Softwareinstallation und Logging

[admin1111 0]

Hallo Zusammen,

 

ich habe eine Frage:

 

ich installiere über eine GPO eine Programm. Ich habe ein batch Script geschrieben und lasse es als Startscript beim Computer ausführen. Das auszuführende Programm liegt auf einen \\share\software, das funktioniert auch. Nun kommt meine Frage, ich möchte beim Installieren der Software etwas mitloggen auf diesen  \\share\software\logdatei.log das funktioniert aber nicht. Das Script schreibe nicht auf das Share. Soweit mir bekannt ist, wird das Computer Startscript mit dem Benutzer System ausgeführt, und dieser hat volle Schreibrechte auf dem Share..., die Frage, ist warum kann trotzdem nicht auf das Share geschrieben werden...

 

Hat einer ev. eine Idee?

 

MFG

 

[Sunny61 839]

ich installiere über eine GPO eine Programm. Ich habe ein batch Script geschrieben und lasse es als Startscript beim Computer ausführen. Das auszuführende Programm liegt auf einen \\share\software, das funktioniert auch. Nun kommt meine Frage, ich möchte beim Installieren der Software etwas mitloggen auf diesen  \\share\software\logdatei.log das funktioniert aber nicht. Das Script schreibe nicht auf das Share. Soweit mir bekannt ist, wird das Computer Startscript mit dem Benutzer System ausgeführt, und dieser hat volle Schreibrechte auf dem Share..., die Frage, ist warum kann trotzdem nicht auf das Share geschrieben werden...

Out of the Box hat der Benutzer SYSTEM nicht Schreibrechte auf einem Share. Das mußt Du schon selbst einstellen. NTFS-Berechtigungen nicht vergessen. Wenn die Authentifizierten Benutzer (in dieser Gruppe sind auch die Computer enthalten) Schreibrechte haben, sollte es mit dem Log klappen.

 

Weshalb lässt Du nicht auf dem Client das Log schreiben?

[zahni 588]

Dur musst dem Computerkonto in der Domäne bzw, der Gruppe Domänen-Computer die Rechte erteilen.

[Daniel -MSFT- 129]

Der Computer braucht Schreibrechte auf dem Share und auf dem NTFS-Filesystem. Also entweder dem Computerobjekt, oder einer Gruppe von Computern. Schau Dir mal die Gruppe 'Domänencomputer' an: http://technet.microsoft.com/de-de/library/cc756898.aspx

[admin1111 0]

Hallo,

 

danke für die Antworten!!

 

ich habe dem Benutzer System auf dem Share und auf NTFS alle Rechte gegeben, aber es das Script schreibt nicht auf das Share. Nur wenn ich dem Benutzer "Authentifizierter Benutzer" alle Rechte gebe, dann funktioniert das... aber das will ich nicht unbedingt, denn so kann auch der normale Benutzer vom Share daten löschen...

 

Hat ev. jemand noch eine Idee, wie ich es schaffe...? Welche Benutzer muss ich da die Rechte geben...?

PS: das Share liegt auf einen Server, der zu einer Domäne gehört...

[Daniel -MSFT- 129]

Lies doch bitte nochmal meine Antwort richtig. Es ist NICHT der Benutzer System, dem Du Rechte geben musst, sondern das Computerobjekt des zugreifenden Rechners. Wenn z.B. Dein Client HANS heißt, dann gibt es einen Benutzer HANS$ im AD, der das Computerobjekt repräsentiert. Der braucht das Recht auf Freigabe- und NTFS-Ebene, in den Ordner schreiben zu können. Du musst dort HANS$ hinzufügen, nicht System. System würde dagegen den Server selbst repräsentieren.

 

Wenn Du "Authentifizierte Benutzer" das Recht erteilst, dann darf auch HANS$, weil der Client als Domänenmitglied auch ein authentifizierter "Benutzer" ist.

 

Damit Du nun nicht allen Computer-Accounts Berechtigungen erteilen musst, nimmst Du eine Gruppe. Die übliche Verdächtige hier ist die vordefinierte Gruppe Domänencomputer. In der sind standardmäßig alle der Domäne hinzugefügten Computer enthalten. Ganz praktisch, oder?

Edited May 12, 2014 by Daniel -MSFT-

[admin1111 0]

Hallo Daniel,

 

das war die Lösung, die Domain Computer hinzuzufügen! Jetzt funktioniert es, danke!!!