Jump to content
DerUser

Skripts - System Kontext

Recommended Posts

Ich habe dieses Thema unter Scripting erstellt weil ich nicht sicher war ob es die GPO Leute oder Script Leute besser wissen.

 

Wir haben Windows 10 Rechner (Domäne). Mit der GPO  Computerkonfig.>Windows Einstellungen>Skript>Starten sollte ein CMD Skript starten das ausserhalb von sysvol liegt.

Das Skript sollte mit dem System Kontext gestartet werden und ist auf einer Freigabe erreichbar.

 

Wenn man die GPO LanMan-Arbeitsstation aktiviert funktioniert das Skript, ansonsten nicht. Gibt es eine andere GPO wo ich sagen kann diese Skript von dieser Freigabe sind sicher statt LanMan.

 

Vielen Dank

 

Share this post


Link to post
Share on other sites

Hi,

 

Das Skript liegt ausserhalb von sysvol. Wir haben kein Zugriff auf sysvol und müssen unsere Skrtips von einer anderen Windows Freigabe Speichern.

 

LG

Share this post


Link to post
Share on other sites

Moin

 

Wurde schon ins Ereignisprotokoll des Clients geschaut?

 

Kann es sein, zu dem Zeitpukt des Skriptstarts hat der Client noch keine Netzwerkverbindung, kann also die Freigabe nicht erreichen?

 

 

Edited by lefg

Share this post


Link to post
Share on other sites

Moin 

 

Die Ereignisanzeige melde mit der ID 1130 (Startup script failed.

 

 

 

 

  SupportInfo1 0 
  SupportInfo2 0 
  ErrorCode 5 
  ErrorDescription Access is denied.  
  ScriptType 0 
  GPODisplayName xxxxxx

 

Ausser man aktiviert die GPO Einstellung "Unsichere Gastanmeldungen aktivieren" dann funktioniert das Skrtip.

:)

 

Besten Dank.

 

Share this post


Link to post
Share on other sites

Leider haben wir kein Zugriff auf sysvol.

Dann müsste ich es zuerst auf jeden Client Manuel kopieren. Auf einem Share wäre es einfacher zum managen :)

Share this post


Link to post
Share on other sites

Das ist wohl ein Samba-Share mit Anonymous Access - Pfui...

Meine Empfehlung dazu: ALLE Skripte "irgendwie" nach lokal kopieren und per GPO das lokale Skript aufrufen. Dann läuft das nämlich auch, wenn das Netz weg ist. Und "lokal" heißt bei Computerstartskripts "ein Verzeichnis, in dem der User KEINE Schreibrechte hat".

Share this post


Link to post
Share on other sites

Moin,

 

vor 16 Stunden schrieb tesso:

Was spricht gegen sysvol?

 

dagegen spricht, dass Sysvol, wie der Name schon sagt, ein Systemverzeichnis ist, das ganz bestimmte Aufgaben hat. Da gehört natürlich nichts anderes rein.

 

Alles, was man "manuell" erzeugt, gehört in dedizierte Verzeichnisse auf einem Dateiserver, der mit dem Windows-Berechtigungssystem umgehen kann. Diese sind dann mit passenden Berechtigungen zu schützen. Im Fall von Start- oder Anmeldeskripten für Clients kommen die Hinweise dazu, die Martin genannt hat (lokal kopieren und von dort ausführen - und auch da die Berechtigungen richtig setzen).

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Moin die Herren

 

Vielen Dank. Hier die Berechtigung der Freigabe wo das Skript liegt.

Muss ich eventuell statt Jeder, System hinzufügen?

image.thumb.png.4c6f14a121cb924cedbf020fc95f97e7.png

 

 

 

Hier der Skript.

@echo off

SET LOGFILE=c:\admin\orchestrate-system.log
echo --------------------------------------------  > %LOGFILE%
echo Starting computer orchestrate.cmd            >> %LOGFILE%
echo %date% %time% on %COMPUTERNAME% - %USERNAME% >> %LOGFILE%
echo -------------------------------------------- >> %LOGFILE%
echo.                                             >> %LOGFILE%

call \\server\admin\System\tasks\computer\logon_screen_background_advertisement\run_win10.cmd

echo.                                             >> %LOGFILE%
echo -------------------------------------------- >> %LOGFILE%
echo Finishing computer orchestrate.cmd           >> %LOGFILE%
echo %date% %time% on %COMPUTERNAME% - %USERNAME% >> %LOGFILE%
echo -------------------------------------------- >> %LOGFILE%

 

 

Ihr habt Recht, ich werde später alles Lokal ablegen. Dann sind wir einfach nicht so agil. 

Wenn das Skript auf den Share liegt ist es einfach es anzupassen :)

 

Ich kläre nochmals die Freigabe ab.

 

Danke nochmals

 

 

Share this post


Link to post
Share on other sites
vor 21 Minuten schrieb DerUser:

Muss ich eventuell statt Jeder, System hinzufügen?

... nur mal als Denkanstoss: SYSTEM ist ein lokaler Account eines einzelnen Computers. Wenn ein anderer Computer mit diesem Account Zugriff erhalten soll, müsstest Du diesen explizit angeben also auf Computer1 müsstest Du dann Computer2\SYSTEM berechtigen, damit er entsprechenden Zugriff erhält. Deshalb ist es keine gute Idee, den Account SYSTEM für irgendwelche explizit berechtigte Resourcen zu benutzen.

Share this post


Link to post
Share on other sites

Moin,

 

vor 2 Stunden schrieb DerUser:

Ihr habt Recht, ich werde später alles Lokal ablegen. Dann sind wir einfach nicht so agil. 

Wenn das Skript auf den Share liegt ist es einfach es anzupassen :)

naja, das kriegt man ja trotzdem hin. Ein Task, ein GPO mit GPP-Dateikopie, eine Softwareverteilung, ein ... kopiert die aktualisierten Dateien regelmäßig auf den Client. Der Client führt nur diese lokalen Dateien aus.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Entweder die Computer-Konten direkt oder eine Gruppe mit den Computer-Konten hinzufügen. Es  gäbe da schon eine Gruppe per default. Findest Du  sicher raus...

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...