen möchte, gibt es da ja den Button "Dateien anzeigen". Der läuft momentan auf einen Fehler hinaus:
Wenn ich manuell (d.h. über den Windows-Explorer) in den Quellordner für die Freigabe wechseln möchte, mangelt es ebenfalls an Zugriffsrechten.
Ich bin mir ziemlich sicher, dass man das mit einer "Frickelei" (=Manipulation der Dateizugriffsberechtigungen) lösen kann. Aber eigentlich wollte ich ja nichts an dem SBS umbauen.
Ist das bei euch auch der Fall? Habe ich da jetzt überhaupt ein Problem?
Momentan behelfe ich mir damit, dass der RDP-Server im "Autostart-Ordner" für alle Benutzer ein Script liegen hat, dass dann bei der Anmeldung gestartet wird. Damit könnte ich "eigentlich" ganz gut leben. Aber "so richtig Original" ist das ja irgendwie nicht...
Ich habe das Verzeichnis mit den ADMX-Vorlagen um die Vorlagen für Windows 8 / Windows 2012r2 angereichert: https://www.microsoft.com/en-us/download/details.aspx?id=41193
D.h., ich habe dieses Paket installiert und im Anschluss den Inhalt von "C:\Program Files (x86)\Microsoft Group Policy\Windows 8.1-Windows Server 2012 R2\" nach "C:\Windows\PolicyDefinitions\" kopiert und die darin enthaltenen Dateien ggf. überschrieben (Vorher habe ich natürlich ein Backup von dem Ordner gemacht).
Ich erwähne das aus diesem Grund, weil das "eigentlich" die einzige Umbaumaßnahme ist, die ich an dem SBS2011 vorgenommen habe. Ich bin bestrebt, das Teil möglichst nicht anzufassen bzw. nur die Sachen auf dem Server zu konfigurieren, für die der SBS2011 eine gut dokumentierte offizielle "Best practice" anbietet.
Wenn ich in die Gruppenrichtlinienverwaltung gehe und einer Benutzerrichtlinie ein Anmeldescript hinzufügen möchte, gibt es da ja den Button "Dateien anzeigen". Der läuft momentan auf einen Fehler hinaus:
Wenn ich manuell (d.h. über den Windows-Explorer) in den Quellordner für die Freigabe wechseln möchte, mangelt es ebenfalls an Zugriffsrechten.
Ich bin mir ziemlich sicher, dass man das mit einer "Frickelei" (=Manipulation der Dateizugriffsberechtigungen) lösen kann. Aber eigentlich wollte ich ja nichts an dem SBS umbauen.
Ist das bei euch auch der Fall? Habe ich da jetzt überhaupt ein Problem?
Momentan behelfe ich mir damit, dass der RDP-Server im "Autostart-Ordner" für alle Benutzer ein Script liegen hat, dass dann bei der Anmeldung gestartet wird. Damit könnte ich "eigentlich" ganz gut leben. Aber "so richtig Original" ist das ja irgendwie nicht...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 302026
Url: https://administrator.de/contentid/302026
Printed on: April 18, 2024 at 02:04 o'clock
13 Comments
Latest comment
Du kannst das anmeldescript dem Benutzer in seinem Profil zuordnen im Adds editor, das Script selbst sollte im Sysvol Ordner liegen. %logonserver%\netlogon
Benutzt du die gpo für das anmeldescript sollte das Script hier: \\FQDN\SYSVOL\FQDN\policies\<GUID>\user\scripts\logon
Gespeichert werden.
Benutzt du die gpo für das anmeldescript sollte das Script hier: \\FQDN\SYSVOL\FQDN\policies\<GUID>\user\scripts\logon
Gespeichert werden.
Ja. Und genau an diesen Ordner komme ich mangels Zugriffsrechte nicht ran.
Deshalb habe ich diesen Beitrag verfasst...?!?
Deshalb habe ich diesen Beitrag verfasst...?!?
Mit welchem Benutzer bist du angemeldet? Lesezugriff sollten alle Benutzer haben.
Rufst du den Ordner über die Freigabe auf oder über c: Windows\SYSVOL\... \netlogon?
Rufst du den Ordner über die Freigabe auf oder über c: Windows\SYSVOL\... \netlogon?
Ich bin mit HTM\htmadmin angemeldet.
Das ist der administrative Benutzer, den der SBS seinerzeit im Rahmen der Erstinstallation "gebaut" hat. Ich komme weder über die Freigabe, noch über das Dateisystem "drauf".
Ich bin mir nicht sicher, ob dieses Verfahren, Startscripte via GPO zu verteilen, überhaupt vom SBS unterstützt wird...
Hast Du so einen SBS stehen, bei dem das geht? Könnten wir morgen oder "die Tage mal" Zugriffsberechtigungen und Gruppenzugehörigkeiten vergleichen?
Das ist der administrative Benutzer, den der SBS seinerzeit im Rahmen der Erstinstallation "gebaut" hat. Ich komme weder über die Freigabe, noch über das Dateisystem "drauf".
Ich bin mir nicht sicher, ob dieses Verfahren, Startscripte via GPO zu verteilen, überhaupt vom SBS unterstützt wird...
Hast Du so einen SBS stehen, bei dem das geht? Könnten wir morgen oder "die Tage mal" Zugriffsberechtigungen und Gruppenzugehörigkeiten vergleichen?
Der Sysvol Ordner gehört zu Adds und funktioniert auch beim sbs.
Wenn du über den Explorer den Pfad aufrufst wie weit kommst du denn da?
Ab wo wird dir der Zugriff verweigert?
Schon bei c: Windows\SYSVOL oder kommst du da auch schon nicht hin?
Wie lautet denn die Domäne? HTM.irgendwas.de
Wenn du über den Explorer den Pfad aufrufst wie weit kommst du denn da?
Ab wo wird dir der Zugriff verweigert?
Schon bei c: Windows\SYSVOL oder kommst du da auch schon nicht hin?
Wie lautet denn die Domäne? HTM.irgendwas.de
Moin,
. Ist bei mir schon etwas länger her, aber IMHO sollte dieses Konto nach der Installation / Migration wieder deaktiviert werden. Schau mal nach, das Konto sollte Mitglied u.a. der SBS-administrators sowie der Domänen-admins sein.
LG, Thomas
Das ist der administrative Benutzer, den der SBS seinerzeit im Rahmen der Erstinstallation "gebaut" hat.
nö, den hast Du gebaut ... . Ist bei mir schon etwas länger her, aber IMHO sollte dieses Konto nach der Installation / Migration wieder deaktiviert werden. Schau mal nach, das Konto sollte Mitglied u.a. der SBS-administrators sowie der Domänen-admins sein.LG, Thomas
Zitat von @keine-ahnung:
nö, den hast Du gebaut .... Ist bei mir schon etwas länger her, aber IMHO sollte dieses Konto nach der Installation / Migration wieder deaktiviert werden.
nö, den hast Du gebaut ...
. Ist bei mir schon etwas länger her, aber IMHO sollte dieses Konto nach der Installation / Migration wieder deaktiviert werden.Das wäre fatal, da dieses Konto das Einzige ist, dass nach der (Grund-)Installation mit bekannten Zugangsdaten zur Verfügung steht...?!?
Das Konto ist Mitglied von:
- All Users
- Benutzer von Windows SBS-Remotewebzugriff
- Domänen-Admins
- Domänen-Benutzer
- Organisations-Admins
- Schema-Admins
- Windows SBS Administrators
- Windows SBS-Faxadministratoren
- Windows SBS-Faxbenutzer
- Windows SBS-Linkbenutzer
- Windows SBS-SharePoint-Besitzer
- Windows SBS-Verwaltungstoolgruppe
- Windows SBS-VPN-Benutzer
Den Ordner C:\Windows\sysvol\domain\Policies\ kann ich sehen. Dort liegen diverse Ordner mit irgendwelchen IDs. In einige komme ich mit dem Windows-Explorer rein, in andere nicht.
In folgende Ordner kann ich mit dem Windows-Explorer wechseln:
Path : Microsoft.PowerShell.Core\FileSystem::C:\Windows\sysvol\domain\Policies\{5AD5C4F3-xxx}
Owner : NT-AUTORITÄT\SYSTEM
Group : VORDEFINIERT\Administratoren
Access : {System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule...}
Path : Microsoft.PowerShell.Core\FileSystem::C:\Windows\sysvol\domain\Policies\{6AC1786C-xxx}
Owner : VORDEFINIERT\Administratoren
Group : NT-AUTORITÄT\SYSTEM
Access : {System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule...}
Path : Microsoft.PowerShell.Core\FileSystem::C:\Windows\sysvol\domain\Policies\{13E80550-xxx}
Owner : HTM\Domänen-Admins
Group : HTM\Domänen-Admins
Access : {System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule...}
Path : Microsoft.PowerShell.Core\FileSystem::C:\Windows\sysvol\domain\Policies\{31B2F340-xxx}
Owner : VORDEFINIERT\Administratoren
Group : NT-AUTORITÄT\SYSTEM
Access : {System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule...}
Path : Microsoft.PowerShell.Core\FileSystem::C:\Windows\sysvol\domain\Policies\{71C06D44-xxx}
Owner : HTM\Domänen-Admins
Group : HTM\Domänen-Admins
Access : {System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule...}
Path : Microsoft.PowerShell.Core\FileSystem::C:\Windows\sysvol\domain\Policies\{83BE8AED-xxx}
Owner : HTM\Domänen-Admins
Group : HTM\Domänen-Admins
Access : {System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule...}
Path : Microsoft.PowerShell.Core\FileSystem::C:\Windows\sysvol\domain\Policies\{802E81BA-xxx}
Owner : HTM\Domänen-Admins
Group : HTM\Domänen-Admins
Access : {System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule...}
Path : Microsoft.PowerShell.Core\FileSystem::C:\Windows\sysvol\domain\Policies\{374282D9-xxx}
Owner : HTM\Domänen-Admins
Group : HTM\Domänen-Admins
Access : {System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule...}
Path : Microsoft.PowerShell.Core\FileSystem::C:\Windows\sysvol\domain\Policies\{A44FE3E0-xxx}
Owner : HTM\Domänen-Admins
Group : HTM\Domänen-Admins
Access : {System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule...}
Path : Microsoft.PowerShell.Core\FileSystem::C:\Windows\sysvol\domain\Policies\{ADF74B7D-xxx}
Owner : HTM\Domänen-Admins
Group : HTM\Domänen-Admins
Access : {System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule...}
Path : Microsoft.PowerShell.Core\FileSystem::C:\Windows\sysvol\domain\Policies\{C788586E-xxx}
Owner : HTM\Domänen-Admins
Group : HTM\Domänen-Admins
Access : {System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule...}
Path : Microsoft.PowerShell.Core\FileSystem::C:\Windows\sysvol\domain\Policies\{CD90F944-xxx}
Owner : HTM\Domänen-Admins
Group : HTM\Domänen-Admins
Access : {System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule...}
Path : Microsoft.PowerShell.Core\FileSystem::C:\Windows\sysvol\domain\Policies\{E107169B-xxx}
Owner : HTM\Domänen-Admins
Group : HTM\Domänen-Admins
Access : {System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule...}
Path : Microsoft.PowerShell.Core\FileSystem::C:\Windows\sysvol\domain\Policies\{FEA0795D-xxx}
Owner : HTM\Domänen-Admins
Group : HTM\Domänen-Admins
Access : {System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule...}In folgende Ordner komme ich nicht mit dem Explorer rein:
Path : Microsoft.PowerShell.Core\FileSystem::C:\Windows\sysvol\domain\Policies\{161CD918-xxx}
Owner : HTM\Domänen-Admins
Group : HTM\Domänen-Admins
Access : {System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule...}
Path : Microsoft.PowerShell.Core\FileSystem::C:\Windows\sysvol\domain\Policies\{238AE277-xxx}
Owner : HTM\Domänen-Admins
Group : HTM\Domänen-Admins
Access : {System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule...}
Path : Microsoft.PowerShell.Core\FileSystem::C:\Windows\sysvol\domain\Policies\{35DF22C7-xxx}
Owner : HTM\Domänen-Admins
Group : HTM\Domänen-Admins
Access : {System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule...}
Path : Microsoft.PowerShell.Core\FileSystem::C:\Windows\sysvol\domain\Policies\{772AE405-xxx}
Owner : HTM\Domänen-Admins
Group : HTM\Domänen-Admins
Access : {System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule...}
Path : Microsoft.PowerShell.Core\FileSystem::C:\Windows\sysvol\domain\Policies\{3429AEAC-xxx}
Owner : NT-AUTORITÄT\SYSTEM
Group : VORDEFINIERT\Administratoren
Access : {System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule...}
Path : Microsoft.PowerShell.Core\FileSystem::C:\Windows\sysvol\domain\Policies\{93685438-xxx}
Owner : HTM\Domänen-Admins
Group : HTM\Domänen-Admins
Access : {System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule, System.Security.AccessControl.FileSystemAccessRule}Was mich ehrlich gesagt etwas wundert - der SBS ist ja quasi "jungfräulich inklusive Windows-Updates". Ich schwöre: Ich habe keinerlei "Spielereien" (wie z.B. "Gruppe löschen und unter gleichen Namen wieder anlegen") unternommen, die dazu führen könnten, dass SIDs neu vergeben wurden.
Moin,
das bei der Installation der SBS Komponenten eingerichtete Adminkonto wird mit Sicherheit nicht deaktiviert.
Es gibt aber noch ein vordefiniertes Adminkonto für die Verwaltung des Computers. Das ist nach der Installation des SBS Komponenten
standardmäßig deaktiviert. Siehst Du auch im AD unter Benutzer und Computer.
Gruß
Uwe
das bei der Installation der SBS Komponenten eingerichtete Adminkonto wird mit Sicherheit nicht deaktiviert.
Es gibt aber noch ein vordefiniertes Adminkonto für die Verwaltung des Computers. Das ist nach der Installation des SBS Komponenten
standardmäßig deaktiviert. Siehst Du auch im AD unter Benutzer und Computer.
Gruß
Uwe
Zitat von @transocean:
das bei der Installation der SBS Komponenten eingerichtete Adminkonto wird mit Sicherheit nicht deaktiviert.
das bei der Installation der SBS Komponenten eingerichtete Adminkonto wird mit Sicherheit nicht deaktiviert.
Sag ich doch
Aber weiterhelfen tut mir diese Information momentan nicht. Im Augenblick bin ich gerade dabei, einen zweiten jungfräulichen SBS aufzusetzen und zu gucken, wie die Zugriffsrechte out-of-the-Box aussehen.
Irgendwie muss ich ja weiterkommen.
Ich glaube, ich nähere mich gerade dem Ziel...
Ich möchte, dass das Anmeldescript "nur" für Benutzer gilt, die einer von vier Gruppen angehören.
Ich habe das Gruppenrichtlinienobjekt dahingehend verändert, dass ich in der Sicherheitsfilterung lediglich diese vier Gruppen stehen habe (d.h. die "Authentifizierten Benutzer" habe ich da rausgenommen).
Soweit ich richtig gelesen habe, werden diese Einstellungen auch auf die ACL für die Ordner im SYSVOL übernommen.
Ich habe das Objekt noch einmal neu angelegt, die Sicherheitsfilterung auf "Authentifizierte Benutzer" stehen gelassen und statt dessen den Domänen-Admins unter "Delegierung" explizit das Ausführrecht verweigert.
Sieht gut aus...^^
Aber noch einmal eine abschließende Frage: In dem Ordner liegen jetzt ja diverse Unterverzeichnisse, die zur fehlerhaften Gruppenrichtlinie gehören. Kann ich diese "irgendwie" identifizieren; oder werden die beim Löschen der Gruppenrichtlinie automatisch mitgelöscht?
Ich möchte, dass das Anmeldescript "nur" für Benutzer gilt, die einer von vier Gruppen angehören.
Ich habe das Gruppenrichtlinienobjekt dahingehend verändert, dass ich in der Sicherheitsfilterung lediglich diese vier Gruppen stehen habe (d.h. die "Authentifizierten Benutzer" habe ich da rausgenommen).
Soweit ich richtig gelesen habe, werden diese Einstellungen auch auf die ACL für die Ordner im SYSVOL übernommen.
Ich habe das Objekt noch einmal neu angelegt, die Sicherheitsfilterung auf "Authentifizierte Benutzer" stehen gelassen und statt dessen den Domänen-Admins unter "Delegierung" explizit das Ausführrecht verweigert.
Sieht gut aus...^^
Aber noch einmal eine abschließende Frage: In dem Ordner liegen jetzt ja diverse Unterverzeichnisse, die zur fehlerhaften Gruppenrichtlinie gehören. Kann ich diese "irgendwie" identifizieren; oder werden die beim Löschen der Gruppenrichtlinie automatisch mitgelöscht?
Moin,
! Ich meinte das zusätzliche administrative Konto für die Migration, nicht für die Installation. Mea culpa! Mea maxima culpa!!
LG, Thomas
Das Konto ist Mitglied von:
sieht schick aus.das bei der Installation der SBS Komponenten eingerichtete Adminkonto wird mit Sicherheit nicht deaktiviert.
Ist ein Irrtum vom Amt gewesen ... man wird nicht jünger ! Ich meinte das zusätzliche administrative Konto für die Migration, nicht für die Installation. Mea culpa! Mea maxima culpa!!LG, Thomas
Das letztere kann ich dir leider nicht beantworten da ich mit dieser Art von logonscript noch nicht so viel gemacht habe.
Ist dein Problem denn jetzt gelöst?
Ist dein Problem denn jetzt gelöst?
Yo, läuft.
Wie gesagt - das Problem war wohl, dass ich nicht wusste, dass die Berechtigungen (von den Ordnern) aus den Einstellungen in der Gruppenrichtlinie gebildet werden.
Welcher Beitrag hat denn "zur Lösung beigetragen"?^^
Wie gesagt - das Problem war wohl, dass ich nicht wusste, dass die Berechtigungen (von den Ordnern) aus den Einstellungen in der Gruppenrichtlinie gebildet werden.
Welcher Beitrag hat denn "zur Lösung beigetragen"?^^
