Jump to content

Fehlende Berechtigung bei Programm-Update auf Server


Go to solution Solved by JustTheNextUser,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Procmon wurde schon oft genug genannt - das ist hier das Tool der Wahl um zu sehen, welcher Zugriff schief geht. Lokal kann es ja kaum sein, ein Filter auf den UNC-Pfad und alle "SUCCESS" rauswerfen dürfte recht schnell zum Ziel führen.

  • Like 2
Link to post

Hallo zusammen,

 

danke für das Feedback.

Ich habe gestern nochmal Zeit gefunden mich an das Problem zu setzen und habe mit mit ProcMon die Sache angesehen.

 

Ich habe die Aufzeichnung gestartet bevor ich die Installation gestartet habe.

Dann die Installation gestartet ('Als Administrator ausführen') und durchgeklickt bis zur Meldung 'Fehlende Windows-Rechte. Es wird automatisch ein neuer Versuch mit erhöhten Benutzerrechten gestartet. Bitte warten...'

Da hier dann nichts mehr passiert, habe ich die Aufnahme beendet.

 

Nun habe ich mir den Process-Tree angesehen. Hier gibt es den Installations-Prozess und ein Child-Prozess davon.

Beide habe in in meinen Filter gepackt.

Dann habe ich 'SUCCESS' und 'BUFFER OVERFLOW' aussortiert.

Jetzt habe ich noch einen Teil des UNC-Pfads inkludiert (contains 'XXX-DC-01').

 

Nun habe ich nur noch 97 Einträge, das meiste ist 'File System' ein wenig ist 'Registry'.

 

Das meiste ist 'NAME NOT FOUND' und dann noch die beiden (wahrscheinlich wichtigen) 'ACCESS DENIED' und 'FILE LOCKED WITH ONLY READERS'.

 

Der Pfad beim 'ACCESS DENIED' ist jeweils der eigentliche Installer (.EXE) auf dem UNC-Pfad.

Das hilft mir leider nicht weiter, da der Benutzer ('mfadmin') dort ja Vollzugriff hat.

 

Ich habe mal einen Screenshot von Procmon angehangen.

 

 

ProcMon.png

Hier noch Screenshots der Freigabe- und NTFS Berechtigungen (DFS-Daten auf dem DC).

Freigabe-Berechtigungen.png

NTFS-Berechtigungen.png

Hier noch ein Screenshot der lokalen Benutzer/Gruppen wegen lokalen Admin-Berechtigungen (auf dem WTS).

Lokaler-Admin_WTS.png

Hat hier noch jemand eine Idee?


Ich will natürlich dem Software-Hersteller auch nicht den schwarzen Peter zuschieben, es kann ja genauso an einer fehlerhaften Konfiguration meinerseits liegen.

Ich habe auch nochmal Rückmeldung von den Entwicklern bekommen:
----------------------------------------------------------------------------------------------------------------
Die Installation besteht aus
* Kopieren der Uninstall.exe nach <Programme>\XXXXXXX, also i.d.R. C:\Programme (x86)
* Schreibender Zugriff auf die Registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths
* Kopieren von Dateien nach <Dokumente> des Anwenders
* Kopieren von Dateien in die gewählten Zielverzeichnisse

Wenn bei einer Aktion ein Fehler auftritt wird eine Fehlermeldung gebracht und die Installation wird abgebrochen.

AUSNAHME: Es wird von Windows der Fehler ERROR_ACCESS_DENIED oder E_ACCESSDENIED gemeldet.
Dann nehmen wir an, dass es ein „normaler Benutzer“ oder „der eingeschränkte Admin“ ist. 
Der Prozess startet sich erneut „elevated“ (aka als Administrator ausführen) und versucht diese Aktion erneut.

Natürlich kann dann immer noch der Zugriff verweigert werden. Ursache ist dann gerne der Virenscanner.
Leider lässt sich Windows über die Ursache nicht aus.

Bei Ihnen scheint es so zu sein, dass der lokale Administrator doch nicht (bzgl. der Aktionen des Installationsprogrammes) genügend Rechte besitzt.
Deshalb bringt Windows weiterhin die „Zugriff verweigert“-Meldungen.
----------------------------------------------------------------------------------------------------------------

Alle 4 oben genannten Punkte kann ich mit diesem Benutzer (mfadmin) auf dem WTS/auf der DC-Freigabe manuell durchführen.
Virenscanner läuft keiner und ich hatte die Installation bereits mit augeschaltetem Windows-Defender durchgeführt.


Danke schonmal für die Hilfe.
VG

Link to post

Also die Rechte scheinst Du ja wirklich gesetzt zu haben... Fragt sich, ob diese auch an die Unterordner vererbt sind oder die Vererbung aufgehoben wurde. Erzwinge mal die vererbung nach unten.

--> Erweiterte Sicherheitseinstellungen>Alle Berechtigungen für untergeordnete Objekte einschliessen.

 

Ebenso findet er den korrekten UNC-Pfad via DFS, soweit so gut. Zugriff müsste also funktionieren. Auch wenn der PC-Name ohne Suffix der Domäne aufgelöst wird

 

So wies aussieht scheitert er bereits beim Versuch die EXE auszuführen

 

Ein kleine Idee hätte ich sonst noch parat:  Die Exe ist in den Eigenschaften als vertrauenswürdig eingestuft? --> Möglicherweise kommt keine Meldung, das von Internet und so. Schau dir die File-Eigenschaften von beiden Maschinen her an.

  • Like 1
  • Thanks 1
Link to post
Posted (edited)
vor einer Stunde schrieb Weingeist:

Also die Rechte scheinst Du ja wirklich gesetzt zu haben... Fragt sich, ob diese auch an die Unterordner vererbt sind oder die Vererbung aufgehoben wurde. Erzwinge mal die vererbung nach unten.

--> Erweiterte Sicherheitseinstellungen>Alle Berechtigungen für untergeordnete Objekte einschliessen.

Soweit ich sehen kann sind die Rechte richtig vererbt; wenn ich in dem entsprechenden Unterordner die Datei-Eigenschaften der EXE ansehe, sind dort unter Sicherheits alle gesetzen Berechtigungen korrkt durch Vererbung vergeben.

Zur Sicherheit habe ich jetzt aber nochmal die Verwerbung erzwungen, wie du geschrieben hast. Bringt leider nichts, Problem weiterhin vorhanden.

 

vor einer Stunde schrieb Weingeist:

Ein kleine Idee hätte ich sonst noch parat:  Die Exe ist in den Eigenschaften als vertrauenswürdig eingestuft? --> Möglicherweise kommt keine Meldung, das von Internet und so. Schau dir die File-Eigenschaften von beiden Maschinen her an.

Smarte Idee, leider habe ich in den Datei-Eigenschaften auf beiden Maschinen keinen Bereich für 'Vertrauen'; also scheint die Datei vertrauenswürdig zu sein, gehe ich davon aus.

 

 

Edited by JustTheNextUser
Link to post
vor 18 Minuten schrieb winmadness:

Wäre es möglich, dass Du die Installationsdatei nicht vom UNC Pfad installiert sondern lokal kopierst und dann startest?

Auch das hatte ich ursprünglich schon getestet, leider das gleiches Ergebnis. Wobei ich diesen Vorgang nicht mit dem ProcMon analysiert hatte, sondern nur den Versuch über den UNC-Pfad.

Link to post

Zwei Ideen hätte ich noch:

  1. Wurde die Software ursprünglich mit einem Domain-Admin installiert? Wenn ja, könntest Du diese mal deinstallieren und mit dem lokalen Admin neu installieren, sofern dies der Geschäftsbetrieb zulässt.
  2. Du könntest einen Domain-Admin zur Installation einrichten und diesen mit dem Tier-Modell (siehe Frankys Web und Microsoft Doku ) auf den Terminal-Server beschränken.
  • Thanks 1
Link to post
vor 1 Minute schrieb winmadness:
  1. Du könntest einen Domain-Admin zur Installation einrichten und diesen mit dem Tier-Modell (siehe Frankys Web und Microsoft Doku ) auf den Terminal-Server beschränken.

Einen Domain-Admin einschränken ist unterm Strich wie Globuli und kommt über den Placebo Effekt nicht hinaus. ;-)

 

@JustTheNextUser Funktioniert die Installation denn sobald dein "programm_admin" in den Domain-Admins Mitglied ist?

 

  • Thanks 1
  • Haha 1
Link to post
Posted (edited)
vor 1 Stunde schrieb winmadness:
  1. Wurde die Software ursprünglich mit einem Domain-Admin installiert? Wenn ja, könntest Du diese mal deinstallieren und mit dem lokalen Admin neu installieren, sofern dies der Geschäftsbetrieb zulässt.

Das kann ich nicht mehr genau sagen, ich glaube tatsächlich über den Domain-Admin. Eine Neuinstallation mit dem lokalen Admin wäre mal ein Versuch. Muss ich aber zeitlich abstimmen, bzw. selbst Zeit finden.

 

vor einer Stunde schrieb testperson:

Einen Domain-Admin einschränken ist unterm Strich wie Globuli und kommt über den Placebo Effekt nicht hinaus. ;-)

 

Damit ist der Vorschlag wohl vom Tisch :grins2: (ist aber generell ein interessanter Artikel, wie ich finde)

 

vor einer Stunde schrieb testperson:

Funktioniert die Installation denn sobald dein "programm_admin" in den Domain-Admins Mitglied ist?

 

Jawohl, dann geht das Update problemlos durch.

Edited by JustTheNextUser
Link to post

Also ich finde das etwas strange.

 

Noch zwei Ideen:

Hast Die Mühle von der aus Du das machst mal neu gestartet oder Dich neu angemeldet? Also wirklich neu angemeldet und nicht vorher gesperrt? Ich nehme jetzt an schon, aber darauf falle ich selber ab und wann rein. Dann ist nämlich Dein Ticket nicht zwingend mit allen Berechtigungen ausgestattet. Dann gibts noch Crazy-Fehler-Bilder bei zu grossen Tickets. Also zu viele Mitgliedschaften eines Users . Dann fehlt manchmal auch ein Teil der effektiven Berechtigungen obwohl sie angezeigt werden. Müsste man die Max. Grösse raufstellen. Schätze mal das trifft hier nicht zu, da spezieller User für speziellen Zweck.

 

Funktioniert DNS und das alte System wirklich wie es sollte? Sprich in beide Richtungen? Weil der UNC-Pfad mit dem Du zu zugreifst ist keine vollständige FQDN, der Domänenname fehlt. Kannst evtl. mal inkl. dem Domänennamen darauf zugreifen? Eventuell unabhängig von DFS sodern direkt auf die Maschine drauf. Ahja, da fällt mir ein in DFS kannst auch noch in die Berechtigungen reinpfuschen. Edit: Dagegen Spricht, dass es mit Domain-Admin tutet (DNS)

 

Doch noch eine Dritte: Übernimm mal den Besitz der Ordner und sämtlicher Dateien durch den speziellen Admin. Der hat nochmals ein paar mehr Rechte.

Edited by Weingeist
  • Thanks 1
Link to post
vor 7 Minuten schrieb JustTheNextUser:

Das kann ich nicht mehr genau sagen, ich glaube tatsächlich über den Domain-Admin. Eine Neuinstallation mit dem lokalen Admin wäre mal ein Versuch. Muss ich aber zeitlich abstimmen, bzw. selbst Zeit finden.

Du könntest auch mal die installierten Dateien (exe, dll, Konfigdateien) auf Berechtigung prüfen. Evtl. fehlen Deinem programm_admin Änderungsrechte für diese Dateien.

 

Nachtrag:

auch die Rechte der Registry Programm Einträge auf Berechtigung prüfen / ändern.

Edited by winmadness
  • Thanks 1
Link to post
Posted (edited)
vor 25 Minuten schrieb Weingeist:

Also ich finde das etwas strange.

same.

 

vor 25 Minuten schrieb Weingeist:

Hast Die Mühle von der aus Du das machst mal neu gestartet oder Dich neu angemeldet? Also wirklich neu angemeldet und nicht vorher gesperrt? Ich nehme jetzt an schon, aber darauf falle ich selber ab und wann rein. Dann ist nämlich Dein Ticket nicht zwingend mit allen Berechtigungen ausgestattet. Dann gibts noch Crazy-Fehler-Bilder bei zu grossen Tickets. Also zu viele Mitgliedschaften eines Users . Dann fehlt manchmal auch ein Teil der effektiven Berechtigungen obwohl sie angezeigt werden. Müsste man die Max. Grösse raufstellen. Schätze mal das trifft hier nicht zu, da spezieller User für speziellen Zweck.

Ja, ich kann einen Neustart des Servers machen, dann direkt mit dem 'mfadmin' anmelden und die Installation starten, es geht aber trotzdem nichts.

 

vor 25 Minuten schrieb Weingeist:

Funktioniert DNS und das alte System wirklich wie es sollte? Sprich in beide Richtungen? Weil der UNC-Pfad mit dem Du zu zugreifst ist keine vollständige FQDN, der Domänenname fehlt. Kannst evtl. mal inkl. dem Domänennamen darauf zugreifen? Eventuell unabhängig von DFS sodern direkt auf die Maschine drauf.

Denke schon, ich kann sowohl auf '\\XXX-DC-01\MF' als auch auf '\\XXX-DC-01.domain.local\MF'. In die andere Richtung auch (vom DC auf '\\XXX-WTS-01\' und auf '\\XXX-WTS-01.domain.local\'

Der direkte Zugriff auf '\\XXX-DC-01.domain.local\E$\DFSDaten\MF' geht nicht, was meiner Meinung nach auch richtig ist, da keine berechtigte Freigabe, oder nicht?

 

vor 25 Minuten schrieb Weingeist:

Ahja, da fällt mir ein in DFS kannst auch noch in die Berechtigungen reinpfuschen.

Ok, darüber weiß ich nichts. Müsste ich nochmal prüfen bzw. schauen was man hier einstellen kann.

 

vor 25 Minuten schrieb Weingeist:

Doch noch eine Dritte: Übernimm mal den Besitz der Ordner und sämtlicher Dateien durch den speziellen Admin. Der hat nochmals ein paar mehr Rechte.

 

Kann ich gerne auch nochmal versuchen, aktuell wird gearbeitet. Das heißt dann also erst später erst oder dir Tage; ich werde Rückmeldung geben.

 

vor 22 Minuten schrieb winmadness:

Du könntest auch mal die installierten Dateien (exe, dll, Konfigdateien) auf Berechtigung prüfen. Evtl. fehlen Deinem programm_admin Änderungsrechte für diese Dateien.

 

Nachtrag:

auch die Rechte der Registry Programm Einträge auf Berechtigung prüfen / ändern.

Sind meiner Meinung nach korrekt gesetzt. Ich kann ja die vom Entwickler beschriebenen vom Installer durchgeführten Arbeiten alle ausführen, wenn ich es mit diesem Nutzer 'mfadmin' manuell probiere. Sprich ich kann auf diesem Registry-Pfad schreiben, in den Programm-Ordnern, in dem Datenstamm und in den eigenen Dateien. Hatte ich alles getestet.

 

 

 

 

Ich habe nach einigen Gesprächen jetzt nochmal eine Rückmeldung vom Entwickler, der einen Installer zu Verfügung stellen möchte, der Zitat: 'bei „ACCESS_DENIED“ trotzdem eine Fehlermeldung bringt so dass zumindest erst einmal die Installations-Aktion erkennbar wird die Windows nicht zulässt.'
Das hört sich doch erstmal gut an, ein Installer mit einem Log quasi, klingt für mich nach einem sinvollen Lösungsweg.

Ich werde berichten..

Edited by JustTheNextUser
  • Like 1
Link to post
vor 7 Minuten schrieb JustTheNextUser:

Sprich ich kann auf diesem Registry-Pfad schreiben, in den Programm-Ordnern, in dem Datenstamm und in den eigenen Dateien. Hatte ich alles getestet.

Hallo, ich hatte mich missverständlich ausgedrückt. Ich meinte die bereits installierten Dateien im z.B. Programmverzeichnis, AppData, Registry etc. Wenn diese mit dem Domain-Admin erstellt wurden, fehlen evtl. die Schreib-/Änderungsrechte Deines lokalen Admins. Damit kann bei einem Update dein lokaler Admin die bereits installierten Dateien nicht ändern.

  • Thanks 1
Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...