6
Windows 7 Fehlende Berechtigungen als Domänen-Admin
Grüsse liebe Admins,
zwecks Performanceproblemen unserer CAD - Maschinen planen wir in unserem Betrieb den Umstieg auf Win7 64Bit.
Zu Testzwecken habe ich hierzu nun die ersten Maschinen mit der Ultimate - Version ausgestattet und habe leider mit unzähligen Problemen zu kämpfen:
Beispielsweise fehlen mir, nach einbinden der Maschine in die Domäne selbst die Berechtigungen, auf unser Laufwerk C: zu schreiben. Laut NTFS - Berechtigungen verfüge ich jedoch natürlich über Vollzugriff.
Dies hat massive Einschränkungen zur Folge: Jegliche Batchfiles, Scripts etc. laufen überhaupt nicht durch, das Loginscript mappt keinerlei Netzlaufwerke, installiert keine Drucker, kopiert keinerlei Vorlagen, darf nicht in die Registry schreiben, nichts. Manuell kann ich dann jedoch trotzdem benötigte Ordner beispielsweise nach C:\Programme verschieben; Werde aber jedesmal dazu aufgefordert, die Aktion erneut mit meinen Logindaten zu bestätigen (Was ich allgemein bei jeder Kleinigkeit machen muss). Führe ich die ganzen Batchfiles etc. jedoch aus, bevor ich der Domäne beitrete, ergeben sich keinerlei Probleme und es läuft alles sauber durch.
Gleichzeitig kann ich nicht über Remotedesktop auf die Maschine zugreifen (Die erforderlichen Einstellungen wurden alle getätigt), umgekehrt erreiche ich auf der Win7 Maschine aber alle anderen Clients und Server. Remoteinstallationen von Software über Administrationkits funktionieren genausowenig.
Ich bin echt am Ende mit meinem Latein; Informationen über besagte Probleme find ich leider keine. Einzig die GPO's zieht er sauber. Ansonsten aber habe ich das Gefühl, dass alle Probleme von fehlenden Berechtigungen herführen. Jegliche Server laufen übrigens unter W2k3 bei uns.
Kann dies vielleicht jemand von Euch nachvollziehen?
Gruss
Trema
zwecks Performanceproblemen unserer CAD - Maschinen planen wir in unserem Betrieb den Umstieg auf Win7 64Bit.
Zu Testzwecken habe ich hierzu nun die ersten Maschinen mit der Ultimate - Version ausgestattet und habe leider mit unzähligen Problemen zu kämpfen:
Beispielsweise fehlen mir, nach einbinden der Maschine in die Domäne selbst die Berechtigungen, auf unser Laufwerk C: zu schreiben. Laut NTFS - Berechtigungen verfüge ich jedoch natürlich über Vollzugriff.
Dies hat massive Einschränkungen zur Folge: Jegliche Batchfiles, Scripts etc. laufen überhaupt nicht durch, das Loginscript mappt keinerlei Netzlaufwerke, installiert keine Drucker, kopiert keinerlei Vorlagen, darf nicht in die Registry schreiben, nichts. Manuell kann ich dann jedoch trotzdem benötigte Ordner beispielsweise nach C:\Programme verschieben; Werde aber jedesmal dazu aufgefordert, die Aktion erneut mit meinen Logindaten zu bestätigen (Was ich allgemein bei jeder Kleinigkeit machen muss). Führe ich die ganzen Batchfiles etc. jedoch aus, bevor ich der Domäne beitrete, ergeben sich keinerlei Probleme und es läuft alles sauber durch.
Gleichzeitig kann ich nicht über Remotedesktop auf die Maschine zugreifen (Die erforderlichen Einstellungen wurden alle getätigt), umgekehrt erreiche ich auf der Win7 Maschine aber alle anderen Clients und Server. Remoteinstallationen von Software über Administrationkits funktionieren genausowenig.
Ich bin echt am Ende mit meinem Latein; Informationen über besagte Probleme find ich leider keine. Einzig die GPO's zieht er sauber. Ansonsten aber habe ich das Gefühl, dass alle Probleme von fehlenden Berechtigungen herführen. Jegliche Server laufen übrigens unter W2k3 bei uns.
Kann dies vielleicht jemand von Euch nachvollziehen?
Gruss
Trema
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 130852
Url: https://administrator.de/contentid/130852
Printed on: April 26, 2024 at 01:04 o'clock
6 Comments
Latest comment
Setz Dich mit der UAC auseinander. Vor allem lies nach, was elevation bedeutet.
Zwei Anmerkungen noch:
1)Skripte, die Adminrechte brauchen, dürfen nicht Loginskripte sein, sondern Startskripte.
2)Netzlaufwerke haben nichts mit Rechten zu tun, die Skripte zum Verbinden müssen immer funktionieren.
Zwei Anmerkungen noch:
1)Skripte, die Adminrechte brauchen, dürfen nicht Loginskripte sein, sondern Startskripte.
2)Netzlaufwerke haben nichts mit Rechten zu tun, die Skripte zum Verbinden müssen immer funktionieren.
Ich kann Dir weiterhelfen, wenn Du konkrete Fragen stellst.
-auf c: (und auf c:\program files und unterhalb von c:\windows) schreiben - erst nach elevation, Du bist erst Admin, nachdem eine Sicherheitsabfrage (Fortsetzen?) erfolgt. Wird diese nicht getriggert, ist das Programm nicht UAC-kompatibel. Jedoch kann man dies meist umgehen und in diese Orte konnte man auch unter xp nur als Admin (oder Halbadmin Hauptbenutzer) schreiben.
-Batchfiles und Skripte laufen generell genauso - wo liegt das Problem genau?
-Mappings (siehe unten) scheren sich nicht um Rechte, wenn mit net use verbunden.
-Drucker - siehe xp, nur als Admin oder Hauptbenutzer (oder über GPO-Verteilung)
-Vorlagen kopieren - doch, kommt darauf an, wohin.
-Registry - wie xp. nur unter HKCU kann der Nutzer schreiben. Der Admin kann nach Hochstufung überall hin schreiben - sag, was Du machst.
-eine erneute Bestätigung mit den Logindaten ist nur dann erforderlich, wenn Du es so eingestellt hast. Standard: Admin approval (nur fortsetzen bzw. ja klicken). Für Benutzer natürlich Kennworteingabe, aber nicht das eigene, soindern das des Admins, sofern bekannt.
-RDP geht auch - welche Einstellungen hast Du getätigt, Port 3389 ist am Lauschen?
-Remoteinst. über Adminkits - wovon sprichst Du genau? Oftmals ist das Problem, das seit Vista der Dienst remote registry nicht mehr automatisch startet - kann man umändern.
So. Nun kannst Du in aller Ausführlichkeit auf jeden Punkt eingehen. Ich beschäftige mich seit Jahren mit einer reinen Vista-Domäne und bei W7 ist es haargenau so.
-auf c: (und auf c:\program files und unterhalb von c:\windows) schreiben - erst nach elevation, Du bist erst Admin, nachdem eine Sicherheitsabfrage (Fortsetzen?) erfolgt. Wird diese nicht getriggert, ist das Programm nicht UAC-kompatibel. Jedoch kann man dies meist umgehen und in diese Orte konnte man auch unter xp nur als Admin (oder Halbadmin Hauptbenutzer) schreiben.
-Batchfiles und Skripte laufen generell genauso - wo liegt das Problem genau?
-Mappings (siehe unten) scheren sich nicht um Rechte, wenn mit net use verbunden.
-Drucker - siehe xp, nur als Admin oder Hauptbenutzer (oder über GPO-Verteilung)
-Vorlagen kopieren - doch, kommt darauf an, wohin.
-Registry - wie xp. nur unter HKCU kann der Nutzer schreiben. Der Admin kann nach Hochstufung überall hin schreiben - sag, was Du machst.
-eine erneute Bestätigung mit den Logindaten ist nur dann erforderlich, wenn Du es so eingestellt hast. Standard: Admin approval (nur fortsetzen bzw. ja klicken). Für Benutzer natürlich Kennworteingabe, aber nicht das eigene, soindern das des Admins, sofern bekannt.
-RDP geht auch - welche Einstellungen hast Du getätigt, Port 3389 ist am Lauschen?
-Remoteinst. über Adminkits - wovon sprichst Du genau? Oftmals ist das Problem, das seit Vista der Dienst remote registry nicht mehr automatisch startet - kann man umändern.
So. Nun kannst Du in aller Ausführlichkeit auf jeden Punkt eingehen. Ich beschäftige mich seit Jahren mit einer reinen Vista-Domäne und bei W7 ist es haargenau so.
Grüss Dich,
vielen Dank schonmal für die ausführliche Antwort;
- Den Punkt mit der elevation konnte ich durch das Ändern der UAC - Einstellungen natürlich beheben. Komischerweise erschien beim Kopieren von Daten direkt auf das Laufwerk C: jedoch davor gar keine Passwortabfrage, sondern der Zugriff wurde mir direkt verweigert. Dies hat sich dadurch nun aber auch erledigt, was ich jedoch ehrlich gesagt nicht verstehe. Beim Loginscript hingegen, wo wir z.B. jeweils unsere aktuellen Vorlagen direkt ins Installationsverzeichnis von Office kopieren, klappen solche Dinge trotzdem noch nicht.
- Das Problem bei den Batchfiles ist, dass diese effektiv nicht durchlaufen sobald ich in der Domäne bin (Beispielsweise die Installation unserer CAD - Software, Office'03 und dergleichen). Das cmd- Fenster schliesst sich kommentarlos, in der Ereignisanzeige erscheint nix. Komisch dabei ist, dass dies jedoch funktioniert, wenn ich die Installationspakete erst lokal auf meine Platte kopiere, die Pfade im Batchfile anpasse und die Installation durchführe bevor(!) ich der Domäne beitrete.
Dies deutet für mich darauf hin, dass ich in Win7 beim Einloggen als Domänen - Admin meine entsprechenden Berechtigungen nicht erhalte, bei Dingen wie msconfig etc. wird mir der Zugriff auch verweigert. Also hab ich folgendes versucht: Ich logge erneut als lokal Admin ein und füge das Domänen - Adminkonto manuell unter den Benutzerkonten hinzu und verpasse ihm die entsprechende Adminrolle. Dies behebt bereits einige Probleme, sprich ich kann an den NTFS - Berechtigungen schrauben, msconfig aufrufen etc. jedoch weiterhin keine Batchfiles erfolgreich ausführen. Komischerweise kann ich auch nicht einmal einen weiteren Standardbenutzer unter den Benutzerkonten anlegen obwohl mein Konto nun ja effektiv als Administrator aufgeführt wird -> Zugriff verweigert.
- Das Problem mit den Mappings konnte ich zum Glück erfolgreich lösen.
- Bezüglich Registry sollen durch das Loginscript automatisch Anpassungen bei der CAD - Software vorgenommen werden. Dies wird unter "HKCU\Software\..." geschrieben, jedoch erscheint auch hier lediglich die Meldung Zugriff verweigert.
- RDP soll im lokalen Firmennetzwerk passieren, Port 3389 wäre aber auch am lauschen, ja. Die Windowsfirewall ist zwar standardmässig deaktiviert, die erforderlichen Punkte habe ich darin aber trotzdem jeweils angepasst. über DameWare würde ich sogar auch auf die Maschine gelangen, jedoch soll dies nicht die Lösung sein. Punkte wie "Verbindungen von Computer zulassen, auf denen eine beliebige Version von Remotedekstop ausgeführt wird" oder Fernsteuerung sind selbstverständlich aber aktiviert. Wie gesagt, von Win7 auf jegliche anderen Maschinen (XP, W2K3) klappt problemlos, umgekehrt erscheint jedoch jeweils die Meldung, dass keine Verbindung hergestellt werden kann. Ereignisanzeige zeigt mir hierzu nix, Kaspersky hab ich sicherheitshalber auch mal deaktiviert, WinFirewall wie erwähnt ausgeschaltet.
- Bezüglich Remoteinstallation meine ich z.B. Kaspersky. Bei der Installation über das Adminkit kann der Computer nicht erreicht werden; Installiere ich Kaspersky danach aber lokal vor Ort, kann ich über das Adminkit problemlos Tasks anstossen, also ist er ja erreichbar. Kann hier ev. aber doch ein Verbindungsproblem vorherrschen?
Soweit mal meine Problemstellung, ich hoffe, sie ist einigermassen nachvollziehbar. Vorallem bezüglich den Rechten stimmt hier etwas ganz und gar nicht bzw. ist für mich in keinster Weise logisch. Darum habe ich auch schon längstens mal neu aufgesetzt, was keinerlei Besserung brachte.
Gruss
Trema
vielen Dank schonmal für die ausführliche Antwort;
- Den Punkt mit der elevation konnte ich durch das Ändern der UAC - Einstellungen natürlich beheben. Komischerweise erschien beim Kopieren von Daten direkt auf das Laufwerk C: jedoch davor gar keine Passwortabfrage, sondern der Zugriff wurde mir direkt verweigert. Dies hat sich dadurch nun aber auch erledigt, was ich jedoch ehrlich gesagt nicht verstehe. Beim Loginscript hingegen, wo wir z.B. jeweils unsere aktuellen Vorlagen direkt ins Installationsverzeichnis von Office kopieren, klappen solche Dinge trotzdem noch nicht.
- Das Problem bei den Batchfiles ist, dass diese effektiv nicht durchlaufen sobald ich in der Domäne bin (Beispielsweise die Installation unserer CAD - Software, Office'03 und dergleichen). Das cmd- Fenster schliesst sich kommentarlos, in der Ereignisanzeige erscheint nix. Komisch dabei ist, dass dies jedoch funktioniert, wenn ich die Installationspakete erst lokal auf meine Platte kopiere, die Pfade im Batchfile anpasse und die Installation durchführe bevor(!) ich der Domäne beitrete.
Dies deutet für mich darauf hin, dass ich in Win7 beim Einloggen als Domänen - Admin meine entsprechenden Berechtigungen nicht erhalte, bei Dingen wie msconfig etc. wird mir der Zugriff auch verweigert. Also hab ich folgendes versucht: Ich logge erneut als lokal Admin ein und füge das Domänen - Adminkonto manuell unter den Benutzerkonten hinzu und verpasse ihm die entsprechende Adminrolle. Dies behebt bereits einige Probleme, sprich ich kann an den NTFS - Berechtigungen schrauben, msconfig aufrufen etc. jedoch weiterhin keine Batchfiles erfolgreich ausführen. Komischerweise kann ich auch nicht einmal einen weiteren Standardbenutzer unter den Benutzerkonten anlegen obwohl mein Konto nun ja effektiv als Administrator aufgeführt wird -> Zugriff verweigert.
- Das Problem mit den Mappings konnte ich zum Glück erfolgreich lösen.
- Bezüglich Registry sollen durch das Loginscript automatisch Anpassungen bei der CAD - Software vorgenommen werden. Dies wird unter "HKCU\Software\..." geschrieben, jedoch erscheint auch hier lediglich die Meldung Zugriff verweigert.
- RDP soll im lokalen Firmennetzwerk passieren, Port 3389 wäre aber auch am lauschen, ja. Die Windowsfirewall ist zwar standardmässig deaktiviert, die erforderlichen Punkte habe ich darin aber trotzdem jeweils angepasst. über DameWare würde ich sogar auch auf die Maschine gelangen, jedoch soll dies nicht die Lösung sein. Punkte wie "Verbindungen von Computer zulassen, auf denen eine beliebige Version von Remotedekstop ausgeführt wird" oder Fernsteuerung sind selbstverständlich aber aktiviert. Wie gesagt, von Win7 auf jegliche anderen Maschinen (XP, W2K3) klappt problemlos, umgekehrt erscheint jedoch jeweils die Meldung, dass keine Verbindung hergestellt werden kann. Ereignisanzeige zeigt mir hierzu nix, Kaspersky hab ich sicherheitshalber auch mal deaktiviert, WinFirewall wie erwähnt ausgeschaltet.
- Bezüglich Remoteinstallation meine ich z.B. Kaspersky. Bei der Installation über das Adminkit kann der Computer nicht erreicht werden; Installiere ich Kaspersky danach aber lokal vor Ort, kann ich über das Adminkit problemlos Tasks anstossen, also ist er ja erreichbar. Kann hier ev. aber doch ein Verbindungsproblem vorherrschen?
Soweit mal meine Problemstellung, ich hoffe, sie ist einigermassen nachvollziehbar. Vorallem bezüglich den Rechten stimmt hier etwas ganz und gar nicht bzw. ist für mich in keinster Weise logisch. Darum habe ich auch schon längstens mal neu aufgesetzt, was keinerlei Besserung brachte.
Gruss
Trema
Kurze Anmerkung noch: Wir laufen noch auf W2k3 SP1! Könnte hier SP2 ev. Abhilfe schaffen?
Komischerweise erschien beim Kopieren von Daten direkt auf das Laufwerk C: jedoch davor gar keine Passwortabfrage
Die UAC wird nicht bei allen Vorgängen getriggert, wo man das erwarten sollte. Selbst MS-Entwickler haben dies manchmal verschwitzt. Beim Loginscript hingegen, wo wir z.B. jeweils unsere aktuellen Vorlagen direkt ins Installationsverzeichnis von Office kopieren, klappen solche Dinge trotzdem noch nicht.
Wohin kopiert Ihr? Vermutlich nutzt ihr Pfade und nicht Variablen. Die Pfade haben sich bei Vista und W7 geändert. Nutzt %ProgramFiles% und %ProgramFiles(x86)%.Das Problem bei den Batchfiles ist, dass diese effektiv nicht durchlaufen...
was leisten diese Batchfiles? Gib mal ein, zwei an....wenn ich die Installationspakete erst lokal auf meine Platte kopiere...
installieren Sie vom Netz? Dann musst Du folgenden Registryeintrag setzen: http://www.jimmah.com/vista/Networking/filtertoken.aspxbei Dingen wie msconfig etc. wird mir der Zugriff auch verweigert
Bitte? Das ist nicht normal. Domäne hat damit nichts zu tun. Was läuft denn bei Euch verkehrt? Wenn Du der Domäne beitritts, wird unter der lokalen Admingruppe doch die Nutzergruppe Domänenadmins hinzugefügt - oder bleibt das aus?... "HKCU\Software\..." geschrieben, jedoch erscheint auch hier lediglich die Meldung Zugriff verweigert.
Kann nicht sein. HKCU ist mit Nutzerrechten beschreibbar, hier kann jeder Nutzer tun und lassen, worauf er Bock hat. Was ist da los? Prüf die Rechte auf die Regzweige und versuche, manuell als Nutzer zu editieren - gelingt das?Die Windowsfirewall ist zwar standardmässig deaktiviert
Aktivier die Firewall, setzt Deine Einstellungen für remote desktop erneut. Versuch mit telnet von außen Port 3389 anzugehen - geht das?-Kaspersky - setzen wir unter Vista ein - Remoteinstallation braucht Zugriff auf admin$-Freigabe und den Remote Registrydienst. In Standardeinstellungen also nicht möglich. Filtertoken setzen, siehe oben, und Dienst aktivieren.
-2003 SP2 - was hat ein Server-SP mit den Clients in diesem Fall zu tun? Sehe ich keine Zusammenhang. Im Zweifel immer installieren, ist doch klar.
Solä, ich konnte mich heut wieder der Maschine widmen und die Lösung der Fehler wohl selbst gefunden; Echt peinlich.
Wie erwähnt musste ich testweise Kaspersky lokal installieren, wozu aber gleichzeitig das Adminkit 8 nötig war. Dieses habes ich dann kurzerhand einfach auch direkt auf der Win7 Maschine installiert hab; Einfach um sicher zu sein, dass dies läuft.
Tja, nun habe ich nach langem erst bemerkt, dass Kaspersky meine Wünsche nicht umsetzt, sprich gewisse Tasks wie proaktiven Schutz etc. nicht stoppt. Kurzerhand habe ich es also deinstalliert und siehe da:
- Remotedesktop funktioniert umgehend.
- Das Loginscript schreibt nun erfolgreich nach HKCU, unabhängig vom Benutzer
- Domänenadmins werden endlich der lokalen Admingruppe hinzugefügt sowie Domänenbenutzer der Benutzergruppe.
Auch wenn ich bei 1-2 Punkten den Zusammenhang zu Kasperksy überhaupt nicht sehe, in der Ereignisanzeige war hierzu auch nie was erwähnt, es funktioniert nun endlich fast alles wie gewünscht.
Bei den Scripts hingegen haben mir absolute Basics gefehlt: Ich musste / muss wirklich einzig noch die Pfade anpassen. -.- Vielen Dank hierzu und auch allgemein zur ausführlichen Hilfestellung.
Nun bleibt also einzig noch das Thema Remoteinstallationen. Ich werde deine Anmerkungen nachher versuchen umzusetzen und hoffe, dass es danach funktioniert.
Wie erwähnt musste ich testweise Kaspersky lokal installieren, wozu aber gleichzeitig das Adminkit 8 nötig war. Dieses habes ich dann kurzerhand einfach auch direkt auf der Win7 Maschine installiert hab; Einfach um sicher zu sein, dass dies läuft.
Tja, nun habe ich nach langem erst bemerkt, dass Kaspersky meine Wünsche nicht umsetzt, sprich gewisse Tasks wie proaktiven Schutz etc. nicht stoppt. Kurzerhand habe ich es also deinstalliert und siehe da:
- Remotedesktop funktioniert umgehend.
- Das Loginscript schreibt nun erfolgreich nach HKCU, unabhängig vom Benutzer
- Domänenadmins werden endlich der lokalen Admingruppe hinzugefügt sowie Domänenbenutzer der Benutzergruppe.
Auch wenn ich bei 1-2 Punkten den Zusammenhang zu Kasperksy überhaupt nicht sehe, in der Ereignisanzeige war hierzu auch nie was erwähnt, es funktioniert nun endlich fast alles wie gewünscht.
Bei den Scripts hingegen haben mir absolute Basics gefehlt: Ich musste / muss wirklich einzig noch die Pfade anpassen. -.- Vielen Dank hierzu und auch allgemein zur ausführlichen Hilfestellung.
Nun bleibt also einzig noch das Thema Remoteinstallationen. Ich werde deine Anmerkungen nachher versuchen umzusetzen und hoffe, dass es danach funktioniert.
