Net Use als Local System bzw. zugriff auf UNC Pfade

[Shinak 10]

Hallo Leute

 

Wir haben ein Problem das wir nicht mit dem User Local System auf Netzwerk Shares zugreifen können.

Zu Erklärung warum wir das brauchen:

Wir Benutzen Landesk zur Distribution und Software Verteilung, seit kurzem in der Version 8.7.

Die Software Verteilung machen wir über Coustem Scripts die Batsh Dateien ausführen um die Software Silent zu Installieren.

Seit der Version 8.7 nutzt Landesk den User Local System um die Scripte auf den ausgewählten PC aus zuführen. Laut diesem Konwledge Base Artickel 3597

(Auszug)

UNC: Add "Domain Computers" with at least READ access to the share(s). 
(this is because the LANDesk services run as LocalSystem..... a Domain Computer.
Simply adding “Everyone” to the share(s) will not work since computers are not a member of “Everyone”). 
This can also be set up to use Preferred Package Server. From the Win32 console on the Core Server, 
Select Configure -> Preferred server and set credentials for any share(s) that will be accessed.

Muss man nur die Gruppe "Domain Computers" rechte auf das Share und das NTFS Dateisystem geben. Das haben wir auch gemacht , nur leider bekommen wir immer den Fehler Access deneide.

Wir haben auch schon folgendendes durchgeführt um den zugriff als Local Sytem zu testen.

To open a Local System command prompt with at.exe, logon to a client computer as a
user that is a member of the local administrators group.
Go to Start > Run, enter cmd, and click OK. This opens a command prompt running as
the user.
Use at.exe to schedule a second cmd.exe to launch one minute from the current
time. To do this, use the following syntax:
at hh:mm /interactive cmd
Replace hh with the appropriate hour, 1-24, and mm with the appropriate minute,
0-60, representing a time one minute in the future.
Example of the command if the current time is 1:24 pm.
at 13:25 /interactive cmd
11
This does NOT launch the command prompt immediately but launches it when the
time specified arrives. Please be patient.
When the time arrives, cmd.exe runs, launching a command prompt that runs as Local
System.

Und danach ein NET USE auf das freigegebene Verzeichnis gemacht, bekommen dort aber auch den Fehler "Systemfehler 5 aufgetreten. Zugriff verweigert"

Wir haben das ganze dann auch mal auf andere Shares getestet aber immer mit dem selben Ergebnis. Dann bin ich mal hin gegangen und habe das ganze in unsere Test-Domäne ausprobiert und siehe da es geht.

Zur Info unsere Aktuelle Domäne läuft noch im Mix Mode und nicht komplett auf 2003 die Test-Domäne aber schon. Ich kann mir aber nicht vorstellen das dass bei solchen Berechtigungen zu Probleme führen sollte.

 

Kann mir jemand sagen wo ich noch nach Fehler suchen kann oder was ev. in unserer Aktuellen Domäne falsch laufen könnte.

[XP-Fan 220]

Hallo,

 

hast du irgendwelche User auf deny gesetzt ?

 

Administratoren, System und Domain Admins sind auch berechtigt ?

 

Wo liegt der Unterschied zwischen den Berechtigungseinstellungen

in der fehlerhaften und funktionierenden Domain ?

[Shinak 10]

Ja die User SYSTEM Domain Admins und Administrator haben auch vollen Zugriff. Der Zugriff wird auch keinem User oder Gruppe expliziet verweigert. Es gibt auch keinen Unterschied zu den Berechtigungen in der Aktuellen Domäne und der Test-Domäne.

[Shinak 10]

Also ich habe einen Unterschied zwischen der Test-Domäne und unsere Aktuellen Domäne gefunden in bezug auf die Anmeldung an einem Client oder Server für ein Share.

In der Test-Domäne Logt sich "Local System" als "Workstationname$" an dem Share an, in unserer Aktuellen Domäne aber als "Anonymos Logon".

Ich kann mir aber nicht erklären warum das so ist.

[Dirk_privat 10]

Servus,

 

sind irgendwelche Policies bei den Usern aktiv? Kann es sein, daß "Run As" im Startmenü deaktiviert ist?

 

Gruß

Dirk

[Shinak 10]

Nein die Policys kann ich ausschliesen da ich das auch alles mit meinem PC getestet habe und den dann mal in eine OU gepackt habe die nicht mal die Default Domän Policy verpast bekommt. Ich habe meinen PC auch schon komplett aus der Domäne genommen und wieder rein gepackt.