Jump to content

Server 2016 .bat und .cmd Ausführung blockiert


Recommended Posts

Hallo,

ich habe einen Server 2016 Essentials. Hatte bisher nie Probleme.
Jetzt bekomme ich eine Anwendersoftware die für die Installation Scriptdateien (.bat) einsetzt.
Wenn ich die Installation starte, dann bekomme ich den Fehler:

Auf das angegebene Gerät bzw. den Pfad oder die Datei kann nicht zugegriffen werden.
Sie verfügen ggf. nicht über ausreichende Berechtigungen, um auf das Element zugreifen zu können.


Als Administrator (rechte Maustaste) kann das Script ausgeführt werden. Die Rechte und Besitzer sind überprüft.
Mein User ist Mitglied von "Administratoren, Domänen-Admins", sollte also genügend Rechte besitzen.
Das betrifft, wie ich festellen musste, alle .bat und .cmd Scripte auf dem Server und tritt bei jedem User(einschließlich Administrator) auf.

Die mir bekannten Suchquellen weisen diese Meldung für eine Vielzahl von Ursachen aus.
Eine Lösung konnte ich nicht entdecken. Es gibt verschieden Vorschläge, die jedoch das Problem nicht lösen konnten.

Hat vielleicht jemand eine Idee, was ich noch machen könnte?
Vielen Dank vorab.

Gruß
Roberto

Fehler.jpg

Link to post

Beschäftige Dich mal mit User Account Control und dem Restricted Token. Und leg Deine Skripts nicht auf dem Desktop des Admins ab, wenn sie auch von anderen ausgeführt werden sollen - dafür gibt es %public%.

Link to post

Hallo daabm,
wenn ich das richtig verstehe geht es um den Registry-Eintrag "LocalAccountTokenFilterPolicy". Der ist auf 1 gesetzt.
In der Tat, ich arbeite meistens mit RemoteDesktop auf dem Server. Sollte mit dem Eintrag dann doch funktionieren.
Ein Versuch mit Teamviewer brachte den gleichen Fehler.
In einem Command Fenster lassen sich .bat-Scripte starten. Ebenso mit cmd /C d:\test.bat.

In einem Beitrag von Microsoft (KB-Nummer:  2526083) für Server 2012 wird u.U. das Deaktivieren der UAC empfohlen.

Gruß Roberto

 

Link to post
vor 20 Stunden schrieb roberto67:

Registry-Eintrag "LocalAccountTokenFilterPolicy".

 

Nein, es geht um EnableLUA. Sobald UAC an ist, hast Du 2 Tokens, eines quasi ohne Adminrechte (außer zum Verweigern), eines mit Adminrechten. Und der Explorer läuft dank der "Elevated unelevated factory" immer ohne Adminrechte.

Link to post
vor 2 Stunden schrieb roberto67:

Mit den 2 Token versteh/finde ich nicht, sorry.

 

Recherchieren, viel recherchieren und lesen :-)

 

whoami /groups

 

Commandline ohne Admin-Rechte:

VORDEFINIERT\Administratoren                             Alias               S-1-5-32-544                                   Gruppen, die nur zum Ablehnen verwendet wird

 

Commandline mit Admin-Rechten:

VORDEFINIERT\Administratoren                         Alias               S-1-5-32-544                                   Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Gruppenbesitzer

 

Der entscheidende Unterschied ist die Gruppenbeschreibung.

 

Grundlagen dazu: https://de.wikipedia.org/wiki/Benutzerkontensteuerung

Link to post
Zitat

Und wo genau ist das Script jetzt abgelegt? Immer noch in c:\Users\Serveradmin...?

Das Testscript steht jetzt unter D:\batch\test.bat, vorher "Desktop". In dem Script ist nur ein ECHO TEST und PAUSE.
Nur zum testen. Es kann keine .bat und .cmd, egal auf welchem Laufwerk oder Directory, über Explorer gestartet werden.
Außer über ein Command-Fenster oder so: cmd /C d:\batch\test.bat.

Gruß Roberto

Link to post

Es hä

vor 14 Stunden schrieb roberto67:

Mit den 2 Token versteh/finde ich nicht, sorry

Nur weil dein Benutzer "Admin" ist, ist er nicht gleich immer Admin ;-) Er ist nur ein "Benutzer" bis du "Als Administrator ausführen" klickst.

Link to post
vor 11 Stunden schrieb daabm:

Recherchieren, viel recherchieren und lesen

Schon klar. :disappointed_cry:

vor 11 Stunden schrieb daabm:

Danke für den Link, sehr gute Beschreibung, finde ich. (warum hat meine Suche, nie diese Seite gebracht, komisch eigentlich ist Wikipedia nie enthalten)


Verstehen kann ich das schon, um die Zusammenhänge zu erschließen, werde ich vermutlich Jahre oder Praxis benötigen.

Link to post

Meist genügt es, wenn man den Installer von vornherein als Admin (rechte Maustaste) startet. Werden vom Installer selber Adminrechte angefordert, scheitern manche Installer, die außerhalb des MSI-Pakets irgendwas scripten.

Man könnte den Installer auch richtig bauen...aber...

 

Per Powershell geht da auch was:

 

powershell -command "&{start-process -filepath 'c:\my.cmd' -verb RunAs}"

 

Dabei sollte der Admin-Dialog aufpoppen.
 

Edited by zahni
Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...