Jump to content

DerUser

Members
  • Gesamte Inhalte

    18
  • Registriert seit

  • Letzter Besuch

Beiträge erstellt von DerUser

  1. Guten Abend

     

    Ich bin ein Fileserver am Umstellen und habe dafür ein Skript geschrieben. Die Vererbung der Berechtigungen setzte ich wie gemäss Microsoft-eignen Skript "This Folder, Subfolder and File".

    https://gallery.technet.microsoft.com/scriptcenter/Reset-Home-Folder-Share-a4b42fc5

     

    Mir ist aber aufgefallen, dass wenn die GPO Ordnerumleitung die Verzeichnisse erstellt, die Vererbung der Berechtigungen anders vererbt werden. Immer nur "This Folder", auch die Unterverzeichnisse. Immer nur This Folder. Der Platzhalter "Creatot Owner" ist aber auf "This Folder, Subfolder and File" gesetzt.

    Am Schluss haben zwar alle die Berechtigung aber wieso nicht von oben nach unten  "This Folder, Subfolder and File"?

     

    Kann man das ändern?

     

    Leider habe ich diesbezüglich nichts gefunden.

     

    Besten Dank

  2. Guten Morgen

     

    Seit paar Tagen versuche ich eine Lösung zu um die Eigenschaft des Shutdown Buttons im Startmenü auf abmelden zu ändern.

    Bei älteren Windows Versionen war das anscheinend möglich über die GPO User Configuration > Policies > Administrative Templates > Start Menu and Taskbar oder in der HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\Explorer\PowerButtonAction

    1 = Sign out
    2 = Shut down
    4 = Restart
    10 = Sleep
    40 = Hibernate
    100 = Switch user

     

    EventViewer und gpresult zeigen eigentlich das die GPO greift. Wegen der Corona Krise mussten wir leider etwas umstrukturieren, dass wäre so eine Änderung :)

     

    Danke und Gruss 

  3. Am 3.3.2020 um 22:14 schrieb daabm:

    Ja, ich kenne eines :-)

     

    Lies Dir das hier zweimal durch: https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html

    Dann reden wir darüber, wie man das für lokale Admins auf Clients total einfach nutzen kann.

    Guten Morgen daabm

     

    Es tut mir leid, ich war letzte Woche Krank und konnte erst jetzt antworten. Ich lese es einmal jetzt durch und etwas später ein zweites mal :)

     

    Vielen Dank.

     

     

  4. vor 14 Stunden schrieb magheinz:

    Dann pass doch die GPO Restricted Groups entsprechend an! 

    Bei uns gibt es auch User die lokaler admin auf speziellen Rechnern sind, niemals die einer ganzen OU.

    Es gibt pro Rechner dann eine Gruppe app_l_pcxyz_lokal_admin und wenn nicht andere Rollen greifen app_g_pcxyz_lokal_admin. 

    Der User ist dann Mitglied der lokalen Gruppe welche Mitglied der domainlocale Gruppe ist. Dann ist die GPO entweder per Zielgruppenaddressierung konfiguriert oder es gibt für jede Maschine eine eigene GPO. Da bin ich gerade nicht sicher. 

    Das ist eine gute Idee. Super vielen Dank :) :)Ich werde nächste Woche das mal so testen mit den Zielgruppenadressierung.

  5. vor 3 Stunden schrieb magheinz:

    Müssen das AD-Rechner sein? Könntest du ihnen virtuelle Maschinen mit lokalen admins zur Verfügung stellen? 

    Es sind leider AD Rechner. VMs gehen leider auch nicht, die müssen zum Teil ohne Offline ihre Notebooks an Devices anschliessen :(

     

    vor einer Stunde schrieb Gu4rdi4n:

    win+r

    control userpasswords2 

     

    Hinzufügen -> Benutzername + Domäne angeben -> Gewünschte Berechtigung wählen -> Weiter weiter fertigstellen

    abmelden + anmelden

     

    Schon ist der User lokaler admin

    Ich müsste das an div. Rechner machen + hätte ich noch Probleme mit den bestehenden GPOs.  Die GPO Restricted Groups würde diese Einstellung dann überschreiben. 

     

    Eventuell kann mir LAPS weiterhelfen. Ich muss mir noch ein paar Gedanken machen.

  6. Moin die Herren

     

    Vielen Dank. Hier die Berechtigung der Freigabe wo das Skript liegt.

    Muss ich eventuell statt Jeder, System hinzufügen?

    image.thumb.png.4c6f14a121cb924cedbf020fc95f97e7.png

     

     

     

    Hier der Skript.

    @echo off
    
    SET LOGFILE=c:\admin\orchestrate-system.log
    echo --------------------------------------------  > %LOGFILE%
    echo Starting computer orchestrate.cmd            >> %LOGFILE%
    echo %date% %time% on %COMPUTERNAME% - %USERNAME% >> %LOGFILE%
    echo -------------------------------------------- >> %LOGFILE%
    echo.                                             >> %LOGFILE%
    
    call \\server\admin\System\tasks\computer\logon_screen_background_advertisement\run_win10.cmd
    
    echo.                                             >> %LOGFILE%
    echo -------------------------------------------- >> %LOGFILE%
    echo Finishing computer orchestrate.cmd           >> %LOGFILE%
    echo %date% %time% on %COMPUTERNAME% - %USERNAME% >> %LOGFILE%
    echo -------------------------------------------- >> %LOGFILE%
    

     

     

    Ihr habt Recht, ich werde später alles Lokal ablegen. Dann sind wir einfach nicht so agil. 

    Wenn das Skript auf den Share liegt ist es einfach es anzupassen :)

     

    Ich kläre nochmals die Freigabe ab.

     

    Danke nochmals

     

     

  7. Moin 

     

    Die Ereignisanzeige melde mit der ID 1130 (Startup script failed.

     

     

     

     

      SupportInfo1 0 
      SupportInfo2 0 
      ErrorCode 5 
      ErrorDescription Access is denied.  
      ScriptType 0 
      GPODisplayName xxxxxx

     

    Ausser man aktiviert die GPO Einstellung "Unsichere Gastanmeldungen aktivieren" dann funktioniert das Skrtip.

    :)

     

    Besten Dank.

     

  8. Ich habe dieses Thema unter Scripting erstellt weil ich nicht sicher war ob es die GPO Leute oder Script Leute besser wissen.

     

    Wir haben Windows 10 Rechner (Domäne). Mit der GPO  Computerkonfig.>Windows Einstellungen>Skript>Starten sollte ein CMD Skript starten das ausserhalb von sysvol liegt.

    Das Skript sollte mit dem System Kontext gestartet werden und ist auf einer Freigabe erreichbar.

     

    Wenn man die GPO LanMan-Arbeitsstation aktiviert funktioniert das Skript, ansonsten nicht. Gibt es eine andere GPO wo ich sagen kann diese Skript von dieser Freigabe sind sicher statt LanMan.

     

    Vielen Dank

     

×
×
  • Neu erstellen...