Jump to content

j.bussmann

Members
  • Content Count

    25
  • Joined

  • Last visited

Community Reputation

12 Neutral

About j.bussmann

  • Rank
    Newbie
  • Birthday 09/16/1968

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Ok, jetzt habe ich es endlich begriffen. Danke Martin und natürlich auch den anderen für die Hilfe und die Geduld meine immer wiederkehrenden begriffsstutzigen Fragen zu ertragen!
  2. Hi Martin, Du meinst das hier? Oder muss ich auf "Bestimmter Benutzer" umstellen und dann dort etwas anderes hinterlegen? Weil ich weiß nicht wie ich dort auf "BUILTIN/USERS" komme. Und vorne auf der ersten Seite beim Karteireiter "Allgemein" bleibt dann die Einstellung auf "SYSTEM" stehen? Ich denke sonst hätte man dort wieder das Problem mit der Berechtigung oder denke ich dort falsch?
  3. Norbert, es würde mir echt helfen, wenn ihr Euch, sollte das nicht zu viel verlangt sein, die Mühe machen würdet, nicht nur Stichworte in den Raum zu schmeißen, sondern vielleicht einen erklärenden Ansatz zu liefern. Wie gesagt ich versuche das jeweils nachzuvollziehen und suche nach jedem Post nach weitergehenden Erklärungen, aber wie ich schon mal sagte, ich bin kein Administrator und die Zeit als ich mich das letzte Mal mit solchen Themen befasst habe liegt gut 20 Jahre zurück. Da mag der eine oder andere mich auslachen oder für doof halten, damit muss ich wohl leben, ich für meinen Teil möchte niemanden angreifen oder auf die Füße treten und hoffe sehr, dass das auch von niemandem so verstanden wird, aber so lange ich immer nur Bruchstücke ohne Erklärungen bekomme, ist es für mich sehr schwer, nachzuvollziehen, worum es in der jeweiligen Aussage geht. Um auf Deine obige Frage z.B. zurück zu kommen, ich weiß dass es Computerkonten in der AD gibt, aber mir ist der Zusammenhang nicht klar. Denn etwas weiter oben wurde gesagt der System-Account ist ein lokaler Account und wenn ich mir das hier so durchlese, und richtig verstehe, dann hat ein System-Account ausschließlich lokale Rechte. Für mich macht das auch insofern Sinn, denn wäre dem nicht so, könnte ich ja auch eine Aufgabe erstellen die z.B. das Löschen aller Dateien auf einem Netzlaufwerk durchführt, würde diese Aufgabe mit der Berechtigung SYSTEM ausführen und damit dann Dinge ausführen, für die ich persönlich gar keine Berechtigungen habe. Ganz so einfach kann es also, wenn ich das richtig verstehe mit dem System Account nicht sein. Für mich ist damit nicht klar, wenn ich einen solche Aufgabe in der Aufgabenplanung erstelle und diese Aufgabe dann an einen anderen Rechner importiere, dann funktioniert das bei mir schon mal völlig problemlos, wenn ich die Aufgabe mit dem System Account auf meinem privaten Rechner erstelle, der kein Mitglied einer Domäne ist dann sieht der Job wie in der obigen Abbildung aus: (hier noch einmal gepostet) Im Moment macht die Aufgabe erst einmal nichts anderes, als einfach nur Notepad starten, es geht mir zunächst erst einmal nur um die Aufgabe an sich, also hier alles richtig zu verstehen. Diese Aufgabe kann ich exportieren als xml-Datei und füge sie z.B. in meinen Firmenrechner wieder ein (nur als Test versteht sich). Dann sieht sie dort im Prinzip so aus: Außer das aus NT-AUTORITÄT\SYSTEM nun System geworden ist, istkeine Veränderung festzustellen und der Aufruf von Notepad funktioniert damit auch wunderbar. Notepad ist ja nun aber auch keine Applikation die besonderer Berechtigungen bedarf. Daher ist mir klar, dass das ohne Probleme funktioniert. Soweit so klar. Das bestätigt soweit auch der Kunde. Wird nun aber nicht Notepad ausgeführt sondern wie Martin das vorgeschlagen hat folgendes abgearbeitet: Dann scheitert das eben an den Rechten, weil System eben keine Rechte hat auf ein Netzwerk-Share zuzugreifen (siehe dazu auch meine Anmerkung oben). Dieser Artikel hier https://www.vectorsoft.de/blog/2013/09/zugriff-auf-netzwerkressourcen-ueber-eine-windows-dienstanwendung/) bestätigt für mich meine Vermutung, denn auch hier steht: Das beschreibt auch genau die selbe Problematik die der Kunde hat. Will er auf ein Netzwerk Share zugreifen, so muss er Login Daten mitgeben. Genau das verursacht aber eben beim Reimport Probleme. Ich habe daraufhin etwas weiter gesucht und bin dabei hier fündig geworden: https://www.libe.net/local-system Wenn ich das richtig verstehe, wird hier genau die Lösung beschrieben und ich vermute, dass dies auch die Lösung (nur in ausführlicher Form ist, die Sunny61 und NorbertFE meinten. Liege ich da richtig?
  4. Ja SYSTEM ist der lokale Computer, wenn aber doch das Script oder besser gesagt der Task mit den Credentials "System" ausgeführt wird, ist es doch eben kein authentifizierter Benutzer an der Domäne und damit am Share auf dem das eigentlich auszuführende Script (die exe-Datei) abgeholt per Robocopy abgeholt werden soll (siehe dazu den Lösungsvorschlag von Martin / daabm) und auf die das Ergebnis geschrieben werden soll. Wie gesagt ich versuche die Thematik nur so weit zu verstehen, dass ich sie auch korrekt wiedergeben kann, sorry dass ich dabei technisch nicht alles direkt 1:1 nachvollziehen kann in Ermangelung der richtigen Systeme und daher das eine oder andere genauer erfragen muss. Wenn ich dann dabei Probleme habe Eure Statements zu verstehen, dann bitte ich das zu entschuldigen. Aber der Kunde sagt ja, dass er genau das getestet hat. Im Moment habe ich das Gefühl wir reden alle irgendwie aneinander vorbei. Ich versuche hier ja schon die Dinge bei mir nachzustellen, bin mir dabei aber auch nicht ganz sicher, ob ich immer den richtigen Weg gehe.
  5. Ich habe die Optionen: Nur Ausführen wenn der Benutzer angemeldet ist, dies setzt voraus, dass der oben angegebene Benutzer angemeldet ist, in dem Beispiel (Screenshot also ich selbst). Aktiviere ich hingegen die Option "Unabhängig von der Benutzeranmeldung ausführen", so werde ich nach einem Benutzernamen und Kennwort gefragt. Das scheint das Problem des Kunden zu sein. Ändere ich stattdessen oben über den Button "Benutzer oder Gruppe ändern" den User auf "System" sieht das Ganze so aus: Hier sagt der Kunde wäre dann aber beim Export dieses Jobs eben kein Zugriff auf ein Netzwerkshare möglich. Ich habe nur einen lokalen Rechner und kann das auch in Ermangelung einer Domäne nicht mal so eben verifizieren. Verstehe ich die Rückfrage von Norbert richtig, dann impliziert diese Frage, dass bei einem Zugriff auf den Netlogon-Pfad auf dem DC ebenfalls die NT-Autorität "System" genutzt wird. Aber ist es nicht vielmehr so, dass die Anmeldedaten des Users genutzt werden, die als verifizierbar sind?
  6. Wir haben nun bei dem Versuch der Umsetzung beim Kunden (oder besser gesagt der Kunde) folgendes Problem. Der Task wurde auf einem Musterrechner von einem Techniker erstellt, exportiert und beim Import auf einem neuen Rechner will der Task, damit er funktioniert die LoginDaten des Erstellers haben. Ursache ist, dass mit dem Aufruf "SYSTEM" also als Systemuser ein Zugriff auf den Netzwerk Share nicht möglich ist und laut Aussage des Kunden damit auch der Rest des Scriptes fehlschlägt. Erstellt man das Script stattdessen mit einem berechtigten User, so wird beim Import erwartet dass genau dessen Login Daten mitgegeben werden. Eine Variable, die bei der Ausführung quasi den angemeldeten Benutzer verwendet scheint es dabei nicht zu geben. Also müssten damit die Login-Daten des Erstellers im Klartext mitgegeben werden. (So die Auskunft des Technikers). Ist das tatsächlich so? Ist da bei der Erstellung des Tasks irgendwo ein Fehler gemacht worden? Was wäre ggf. ein möglicher Workarround? Ich kann mir irgendwie nicht so ganz vorstellen, dass das richtig ist. Bin aber ein wenig verwirrt. Denn den Link den Norbert eingefügt hat, der bezieht sich auf die Erstellung eines Computer Startup Scripts per GPO für dessen Erstellung man das auf dem DC konfiguriert. Wenn ich jedoch Martin (daadm) richtig verstanden habe, wird das Script auf einem lokalen PC erstellt und dann exportiert: Hier gibt es aber eben genau den vom Kunden beschriebenen Umstand. Reden wir aneinander vorbei oder machen wir etwas falsch? Wer kann helfen? Danke Jörg
  7. So, ich habe mir das mal ein bisschen angeschaut, soweit der frühe Morgen schon klare Gedanken zulässt. Mit "Computerstartup-Script" ist, so nehme ich mal an, die Option (Trigger) "Beim Start" gemeint. Der Export ist soweit auch klar, habe gesehen, dass man Jobs exportieren und auf andere Rechner übertragen kann. Was mir noch nicht ganz klar ist, wie ich diese Aufgabe dann im großen Stil auf alle anderen Rechner verteilen kann. Ich vermute dass mir dort https://docs.microsoft.com/de-de/windows-server/administration/windows-commands/schtasks weiterhelfen kann. Damit plane ich aber dann nur den Import der XML Datei, richtig? Das unter dem Link bei ardamis.com habe ich noch nicht so ganz verstanden. Wie bekomme ich das in eine Aufgabenplanung hinein. Da habe ich noch nicht die richtigen Punkte gefunden. Hat da jemand einen Tipp? Das sollte so weit funktionieren, werde ich mir aber auch noch im Detail ansehen. Danke auf schon mal für die Hilfe hier hin. Ich denke ich werde meine Lösung als Quick an Dirty am Donnerstag dem Kunden vorstellen und gleich einschränken, dass das keine Dauerlösung ist und dann diese hier, wenn ich sie soweit verstanden habe, als dauerhafte Lösung präsentieren. Vielleicht bekomme ich das ja auch bis dahin noch so weit in meinen Kopf (Verständnis) dass ich am Donnerstag gleich die perfekte Lösung präsentieren kann.
  8. Der Kunde macht das tatsächlich! Alle Notebook User habe das Logon Script als Verknüpfung auf dem Desktop liegen, und Führen das nach dem Ausbau einer VPN Verbindung manuell aus. Ansonsten werde ich mir Deine Lösung noch mal genauer anschauen und versuchen mich da "hineinzuverstehen". Sieht auf den ersten Blick aber alles sehr durchdacht aus, für mich zumindest. Heute Abend bin ich aber definitiv nicht mehr Aufnahmefähig genug. Bei Fragen melde ich mich.
  9. Ja ok,Du sprachst von 100ten Stunden Anpassungsaufwand. Wenn ich da einen normalen Stundensatz je nach Region von 120-200 EUR nehme, dann wären das alleine Kosten von 12.000 bis 20.000 EUR. Wenn man natürlich die eigenen Aufwände nicht rechnet und das sozusagen super günstig vom "Bekannten" entwickelt bekommt, dann ist das sicherlich nicht zu vergleichen. Wenn alles zufrieden läuft ist ja gut und wenn man mit so einer Lösung gut leben kann und sich dessen bewusst ist, ebenfalls. Für Dich also die perfekte Lösung.
  10. Danke Lian, war gerade selber dabei mir etwas ähnliches zu überlegen und zu tippen. Ich denke niemand wollte und will hier anderen etwas vorenthalten oder gegen jemanden sein. Wenn also noch jemand Verbesserungsvorschläge oder anders aktives zum Thema hat, ich bin offen für Eure Gedanken.
  11. Etwas OT, aber... Und als ich dann las, "wir haben 100te Stunden in die Anpassung gesteckt" wusste ich nicht mehr ob ich schmunzeln oder bitterlich weinen soll. Wer trägt bei sowas eigentlich die unternehmerische Verantwortung?
  12. Ich denke mit dem was ich bisher ausgetüftelt habe, auch dank der hiesigen Unterstützung, habe ich eine Lösung, die zwar nicht perfekt ist, aber weitaus besser als das was der Kunde bislang hat. Erschreckend finde ich eher, dass ich nach knapp zwei Tagen einen funktierenden Lösungsansatz habe, während ich mich zuvor vom Kunden noch hatte anmachen lassen müssen, weil ich angeblich etwas umsetzen wollte, was "nicht geht". Und ich dann als quasi Laie nach ein bisschen Einlesen in Grundlagen zusätzlichaauch noch einen Haufen eklatanter Fehler in den bestehenden Scripten finde. Man kann es sicherlich noch etwas besser machen, als das was ich jetzt als Lösung habe, aber das werde ich bis zum Termin am Donnerstag beim Kunden nicht schaffen, das sattelfest herüber zu bringen. Wobei mich aus rein persönlichem Ehrgeiz durchaus noch interessiert, was man noch verbessern könnte.
  13. Ok, Notepad++ arbeite ich auch mit, aber ANSI war vielleicht der Fehler. Sowas passiert wenn man sich damit nicht auskennt. Nun funktioniert es auf jeden Fall.
  14. Ja, das ist klar, aber das Script: PING -n 1 -w 20 [COMPUTERNAME/IP-ADRESSE] | FINDSTR "Antwort" IF %ERRORLEVEL% == 1 GOTO ENDE :: Hier die weitere Abarbeitung :: :ENDE EXIT Funktioniert bei mir in seiner Gänze nicht. Habe ja in meinem Beitrag schon geschrieben, wie es funktioniert.
  15. Ja, ich habe dazu folgendes gefunden: PING -n 1 -w 20 [COMPUTERNAME/IP-ADRESSE] | FINDSTR "Antwort" IF %ERRORLEVEL% == 1 GOTO ENDE :: Hier die weitere Abarbeitung :: :ENDE EXIT Aber wenn ich nur daraus eine Batch mache, um zunächst ersteinmal zu testen ob es geht und ich füge dort eine IP ein, die nicht existiert also bei mir im Netz z.B. die 192.168.188.100 Dann funktioniert das leider nicht. Nur der Befehl PING -n 1 -w 20 192.168.188.100 Gibt korrekterweise folgendes aus: Ping wird ausgeführt für 192.168.188.100 mit 32 Bytes Daten: Zeitüberschreitung der Anforderung. Ping-Statistik für 192.168.188.100: Pakete: Gesendet = 1, Empfangen = 0, Verloren = 1 (100% Verlust), Ich vermute also einen Fehler im Teil ab dem "|" habe aber dort noch keine Lösung Ok, Fehler selber gefunden. @ECHO OFF PING -n 1 -w 20 192.168.188.34 IF %ERRORLEVEL% == 1 GOTO ENDE echo der Text wird angezeigt wenn Ping erfoglreich :ENDE ::EXIT So funktioniert es, dass muss natürlich jetzt noch zusammengebaut werden.
×
×
  • Create New...