Jump to content

j.bussmann

Members
  • Gesamte Inhalte

    26
  • Registriert seit

  • Letzter Besuch

Alle erstellten Inhalte von j.bussmann

  1. Hallo zusammen, eine kurze Verständnisfrage zum EA, bislang hatte ich damit trotz 20 Jahren Lizenzgeschäft nicht ganz so viel zu tun, daher gibt es da noch die eine oder andere Unsicherheit. Monatslizenzen wie im CSP gibt es im EA meines Wissens nach nicht, oder täusche ich mich? Wie sieht es mit F1/F3 Lizenzen aus, können die im EA monatsweise abgerechnet werden? Hintergrund: Wir stocken im Unternehmen während einer ca. 4-monatigen Saisonphase die F1/F3 Lizenzen bislang von ca. 200 jedes Jahr auf. Zum Beispiel 1. Monat der Saison (Oktober)+800 Lizenzen, im zweiten Monat (November) erneut +800 Lizenzen und im dritten Monat der Saison (Dezember) erneut +800 Lizenzen. Diese lassen wir dann bis Ende Januar laufen und beenden dann das Abo für alle 2400 Lizenzen bis zur nächsten Saison. Ich sehe bislang keine Möglichkeit, ein solches Konstrukt im EA abzubilden. Oder sehe ich einfach nur den Wald vor lauter Bäumen nicht? Gruß Jörg
  2. Ok, jetzt habe ich es endlich begriffen. Danke Martin und natürlich auch den anderen für die Hilfe und die Geduld meine immer wiederkehrenden begriffsstutzigen Fragen zu ertragen!
  3. Hi Martin, Du meinst das hier? Oder muss ich auf "Bestimmter Benutzer" umstellen und dann dort etwas anderes hinterlegen? Weil ich weiß nicht wie ich dort auf "BUILTIN/USERS" komme. Und vorne auf der ersten Seite beim Karteireiter "Allgemein" bleibt dann die Einstellung auf "SYSTEM" stehen? Ich denke sonst hätte man dort wieder das Problem mit der Berechtigung oder denke ich dort falsch?
  4. Norbert, es würde mir echt helfen, wenn ihr Euch, sollte das nicht zu viel verlangt sein, die Mühe machen würdet, nicht nur Stichworte in den Raum zu schmeißen, sondern vielleicht einen erklärenden Ansatz zu liefern. Wie gesagt ich versuche das jeweils nachzuvollziehen und suche nach jedem Post nach weitergehenden Erklärungen, aber wie ich schon mal sagte, ich bin kein Administrator und die Zeit als ich mich das letzte Mal mit solchen Themen befasst habe liegt gut 20 Jahre zurück. Da mag der eine oder andere mich auslachen oder für doof halten, damit muss ich wohl leben, ich für meinen Teil möchte niemanden angreifen oder auf die Füße treten und hoffe sehr, dass das auch von niemandem so verstanden wird, aber so lange ich immer nur Bruchstücke ohne Erklärungen bekomme, ist es für mich sehr schwer, nachzuvollziehen, worum es in der jeweiligen Aussage geht. Um auf Deine obige Frage z.B. zurück zu kommen, ich weiß dass es Computerkonten in der AD gibt, aber mir ist der Zusammenhang nicht klar. Denn etwas weiter oben wurde gesagt der System-Account ist ein lokaler Account und wenn ich mir das hier so durchlese, und richtig verstehe, dann hat ein System-Account ausschließlich lokale Rechte. Für mich macht das auch insofern Sinn, denn wäre dem nicht so, könnte ich ja auch eine Aufgabe erstellen die z.B. das Löschen aller Dateien auf einem Netzlaufwerk durchführt, würde diese Aufgabe mit der Berechtigung SYSTEM ausführen und damit dann Dinge ausführen, für die ich persönlich gar keine Berechtigungen habe. Ganz so einfach kann es also, wenn ich das richtig verstehe mit dem System Account nicht sein. Für mich ist damit nicht klar, wenn ich einen solche Aufgabe in der Aufgabenplanung erstelle und diese Aufgabe dann an einen anderen Rechner importiere, dann funktioniert das bei mir schon mal völlig problemlos, wenn ich die Aufgabe mit dem System Account auf meinem privaten Rechner erstelle, der kein Mitglied einer Domäne ist dann sieht der Job wie in der obigen Abbildung aus: (hier noch einmal gepostet) Im Moment macht die Aufgabe erst einmal nichts anderes, als einfach nur Notepad starten, es geht mir zunächst erst einmal nur um die Aufgabe an sich, also hier alles richtig zu verstehen. Diese Aufgabe kann ich exportieren als xml-Datei und füge sie z.B. in meinen Firmenrechner wieder ein (nur als Test versteht sich). Dann sieht sie dort im Prinzip so aus: Außer das aus NT-AUTORITÄT\SYSTEM nun System geworden ist, istkeine Veränderung festzustellen und der Aufruf von Notepad funktioniert damit auch wunderbar. Notepad ist ja nun aber auch keine Applikation die besonderer Berechtigungen bedarf. Daher ist mir klar, dass das ohne Probleme funktioniert. Soweit so klar. Das bestätigt soweit auch der Kunde. Wird nun aber nicht Notepad ausgeführt sondern wie Martin das vorgeschlagen hat folgendes abgearbeitet: Dann scheitert das eben an den Rechten, weil System eben keine Rechte hat auf ein Netzwerk-Share zuzugreifen (siehe dazu auch meine Anmerkung oben). Dieser Artikel hier https://www.vectorsoft.de/blog/2013/09/zugriff-auf-netzwerkressourcen-ueber-eine-windows-dienstanwendung/) bestätigt für mich meine Vermutung, denn auch hier steht: Das beschreibt auch genau die selbe Problematik die der Kunde hat. Will er auf ein Netzwerk Share zugreifen, so muss er Login Daten mitgeben. Genau das verursacht aber eben beim Reimport Probleme. Ich habe daraufhin etwas weiter gesucht und bin dabei hier fündig geworden: https://www.libe.net/local-system Wenn ich das richtig verstehe, wird hier genau die Lösung beschrieben und ich vermute, dass dies auch die Lösung (nur in ausführlicher Form ist, die Sunny61 und NorbertFE meinten. Liege ich da richtig?
  5. Ja SYSTEM ist der lokale Computer, wenn aber doch das Script oder besser gesagt der Task mit den Credentials "System" ausgeführt wird, ist es doch eben kein authentifizierter Benutzer an der Domäne und damit am Share auf dem das eigentlich auszuführende Script (die exe-Datei) abgeholt per Robocopy abgeholt werden soll (siehe dazu den Lösungsvorschlag von Martin / daabm) und auf die das Ergebnis geschrieben werden soll. Wie gesagt ich versuche die Thematik nur so weit zu verstehen, dass ich sie auch korrekt wiedergeben kann, sorry dass ich dabei technisch nicht alles direkt 1:1 nachvollziehen kann in Ermangelung der richtigen Systeme und daher das eine oder andere genauer erfragen muss. Wenn ich dann dabei Probleme habe Eure Statements zu verstehen, dann bitte ich das zu entschuldigen. Aber der Kunde sagt ja, dass er genau das getestet hat. Im Moment habe ich das Gefühl wir reden alle irgendwie aneinander vorbei. Ich versuche hier ja schon die Dinge bei mir nachzustellen, bin mir dabei aber auch nicht ganz sicher, ob ich immer den richtigen Weg gehe.
  6. Ich habe die Optionen: Nur Ausführen wenn der Benutzer angemeldet ist, dies setzt voraus, dass der oben angegebene Benutzer angemeldet ist, in dem Beispiel (Screenshot also ich selbst). Aktiviere ich hingegen die Option "Unabhängig von der Benutzeranmeldung ausführen", so werde ich nach einem Benutzernamen und Kennwort gefragt. Das scheint das Problem des Kunden zu sein. Ändere ich stattdessen oben über den Button "Benutzer oder Gruppe ändern" den User auf "System" sieht das Ganze so aus: Hier sagt der Kunde wäre dann aber beim Export dieses Jobs eben kein Zugriff auf ein Netzwerkshare möglich. Ich habe nur einen lokalen Rechner und kann das auch in Ermangelung einer Domäne nicht mal so eben verifizieren. Verstehe ich die Rückfrage von Norbert richtig, dann impliziert diese Frage, dass bei einem Zugriff auf den Netlogon-Pfad auf dem DC ebenfalls die NT-Autorität "System" genutzt wird. Aber ist es nicht vielmehr so, dass die Anmeldedaten des Users genutzt werden, die als verifizierbar sind?
  7. Wir haben nun bei dem Versuch der Umsetzung beim Kunden (oder besser gesagt der Kunde) folgendes Problem. Der Task wurde auf einem Musterrechner von einem Techniker erstellt, exportiert und beim Import auf einem neuen Rechner will der Task, damit er funktioniert die LoginDaten des Erstellers haben. Ursache ist, dass mit dem Aufruf "SYSTEM" also als Systemuser ein Zugriff auf den Netzwerk Share nicht möglich ist und laut Aussage des Kunden damit auch der Rest des Scriptes fehlschlägt. Erstellt man das Script stattdessen mit einem berechtigten User, so wird beim Import erwartet dass genau dessen Login Daten mitgegeben werden. Eine Variable, die bei der Ausführung quasi den angemeldeten Benutzer verwendet scheint es dabei nicht zu geben. Also müssten damit die Login-Daten des Erstellers im Klartext mitgegeben werden. (So die Auskunft des Technikers). Ist das tatsächlich so? Ist da bei der Erstellung des Tasks irgendwo ein Fehler gemacht worden? Was wäre ggf. ein möglicher Workarround? Ich kann mir irgendwie nicht so ganz vorstellen, dass das richtig ist. Bin aber ein wenig verwirrt. Denn den Link den Norbert eingefügt hat, der bezieht sich auf die Erstellung eines Computer Startup Scripts per GPO für dessen Erstellung man das auf dem DC konfiguriert. Wenn ich jedoch Martin (daadm) richtig verstanden habe, wird das Script auf einem lokalen PC erstellt und dann exportiert: Hier gibt es aber eben genau den vom Kunden beschriebenen Umstand. Reden wir aneinander vorbei oder machen wir etwas falsch? Wer kann helfen? Danke Jörg
  8. So, ich habe mir das mal ein bisschen angeschaut, soweit der frühe Morgen schon klare Gedanken zulässt. Mit "Computerstartup-Script" ist, so nehme ich mal an, die Option (Trigger) "Beim Start" gemeint. Der Export ist soweit auch klar, habe gesehen, dass man Jobs exportieren und auf andere Rechner übertragen kann. Was mir noch nicht ganz klar ist, wie ich diese Aufgabe dann im großen Stil auf alle anderen Rechner verteilen kann. Ich vermute dass mir dort https://docs.microsoft.com/de-de/windows-server/administration/windows-commands/schtasks weiterhelfen kann. Damit plane ich aber dann nur den Import der XML Datei, richtig? Das unter dem Link bei ardamis.com habe ich noch nicht so ganz verstanden. Wie bekomme ich das in eine Aufgabenplanung hinein. Da habe ich noch nicht die richtigen Punkte gefunden. Hat da jemand einen Tipp? Das sollte so weit funktionieren, werde ich mir aber auch noch im Detail ansehen. Danke auf schon mal für die Hilfe hier hin. Ich denke ich werde meine Lösung als Quick an Dirty am Donnerstag dem Kunden vorstellen und gleich einschränken, dass das keine Dauerlösung ist und dann diese hier, wenn ich sie soweit verstanden habe, als dauerhafte Lösung präsentieren. Vielleicht bekomme ich das ja auch bis dahin noch so weit in meinen Kopf (Verständnis) dass ich am Donnerstag gleich die perfekte Lösung präsentieren kann.
  9. Der Kunde macht das tatsächlich! Alle Notebook User habe das Logon Script als Verknüpfung auf dem Desktop liegen, und Führen das nach dem Ausbau einer VPN Verbindung manuell aus. Ansonsten werde ich mir Deine Lösung noch mal genauer anschauen und versuchen mich da "hineinzuverstehen". Sieht auf den ersten Blick aber alles sehr durchdacht aus, für mich zumindest. Heute Abend bin ich aber definitiv nicht mehr Aufnahmefähig genug. Bei Fragen melde ich mich.
  10. Ja ok,Du sprachst von 100ten Stunden Anpassungsaufwand. Wenn ich da einen normalen Stundensatz je nach Region von 120-200 EUR nehme, dann wären das alleine Kosten von 12.000 bis 20.000 EUR. Wenn man natürlich die eigenen Aufwände nicht rechnet und das sozusagen super günstig vom "Bekannten" entwickelt bekommt, dann ist das sicherlich nicht zu vergleichen. Wenn alles zufrieden läuft ist ja gut und wenn man mit so einer Lösung gut leben kann und sich dessen bewusst ist, ebenfalls. Für Dich also die perfekte Lösung.
  11. Danke Lian, war gerade selber dabei mir etwas ähnliches zu überlegen und zu tippen. Ich denke niemand wollte und will hier anderen etwas vorenthalten oder gegen jemanden sein. Wenn also noch jemand Verbesserungsvorschläge oder anders aktives zum Thema hat, ich bin offen für Eure Gedanken.
  12. Etwas OT, aber... Und als ich dann las, "wir haben 100te Stunden in die Anpassung gesteckt" wusste ich nicht mehr ob ich schmunzeln oder bitterlich weinen soll. Wer trägt bei sowas eigentlich die unternehmerische Verantwortung?
  13. Ich denke mit dem was ich bisher ausgetüftelt habe, auch dank der hiesigen Unterstützung, habe ich eine Lösung, die zwar nicht perfekt ist, aber weitaus besser als das was der Kunde bislang hat. Erschreckend finde ich eher, dass ich nach knapp zwei Tagen einen funktierenden Lösungsansatz habe, während ich mich zuvor vom Kunden noch hatte anmachen lassen müssen, weil ich angeblich etwas umsetzen wollte, was "nicht geht". Und ich dann als quasi Laie nach ein bisschen Einlesen in Grundlagen zusätzlichaauch noch einen Haufen eklatanter Fehler in den bestehenden Scripten finde. Man kann es sicherlich noch etwas besser machen, als das was ich jetzt als Lösung habe, aber das werde ich bis zum Termin am Donnerstag beim Kunden nicht schaffen, das sattelfest herüber zu bringen. Wobei mich aus rein persönlichem Ehrgeiz durchaus noch interessiert, was man noch verbessern könnte.
  14. Ok, Notepad++ arbeite ich auch mit, aber ANSI war vielleicht der Fehler. Sowas passiert wenn man sich damit nicht auskennt. Nun funktioniert es auf jeden Fall.
  15. Ja, das ist klar, aber das Script: PING -n 1 -w 20 [COMPUTERNAME/IP-ADRESSE] | FINDSTR "Antwort" IF %ERRORLEVEL% == 1 GOTO ENDE :: Hier die weitere Abarbeitung :: :ENDE EXIT Funktioniert bei mir in seiner Gänze nicht. Habe ja in meinem Beitrag schon geschrieben, wie es funktioniert.
  16. Ja, ich habe dazu folgendes gefunden: PING -n 1 -w 20 [COMPUTERNAME/IP-ADRESSE] | FINDSTR "Antwort" IF %ERRORLEVEL% == 1 GOTO ENDE :: Hier die weitere Abarbeitung :: :ENDE EXIT Aber wenn ich nur daraus eine Batch mache, um zunächst ersteinmal zu testen ob es geht und ich füge dort eine IP ein, die nicht existiert also bei mir im Netz z.B. die 192.168.188.100 Dann funktioniert das leider nicht. Nur der Befehl PING -n 1 -w 20 192.168.188.100 Gibt korrekterweise folgendes aus: Ping wird ausgeführt für 192.168.188.100 mit 32 Bytes Daten: Zeitüberschreitung der Anforderung. Ping-Statistik für 192.168.188.100: Pakete: Gesendet = 1, Empfangen = 0, Verloren = 1 (100% Verlust), Ich vermute also einen Fehler im Teil ab dem "|" habe aber dort noch keine Lösung Ok, Fehler selber gefunden. @ECHO OFF PING -n 1 -w 20 192.168.188.34 IF %ERRORLEVEL% == 1 GOTO ENDE echo der Text wird angezeigt wenn Ping erfoglreich :ENDE ::EXIT So funktioniert es, dass muss natürlich jetzt noch zusammengebaut werden.
  17. Ich habe vor allem gute Ratschläge bekommen wie der Kunde seine bescheidene IT doch bitteschön verbessern sollte. Also ich habe nun folgende Ansätze, vielleicht kann die ja noch jemand gerne auch kritisch und hilfreich bewerten. Ich würde ungern auf Grund der beschriebenen Gesamtsituation und dem bereits fortgeschrittenen Gegeneinander dem Kunden jetzt ungern seine LoginScripte um die Ohren hauen oder gar behaupten wollen die seien alle Mist. Ich würde ebenso gerne eine Lösung anbieten, die sich mit möglichst wenig Änderungen implementieren lässt. Die Lösung sollte also die gegebenen Lösungen ergänzen, die Bedenken des Kunden berücksichtigen und trotzdem funktionieren. Im Startbeitrag ist bereits das Standard Login-Script des Kunden dargestellt. Wenn ich Batch richtig verstanden habe, dann ruft "START" ein Programm auf, ohne auf das Ende der Ausführung zu warten. Es wäre demnach sinnvoll innerhalb des Logon-Scripts die von mir geplanten Aufrufe mit "START Programm" aufzurufen. Ich würde dann das Login-Script einfach um den Eintrag start DocusnapScript.vbs ergänzen. Damit wären die Änderungen am Login Script minimal und das Login Script wird in seiner Ausführung nicht verzögert. Die im Loginscript in Zeile 16 aufgerufene pcinfo,cmd Z16 call pcinfo.cmd halte ich nach dem was ich bislang gelernt habe für einen Fehler. Denn hier wird eine gesamte Installationsprüfung aufgerufen und ggf auch durchgeführt. Siehe Zitat unten: IF NOT EXIST c:\gesuchtes_Programm\Ready.dat (call \\Server\Programmname\client\launcher.exe) ELSE (exit) Das würde nach meinem Verständnis bedeuten, das gesamte Loginscript wartet ggf. bis die Installation abgeschlossen ist, da auch diese per CALL aufgerufen wird. https://de.wikibooks.org/wiki/Batch-Programmierung:_Batch-Befehle#CALL Finde ich irgendwie doof! Also zurück zum Aufruf von DocusnapScript.vbs Diese Datei sieht wie folgt aus: Dim WShell Set WShell = CreateObject("WScript.Shell") WShell.Run "Script.bat", 0 Set WShell = Nothing Warum habe ich mir diesen Zwischenschritt überlegt? Ich möchte alles was danach passiert völlig autark im Hintergrund ausführen lassen ohne dass ein User davon irgendetwas mitbekommt, durch irgendwelche Meldungen abgelenkt wird oder glaubt auf irgendetwas warten zu müssen. Ruft man eine Batchdatei so mit Hilfe des VB Scripts auf, werden auch alle Meldungen der Batchdatei unterdrückt. Das VB-Script ruft dann den eigentlichen "Job" auf, den ich wie folgt aufgebaut habe: @echo off :: Zeile 1 schaltet pauschal alle Ausgabemeldungen für diese Batchdatei ab. echo Executing Inventory-Script :: Statusmeldung was hier gemacht wird. In der Regel verschwindet das Fenster so schnell wieder, dass es für den User unbemerkt bleibt. :: Bei einer Ausführung des Scripts im DOS-Fenster wird diese Meldung jedoch angezeigt, wohingegen der Rest des Scripts verborgen bleibt. net use Z: /delete /yes :: Trennt die Verbindung zum Laufwerk, falls diese noch besteht. :: Laufwerksbuchstabe muss an die Kundenumgebung angepasst werden. :: ACHTUNG: Laufwerksbuchstaben im Verlaufe des Scripts beachten. net use Z: \\INSPIRON-7373\e$\Test\DocusnapScript /persistent:no :: Stellt die Verbindung zum Laufwerk her auf dem sich die DokusnapScript.exe Datei befindet. :: Die Freigabe muss für alle Rechner in der Domäne erreichbar sein. :: Der in diesem Beispiel angegebene Pfad muss an die Kundenumgebung angepasst werden. net use Y: /delete /yes :: Trennt die Verbindung zum Laufwerk, falls diese noch besteht. :: Laufwerksbuchstabe muss an die Kundenumgebung angepasst werden. :: ACHTUNG: Laufwerksbuchstaben im Verlaufe des Scripts beachten. net use Y: \\INSPIRON-7373\e$\Test\XML_Dateien /persistent:no :: Stellt die Verbindung zum Laufwerk her auf dem die Erfassungsergebnisse als XML-Dateien abgelegt werden. :: Die Freigabe muss für alle Rechner in der Domäne erreichbar sein. :: Der in diesem Beispiel angegebene Pfad muss an die Kundenumgebung angepasst werden. Z:\DocusnapScript.exe -O Y:\ net use Z: /delete /yes net use Y: /delete /yes exit Natürlich enthält die Batch aktuell Verzeichnisse und Pfade zu meinem lokalen PC auf dem ich gerade experimentiere. Das hier noch Anpassungen an die reale Kundenumgebung gemacht werden sollten ist klar. Getestet habe ich das mit einer Musterdatei anstelle eines LoginScriptes. Einfach irgendeine Batchdatei die verschiedenste Texte per Echo ausgibt und zwischendrin ruft sie auch die oben genannte vbs Datei auf und beendet sich dann nach der Ausgabe der per Echo aufgerufenen Texte. Das funktioniert soweit wunderbar. Die ursprüngliche Batch Datei ist längst beendet, wenn die DocusnapScript.vbs bzw. die durch sie aufgerufenen Programm noch im Hintergrund laufen. Wenn ich es jetzt noch hinbekomme, dass das Script prüft, ob die Verbindung zum DC existiert und im falle dass diese nicht existent ist, die Ausführung abbricht, wäre noch einer weitere Stufe der Sicherheit erreicht, die verhindert, dass sich hier ggf. etwas totläuft.
  18. Wie ich bereits schrieb, ich will mit einem Lösungsvorschlag verhärtete Fronten aufbrechen. Was ich allerdings überhaupt nicht verstehe, es bietet sich hier jemand direkt an zu helfen, sagt mir, ich soll ihm am besten eine Mail schreiben, dafür erntet man dann Vorwürfe und Protest. Dann versuche ich das Ganze dennoch fortzusetzen um eine Lösung zu bekommen an der alle partizpieren können und niemanden interessiert mehr so recht die eigentliche Problemstellung. Ich brauche keine Hilfe im Bereich Beratungskompetenz, Consulting oder Prozessoptimierung, das sind alles Baustellen, die längst in Bearbeitung sind. Ich könnte einfach sinnvolle Vorschläge zur Problemstellung "Wie führe ich das Script am besten aus" gebrauchen. Ich lasse dran gerne alle teilhaben, wenn sich eine Lösung findet, aber es wäre wirklich schön wenn wir nach gefühlten 5 DIN A4 Seiten die ganzen wirklich uninteressanten Nebenkriegsschauplätze mal außer acht lassen könnten.
  19. Hast Du da vielleicht einen Ansatz? Also wie bringt man den Task per GPP auf die Rechner. Versuche mich da parallel schon einzulesen in die ganze Thematik, aber die Wissenlücken zu schließen geht in meinem Alter nicht mehr so flott!
  20. Das es keine 1005 Lösung gibt ist mir klar, ebenso, dass Prozesse optimiert werden und die Animositäten beseitigt werden müssen, weil es sonst immer wieder Probleme gibt. Daran arbeite ich beim Kunden ja auch, dass ist Teil meiner Aufgabe als Lizenzmanager. Aber so quasi "nebenbei" und auch unentgeltlich liefere ich, wenn ich es kann auch mal Lösungen am Rande für Probleme mit. Man muss nicht für alles die Hand offen halten und in Geld denken (zumal ich nur Angestellter bin und kein Selbständiger Berater, der dann mit fremden Wissen beim Kunden Geld verdient). Mir geht es auch nicht um das ganze drum herum, dass wollte ich hier eigentlich gar nicht diskutieren und euch auch damit nicht belasten, sondern es geht mir nur darum dem Kunden ein Stück weit zu helfen, ihm einen Schubs in die richtige Richtung zu geben denn der Kunde hat sich inzwischen selbst in eine "Geht nicht, weil will ich nicht"-Situation verrannt. Mit einem gangbaren Lösungsansatz würde man ein Zeichen setzen, auf den Kunden zugehen und sagen, "schau doch mal, ich habe mich mal erkundigt, habe da vielleicht einen auch für Dich akzeptablen Lösungsansatz, lass und doch mal schauen ob uns das nicht weiterbringt..." Aber wie bereits in meinem ersten Posting gesagt, fehlt es mir an technischer Tiefe und daher habe ich Hilfe gesucht. Die zentrale Fragestellung ist, wie bekomme ich (idealer Weise) per Login-Script oder ähnlichem die Ausführung des Docusnap-Scripts realisiert, welches in einem zentralen Laufwerk liegen sollte. Cloud-Nutzung ist für den Kunden aus Gründen, die an dieser Stelle nicht diskutiert werden können keine Option. Mehr möchte ich an dieser Stelle nicht sagen um nicht wieder einen nächsten Diskussionsthread innerhalb der Problemstellung aufzumachen, der letztlich aber nicht zur Lösung führt. Zur IT des Kunden. Die ist zentral an einem Standort (also die zentrale Infrastruktur (oder sie soll es zumindest werden) Ausnahmen gibt es nur an Standorten, Deren Bandbreitenanbindung nicht gut genug ist. Dazu zählen einige asiatische Standorte, aber auch das stellt kein Problem dar. Das Problem würde sich dort lokal ebenfalls genauso stellen wie hier. Es gibt eine AD "Kunde.de" mehr nicht. (Wie gesagt, kleine Ausnahmen, die aber auch Stück für Stück abgebaut werden, sie spielen aber bei der Betrachtung zunächst keine Rolle. Mir geht es nur darum eine exe-Datei zentral abzulegen (die Datei unterliegt einer sehr hohen Änderungsquote, eine Verteilung auf einzelne Systeme macht daher keinen Sinn und würde den adminstrativen Aufwand noch mehr erhöhen), diese Datei ausführen zu lassen und das Ergebnis in ein Verzeichnis zurück zu schreiben. Lokal ist das auch gar kein Problem. Bei Standorten mit entsprechender Anbindung ebenfalls nicht. Diskussionen gibt es nur bei den sogenannten "Mobilen Usern" da sich diese über Wochen oder Monate nicht an der AD anmelden, sondern ihr Login Script händisch nach dem Aufbau der VPN Verbindung starten. Hier sieht der Kunde (einige Admins) ein Problem, in dieses Script den Aufruf der Exe-Datei mit einzubauen. Das der Kunde eigentlich ganz andere Probleme hat usw. brauchen wir an dieser Stelle nicht erneut thematisieren, das ist bekannt. Die Frage ist nur, was ist die einfachste Lösung (und die funktionalste, den Aufruf der exe-Datei zu ermöglichen) Ich hätte diesen Aufruf jetzt einfach an letzter Stelle in das Login Script gepackt. Aber da gibt es dann eben Fragen wie, was passiert, wenn die Verarbeitung nicht abgeschlossen werden kann? Bleibt das System dann ggf. minutenlang einfach "hängen" Ich suche also nach Ideen, diese ExeDatei auszuführen und dabei möglichst wenig Probleme zu bekommen. Es gab auch schon die Überlegung das per Windows Taskplaner zu realisieren, der sich auch über Policies steuern lässt, aber der Windows Tasklpaner hat sich nicht als sonderlich zuverlässig erwiesen. Wir haben da schon Effekte von "geht, geht nicht, geht, geht nicht" gehabt, die wir nie so richtig lösen konnten. Also wenn jemand eine Idee hat, wie man diese exe-Datei am besten, zuverlässigsten und einfachsten aufgerufen bekommt, gerade dann, wenn beim Start des Systems keine Verbindung zur AD besteht, dann bin ich an einem Vorschlag sehr interessiert. Das dann natürlich eine Verbindung existieren muss, das ist mir klar, sonst könnte weder die Exe-Datei aufgerufen werden, noch das Ergebnis weggeschrieben werden. Nein, die Prozesse gibt es nicht oder sie sind äußerst mangelhaft, diese sollen ja implementiert werden, wir befinden uns aber im Prinzip noch drei Schritte davor. Es geht auch nicht darum, dass hier der Kunde etwas beweisen muss, es ist kein offizielles Audit, wenn es das wäre, dann würde ich dem Kunden einfach die höchsten Zahlen um die Ohren hauen, die ich ermitteln kann und er müsste dann zahlen. Hier geht es darum den Kunden abzuholen und nicht weiteren Groll von Abteilungen und Mitarbeitern gegeneinander zu schüren. Ich möchte dem Kunden die Möglichkeit geben aufeinander zuzugehen, vor allem intern. Schranken und Blockaden abzubauen. Das gelingt am ehesten in dem man nicht auf Zuständigkeiten verweist und jemandem Vorhält, dass das sein Problem wäre, was er zu lösen hätte, sondern das funktioniert meiner Erfahrung nach am Besten, wenn man dem Kunden einen möglichen Lösungsweg aufzeigt, ihm also ein Stück weit entgegenkommt, ihn an der Stelle abholt um dann ggf. gemeinsam eine Lösung zu erarbeiten. Mir fehlt es dazu aber, wie ich eingangs bereits sagte an tiefergehendem Know-How. Ich weiß, dass es eine Lösung gibt, wenn man denn will, der Kunde (oder Teile des Kunden behaupten "nein") und so stehen sich zwei Seiten gegenüber die so nicht zusammenkommen. Also versuche ich mir das nötige Wissen anzueignen um einen Schritt auf die andere Seite zugehen zu können und genau deshalb habe ich hier um Hilfe gebeten. Und ich würde mich sehr freuen, wenn sich hier Leute finden würden, die mir da auf die Sprünge helfen könnten.
  21. Ich habe kein Problem damit die Diskussion hier auch öffentlich zu führen. Wollte lediglich der Bitte von Martin nachkommen. Meine Absicht war es dabei keineswegs jemanden zu verprellen oder vor den Kopf zu stoßen. Daher hier an dieser Stelle noch ein paar weitere Hintergrundinformationen, die allen Beteiligten vielleicht noch etwas helfen mein Problem zu verstehen. Ich agiere beim Kunden als Lizenzprüfer, nicht im Auftrag eines Herstellers, sondern quasi von der Unternehmensleitung beauftragt um für den Fall einer Auditierung gerüstet zu sein. Dabei haben wir festgestellt, dass niemand im Unternehmen die genaue Anzahl der Client PCs beziffern kann. (Das Unternehmen ist nicht gerade klein). Ein Tool zur Software-Verteilung welches agentenbasiert arbeitet hat rund 2000 PCs in der Verwaltung Schaue ich in die AD, rechne noch Machinensteuerungen und andere nicht AD System hinzu komme ich auf über 5000 (hier gibt es sicherlich eine erhebliche Anzahl an Karteileichen, die AD ist mangelhaft gepflegt. Ruft man die Antivirus Management Konsole auf und schaut nach welche Geräte sich regelmäßig Pattern-Files in der Domäne herunterladen, so komme ich auf über 4000 Systeme Ein internes aber nicht ausgereiftes Tool zum IT-Asset Management spricht von 3000 Systemen jede Abteilung fetzt sich mit der anderen, jeder für eine Lösung zuständige beharrt darauf, dass seine Zahlen korrekt sind. Dass hier grundsätzlich etwas im Argen liegt und man auch grundsätzliche Dinge mal völlig neu aufziehen müsste ist mir klar, ist einigen Personen beim Kunden klar, aber betriebsintern durch Übernahmen, Auslandsgesellschaften und zum Teil offene Feindschaften untereinander ein Problem, welches wir an dieser Stelle nicht diskutieren brauchen. Beim Kunden kommt neben den oben erwähnten Tools außerdem noch Docusnap der Firma itelio zum Einsatz, was ich im Prinzip recht gut kenne. Dieses bietet die Möglichkeit mit Hilfe einer Script-Datei zu inventarisieren. (Man kann auch Netzwerkscans usw. machen, die haben aber natürlich das Problem, dass immer mal wieder Geräte nicht erreichbar sind und daher würde die Erfassung immer unvollständig bleiben). Grundsätzlich würde sich auch bei einem klassischen Logon-Script diese Erfassung als relativ unproblematisch darstellen. Mit dem Logon wird einfach die Datei ausgeführt, per Parameter die Daten in ein entsprechendes Share geschrieben und fertig. Der Docusnap Server holt die erfassten Daten aus diesem Share ab und importiert sie. Aber es gibt beim Kunden zahlreiche User, die über sehr lange Zeiträume weltweit unterwegs sind. Ein Logon Script wäre daher nicht wirklich zielführend, denn die Systeme würden unter Umständen wiederum Monate oder gar Jahrelang nicht erfasst. Der Softwarebestand wäre also immer noch mehr als nebulös. Meine Idee war nun die, nach einer Lösung zu suchen, die dieses Problem umgeht. Die mobilen User, auch wenn sie sich über Monate nicht an der Domäne anmelden starten jedoch regelmäßig eine VPN Verbindung und führen dann das ihnen zugewiesene Login-Script manuell aus, weil es als Verknüpfung auf dem Desktop liegt. (auch dass kann man sicherlich wesentlich eleganter lösen.) Meine erste Frage zielte also darauf ab, das Login Script des Kunden zu verstehen, um dem Kunden ggf. eine Lösung anzubieten, wie sich das in das Login Script integrieren lässt. Allerdings zeigen Teile der IT beim Kunden dagegen eine bemerkenswerte Abneigung, die aber im wesentlichen eine generelle Abneigung gegen alles ist. Ich muss also irgendwie eine relativ wasserdichte, überzeugende Lösung finden. Argumente die dagegen sprechen: - Probleme wenn das Share nicht erreicht werden kann (die gäbe es mit dem bisherigen Script natürlich ebenso, aber das zählt ja nicht, ist ja immer so) - Wenn die Ausführung des Programms hängt, muss der Mitarbeiter lange warten. - Die Ausführung des Scriptes kann mehrere Minuten dauern, läuft aber "silent" im Hintergrund. Der Kunde hegt aber Zweifel ob das immer so ist und befürchtet, dass die User glauben die Anmeldung würde nicht funktionieren. - ich habe bestimmt ncoh Dinge vergessen.... Ach ja, eine Verteilung des Scripts auf die Clients kommt nicht in Frage. Zum einen erreichen die Tools zur Software Verteilung ja eben nicht alle Geräte und sind selbst eine Ursache für die abweichenden Gerätezahlen. Zum anderen ändert sich das Script sehr häufig und müsste dann jedes Mal erneut verteilt werden. Dies sollte auf jeden Fall vermieden werden. daabm's Ansatz war das nicht mit einem klassischen Batch-basierten Loginscript zu lösen sondern per Powershell, aber das ist ein Bereich, da muss ich leider völlig passen. Ich habe davon ehrlich gesagt null Ahnung. Sein Angebot war mir dabei im persönlichen Austausch unter die Arme zu greifen. Ich denke nicht, dass das gegen das Forum gerichtet war, sondern eher darum gehen sollte Euch nicht mit meinen Anfängerproblemen zuzutexten. Ich hoffe nun ist einiges klarer geworden. Niemand fühlt sich vor den Kopf gestoßen und ich bekomme vielleich auf von Euch noch ein paar gute Ideen und Lösungsansätze. Danke Jörg
  22. Ok, auch wenn ich bei vielen Dingen jetzt selber ganz viele Fragezeichen über dem Kopf schweben habe, ich würde Dein Angebot gerne annehmen Martin. Vielleicht kannst Du mir da ein wenig auf die Sprünge helfen und die Fragezeichen über meinem Kopf ein wenig lichten. Ich schreibe Dich mal per PN an und gebe Dir noch ein paar weitere Hintergrundinformationen.
  23. Hallo in die Runde, wie bereits im Betreff genannt habe ich ein paar Fragen zu Logon Scripten. Das ich mich zuletzt überhaupt mit solchen Dingen beschäftigen musste ist fast 20 Jahre her, dementsprechend eingerostet ist mein Wissen und vermutlich sind die rudimentären Reste, die noch vorhanden sind inzwischen hoffnungslos veraltet. Ich benötige jedoch ein paar Infos, weil ich mit jemandem beim Kunden eine Diskussion führe / führen muss, über Dinge, die seiner Meinung nach nicht funktionieren, meiner Meinung nach jedoch schon funktionieren würden, wenn es genügend Willen zur Zusammenarbeit zwischen den entsprechenden Abteilungen gäbe. Nur fehlt es mir an fachlich versierter Expertise, meine Aussagen entsprechend zu untermauern. Der Klassiker, es gibt eine Abteilung die möchte eine Lösung implementiert haben, die jemand anderes partout nicht will und der nun immer wieder neue, und jedes mal abenteuerlichere Behauptungen aus dem Hut zaubert, warum etwas nicht funktionieren kann, was sich andere überlegt haben. Ich sitze mal wieder zwischen allen Stühlen und versuche zu vermitteln. Szenario (bei eben jenem Kunden) Konkret geht es um die Ausführung von Logon-Scripten und der Problematik bei Usern, die nicht mit der Domäne verbunden sind. Ziel ist die Ausführung einer Datei (.exe), die in einem zentralen Share liegen soll und die eine wmi-Abfrage auf dem Client-System ausführen soll. Das Ergebnis dieser Abfrage soll in ein vorgegebenes Verzeichnis zurückgeschrieben werden. Dabei übernimmt die exe-Datei bei Aufruf mit den korrekten Parametern die wmi-Abfrage, das Schreiben des Ergebnisses in eine XML-Datei und das speichern dieses Ergebnisses in ein entsprechendes Verzeichnis. Diese muss nur vorhanden sein. Ich denke Die Aufgabenstellung ist damit zunächst erst einmal klar und ich halte diese jetzt nicht für sonderlich anspruchsvoll. Des weiteren habe ich noch folgende weiterführenden Informationen: Die Login Scripte für User liegen in der Domäne im Netlogon Verzeichnis auf dem DC. (//dc01/netlogon) Hier existiert für jeden User eine cmd-Datei (das habe ich heute selbst sehen können). Als Muster hier mal der Inhalt einer solchen cmd-Dateit: (ich habe kundenrelevante Informationen durch allgemeine Infos ersetzt. Sollte es deswegen zu Missverständnissen oder Fragen kommen, dann bitte einfach eine Info an mich, ich versuche dann zu beantworten oder zu lösen.) Die Zeilennummern Z00 bis Znn habe ich dem einfacheren Verständnis halber hinzugefügt, die gibt es im Original natürlich nicht. Z00 @echo off Z01 echo Executing Logon Script Mustermann, Max Z02 Z03 net use j: /d Z04 net use j: \\test\kunde\ordner_1 /persistent:no Z05 net use k: /d Z06 net use k: \\test\kunde\ordner_2 /persistent:no Z07 net use q: /d Z08 net use q: \\test\kunde\ordner_3 /persistent:no Z09 net use r: \\test\kunde\ordner_4\ordner_4.1 /persistent:no Z10 rem net use t: \\test\kunde\ordner5\ordner_5.1 /persistent:no Z11 net use v: \\test\kunde\vorlagen /persistent:no Z12 rem net use w: \\net\kunde\word\word_1 /persistent:no Z13 net use s: \\test\kunde\IT /persistent:no Z14 net use p: \\test\kunde\user\MustermannMax /persistent:no Z15 Z16 call pcinfo.cmd Z17 Z18 exit Zunächst hätte ich zu diesem Script ein paar Verständnisfragen: Z00: nach meinem Verständnis schaltet der Befehl "@echo off" die Ausgabe von Meldungen für die gesamte Stapelverabreitungsdatei aus. Ausnahmen müssen entweder per "echo" für einzelne Zeilen definiert werden oder es wird die Ausgabe generell mit "@echo on" wieder eingeschaltet. Korrekt? Ja oder Nein? Z01: Wenn meine Frage in Z00 mit "Ja" beantwortet wird, dann müsste mit dieser Zeile der Text "Executing Logon Script Mustermann, Max" auf dem Bildschirm angezeigt werden. (also im Konsolenfenster natürlich). Im Regelfall solle die Ausführung aber derart schnell von statten gehen, dass dieser Befehl nur in den seltensten Fällen zu sehen ist, er dient meiner Meinung nach nur einer zusätzlichen Absicherung. (z.B. wenn das Script aus welchem Grund auch immer hängen bleibt, dann bleibt ein "DOS-Fenster" in der Taskleiste in dem diese Meldung stehen würde. Der User sieht dann nur diese Meldung kann damit aber zumindest dem Administrator einen Hinweis geben, was für Fenster das überhaupt ist. Gibt es andere Gründe diese Zeile an diese Stelle einzufügen? Z03: (und weitere mit selbigem Aufrufparameter wie Z05 und Z07) Der Aufruf in der Zeile mit der Option "/d" als Kurzform für "/delete" canceled eine Netzwerk-Verbindung, in dem Fall die zum Laufwerk "J:" Ich gehe davon aus, dass dieser Aufruf deshalb erfolgt um sicher zu gehen, dass nicht aus irgendwelchen anderen Gründen der Laufwerksbuchstabe bereits für eine andere Verbindung genutzt wird und eine Verbindung zum im Unternehmen üblichen Laufwerk "J:" wie er in Zeile Z04 erfolgt gesichert ist. Sollte genau dies damit beabsichtigt sein, dann frage ich mich jedoch, warum man dies nicht bei sämtlichen Laufwerksverbindungen so macht, denn die Problematik könnte dann ja auch bei allen anderen Laufwerken, die hier aufgerufen werden dieselbe sein. Sieht jemand einen Grund dafür diesen Aufruf nicht bei allen Laufwerken vorneweg zu setzen? Meiner Meinung nach könnte man auch zu Beginn den Befehl: net use * /d setzen. Dieser würde dann aber vermutlich sämtliche Verbindungen trennen, auch jene, die z.B. vom User händisch selbst angelegt wurden und gar nicht über das Logon Script aufgerufen wurden. Damit wären beim Aufruf dieses Befehls dann auch jedes mal alle anderen Laufwerksverbindungen getrennt, was unter Umständen zu Problemen, zumindest aber zu Irritationen bei Usern führen könnte. In der Diskussion kam hier ein Disput darüber zustande, dass der Aufruf von Zeile Z03 eigentlich komplett unterbleiben könnte, weil das Logon-Script ja beim Start des Systems als erstes ausgeführt wird, also zu einem Zeitpunkt zu dem überhaupt noch keine anderweitigen Netzwerkverbindungen bestehen. Man könne also garnichts trennen, denn es existiere ja nichts trennbares. Ich würde dieser Aussage zwar zustimmen, aber eine Verknüpfung zur entsprechenden CMD-Datei hat jeder User auf seinem Desktop liegen. Dort heißt die Verknüpfung dann "Netzlaufwerke verbinden nach dem Aufbau einer VPN-Verbindung". Dann macht es meiner Meinung nach wiederum Sinn, eben genau diese Trennung der Netzlaufwerke in die CMD-Datei mit aufzunehmen, denn wenn ein User mit seinem Gerät unterwegs ist (z.B. Notebook) dann kann das Login-Script ja gar nicht ausgeführt werden, weil es überhaupt keinen DC gibt, an dem man sich anmelden kann. Erst nach der Anmeldung (das Login-Script wäre also eigentlich schon gelaufen) wird erst eine Verbindung zum Netzwerk mit dem händischen Aufruf der VPN-Verbindung über den Verbindungsmanager gestartet. Um nun die üblichen Laufwerke gemountet zu bekommen wird also das sonst im Unternehmen übliche Login-Script durch den User erneut händisch aufgerufen. Z04, Z06, Z08, Z09, Z11, Z13, Z14: rufen jeweils Netzwerkpfade als Laufwerke auf. Welche das letztlich sind ist ja weniger relevant Z16: Ich habe dazu kein spezielles Programm finden können. Ich vermute hier eine weitere Batch, und versuche gerade herauszubekommen, um welchen Aufruf es sich dabei handelt. Was spricht also dagegen, hier noch eine weitere Zeile an das Script anzufügen mit dem eine auf einem zentralen Share, z.B. auch auf dem DC liegende Script Datei aufgerufen wird. Spricht etwas dagegen, wegen der Erreichbarkeit diese ebenfalls ins Netlogon Verzeichnis zu legen? Wie gesagt man kann der Datei Parameter mitgeben, über die die Ausgabe des Ergebnisses definiert wird. Bei der aufzurufenden Datei geht es um die scriptbasierte Inventarisierung von Docusnap. Ich habe mal die Optionen als Screenshot mit angehängt, nur damit ihr euch ein Bild davon machen könnt. Bin für jede (Teil-) Antwort dankbar. Gruß Jörg
  24. Super, danke, dann sind meine Fragen ja alle beantwortet. Danke für die schnelle Hilfe!
  25. Das ist mir bekannt, ein Upgrade auf einen Enterprise Server dürfte bei einem Kunden der zunächst mit einem Foundation Server begonnen hat auch eher unwahrscheinlich sein. Also dem Schreinermeister oder dem Rechtsanwalt für den solch ein System vollkommen genügt würde ich trotzdem nicht mangelnde Ernsthaftigkeit unterstellen wollen. Nur warum soll er das Geld für einen Standard Server ausgeben, wenn er zunächst einmal keinerlei Funktion desselben benötigt? Mir geht es eher darum, ein Kunde mit z.B. 10 Usern entwickelt sich innerhalb von sagen wir mal 1-2 Jahren auf mehr als 15. Möchte weiterhin W2KR2 einsetzen. Muß dann der Server und damit die Domäne neu eingerichtet werden? Instaliert man dann einfach auf der Maschine sozusagen Inplace? Nun, in unserer Region gibt es Kunden, für die dieses Produkt durchaus in Frage kommt und die auch sehr auf ihr Geld bedacht sind. Zugegeben wir sind arm und schauen voll Neid zu den Bonzen empor, die es nicht nötig haben sich mit preiswerten Produkten auseinander zu setzen. ^^ Gruß Jörg
×
×
  • Neu erstellen...