Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Group Policy Objects

Frage Microsoft Windows Netzwerk

Mitglied: wiesi222

wiesi222 (Level 1) - Jetzt verbinden

10.11.2009, aktualisiert 10:39 Uhr, 5499 Aufrufe, 19 Kommentare

Moin Moin,

Hallo Leute, habe folgendes Problem:

Ich musste einer bestimmten Gruppe von Usern Rechte auf einem Ordner bei uns im NW geben und aus eben diesem Ordner mittels Batchfile eine Verknüpfung auf
dem Desktop der User erstellen. Alles soweit kein Problem, Batchfile geschrieben, Ordnerberechtigungen gesetzt.

So, das Batchfile funktionierte unter meinem Account anstandslos, die Verknüpfung erschien wunderbar auf dem Desktop, aber bei den anderen Usern die diese Verknüpfung auch
bekommen sollten passierte nicht. waren alle in der selben Sicherheitsgruppe, habe das ganze dann mittels Group Policy Results und Group Policy Modeling überprüft, in beiden war diese GPO bei den jeweiligen rechner als Apllied drinnen.

Nachdem das icht funktioniert hat, hab ich mittels Group Policy Results und Group Policy Modeling meine GPO überprüft und bei beiden war sie als Applied drinnen.

So nun meine Fragen:

1. Kann es sein das mir da irgendeine Sicherheitseinstellung das Verhindert das diese GPO ausgeführt wird ?

2. Müssen alle Loginscripts am Selben Speicherort sein oder ist das egal wo die abgespeichert werden??

Danke schon mal im Vorhinein
Mitglied: dog
10.11.2009 um 10:43 Uhr
Warum machst du den 2. Schritt vor dem Ersten?

Was passiert, wenn du das Batch-Script unter einem der User-Accs manuell startest und mit pause abfängst?
Bitte warten ..
Mitglied: SlainteMhath
10.11.2009 um 10:44 Uhr
Moin,

1. -> wenn sie "applied", wurde sie auch angewandt
2. nein, müssen sie nicht. ja, ist egal solange "Jeder" zumindest leserechte hat.

Die Frage ist auch wie deine batch aussieht. evtl liegt da das problem.

lg,
Slainte
Bitte warten ..
Mitglied: wiesi222
10.11.2009 um 10:54 Uhr
wenn ich das batchfile unter dem User-Accs ausführen möchte bekomm ich nur zugriff verweigert und mit strg+c kommt dann batchvorgang abgebrochen

wie meinst du das den, 2. Schritt vor dem ersten ??
Bitte warten ..
Mitglied: Komabaer
10.11.2009 um 10:54 Uhr
Moin wiesi222,

1. Ja das kann durchaus sein. In der Grupenrichtlinienverwaltung unter der entsprechenden Gruppenrichtlinie gibt es den Punkt "Delegierung".
Wenn dort für die Benutzer der Punkt "Verweigern" eingetragen ist, wird die GP nicht angewendet.

2. Ja und zwar im Sysvol Verzeichnis (C:\Windows\SYSVOL) sofern du eine Standard Installation laufen hast.

Ich vermute du hast das Skript im AD in den Eigenschaften der Benutzer hinterlegt oder wie führst du es aus?
Bitte warten ..
Mitglied: wiesi222
10.11.2009 um 10:56 Uhr
das habe ich auch gedacht, das wenn sie applied sind auch angewandt, aber wie schon gesagt, das was das batchfile ausführen bzw. machen sollte passiert nicht, sprich kein icon am desktop
Bitte warten ..
Mitglied: Komabaer
10.11.2009 um 10:57 Uhr
Zitat von SlainteMhath:
2. nein, müssen sie nicht. ja, ist egal solange
"Jeder" zumindest leserechte hat.


Da würde ich dir gerne wiedersprechen. Es ist nicht egal wo die Skripte liegen. Es kommt darauf an ob die Batch im AD hinterlegt wurde oder ob innerhalb der Batch Datei auf den Ordner verwiesen wird wo Sie liegt.
Bitte warten ..
Mitglied: SlainteMhath
10.11.2009 um 10:58 Uhr
Zitat von wiesi222:
wenn ich das batchfile unter dem User-Accs ausführen möchte
bekomm ich nur zugriff verweigert und mit strg+c kommt dann
batchvorgang abgebrochen
Ok, dann ist jetzt der Zeitpunkt wo Du uns das Batchfile zeigen musst

Wo wird die BAtch gestartet? Logon oder Startup?
Bitte warten ..
Mitglied: wiesi222
10.11.2009 um 10:58 Uhr
moin komabaer

habe das script auf unseren Fileserver gelegt, und von diesem aus beim GPO Editor bei windows/Logonscripts eingefügt
Bitte warten ..
Mitglied: dog
10.11.2009 um 10:59 Uhr
wenn ich das batchfile unter dem User-Accs ausführen möchte bekomm ich nur zugriff verweigert

Ähhhmm...also mal ganz langsam: Du kannst die Batch-Datei nicht mal manuell beim Benutzer ausführen, aber du suchst das Problem bei der Anwendung der GPO? Oo
Bitte warten ..
Mitglied: SlainteMhath
10.11.2009 um 11:00 Uhr
@ Komabaer:

Da würde ich dir gerne wiedersprechen.
kannst Du gern, deswegen hab' ich aber trotzdem recht

/EDIT:
Ich vermute du hast das Skript im AD in den Eigenschaften der Benutzer hinterlegt oder wie führst du es aus?
Per GPO, steht doch da

In einer GPO kann ich bei Logon/Logoff/Startup/Shutdown jeglichen UNC Pfad angeben der für SYSTEM/Jeder bzw. den angemeldeten User erreichbar und einsehbar ist.
Bitte warten ..
Mitglied: wiesi222
10.11.2009 um 11:01 Uhr
batchfile wird über logon gestartet, aber wie gesagt, bei meinem Account funktioniert das ja !!

Drum eben mein Verdacht der Rechte, denn wenn ich meine Adminrechre weggebe und mich in die gleicher Gruppe gebe auf die dieses File dann effetktiv greifen soll, passiert auch bei mir nichts
Bitte warten ..
Mitglied: wiesi222
10.11.2009 um 11:02 Uhr
ja, das ist ja das komische, bei meinem User ACC geht das ding, nur eben nicht bei den UserACC´s für die es gedacht ist.
Bitte warten ..
Mitglied: Komabaer
10.11.2009 um 11:04 Uhr
Dann solltest du überprüfen ob die Benutzer auf dem Verzeichnis in dem die Datei liegt über Zugriffsrechte verfügen. Das Leserecht reicht da im Allgemeinen aus und das Verzeichnis muss im Netzwerk über eine Freigabe verfügen.
Bitte warten ..
Mitglied: SlainteMhath
10.11.2009 um 11:14 Uhr
Ok, ich fass' nochmal zusammen:

1. Die GPO wurde lt. gpresult angewandt
2. Die Batch läuft als Admin
3. Als User ausgeführt bringt die Batch ein "Access denied", und/oder lässt sich per STRG-C abbrechen

Fazit:
ZEIG UNS DIE BATCH der Fehler liegt hier, nicht an der GPO
oder alternativ:
Prüfe ob der ausführende User Lese/Schreibrechte auf alle beteiligten Verzueichnisse/Dateien hat - es geht schliesslich um einen Kopiervorgang.
Bitte warten ..
Mitglied: Komabaer
10.11.2009 um 11:38 Uhr
Zitat von SlainteMhath:
@ Komabaer:

> Da würde ich dir gerne wiedersprechen.
kannst Du gern, deswegen hab' ich aber trotzdem recht

Jo hast du, allerdings ging das aus deiner Antwort so nicht heraus ;o)


> Ich vermute du hast das Skript im AD in den Eigenschaften der
Benutzer hinterlegt oder wie führst du es aus?
Per GPO, steht doch da

Habe ich dann auch bemerkt

In einer GPO kann ich bei Logon/Logoff/Startup/Shutdown jeglichen UNC
Pfad angeben der für SYSTEM/Jeder bzw. den angemeldeten User
erreichbar und einsehbar ist.

Ja da gebe ich dir recht, nur war deine erste Antwort nicht ganz so ausführlich :o)
Und wo wir beide uns einig sind auch nur unter der Vorraussetzung das die Benutzer auf dem Ordner wo die Skripte liegen über Lese-/Schreibrechte verfügen
Bitte warten ..
Mitglied: wiesi222
10.11.2009 um 12:13 Uhr
so, habe mittlerweile nach einigen Versuchen mal das Problem identifiziert:

es dürfte in diesem Fall defintiv ein Rechte Problem sein, habe gerade einen der User in die Gruppe der Administratoren aufgenommen und siehe da, das Batchfile macht das was es machen soll.

So, nun stehe ich vor einem neuen Problem, da ich ja das NW nicht eingerichtet habe, hab ich keinen blassen schimmer welche GPO mir das verhindert.

weiss irgendwer, wie man das GPO technisch bechränken kann, das bei einem "Normaluser" keine Batchfiles ausgeführt werden !!
Bitte warten ..
Mitglied: wiesi222
10.11.2009 um 12:23 Uhr
so, habe mittlerweile nach einigen Versuchen mal das Problem identifiziert:

es dürfte in diesem Fall defintiv ein Rechte Problem sein, habe gerade einen der User in die Gruppe der Administratoren aufgenommen und siehe da, das Batchfile macht das was es machen soll.

So, nun stehe ich vor einem neuen Problem, da ich ja das NW nicht eingerichtet habe, hab ich keinen blassen schimmer welche GPO mir das verhindert.

weiss irgendwer/du, wie man das GPO technisch bechränken kann, das bei einem "Normaluser" keine Batchfiles ausgeführt werden !!
Bitte warten ..
Mitglied: SlainteMhath
10.11.2009 um 12:36 Uhr
(ok, das ist jetzt mein letzter post zu dem thema)

es dürfte in diesem Fall defintiv ein Rechte Problem sein, habe gerade einen der User in die Gruppe der Administratoren aufgenommen
ja aber die Frage ist doch: WO!
Check alle beteiligten Pfade+Dateien!

hab ich keinen blassen schimmer welche GPO mir das verhindert.
KEINE! das liegt an Datei/Verzeichnis-rechten!

Um mich zu wiederholen: Prüfe ob der ausführende User Lese/Schreibrechte auf alle beteiligten Verzueichnisse/Dateien hat - es geht schliesslich um einen Kopiervorgang.

weiss irgendwer/du, wie man das GPO technisch bechränken ....
Du kannst nur die Ausführung im ganzen verhindern.
Bitte warten ..
Mitglied: wiesi222
10.11.2009 um 13:21 Uhr
berechtigungen sind alle gesetzt,

das problem liegt im Copy Befehl, muss jetzt nur noch rausfinden wie ich diesen als Admin ausführe
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(3)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
ADMX Version History – Group Policy Team Blog

Link von Dani zum Thema Windows Server ...

Windows Server
AGPM - Advanced Group Policy Manager (1)

Frage von makaroni zum Thema Windows Server ...

Firewall
Equation Group Firewall Operations Catalogue

Link von ticuta1 zum Thema Firewall ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...