TeaRex 10 Geschrieben 20. Januar 2009 Autor Melden Geschrieben 20. Januar 2009 Hi, habe die Version "F-Secure Anti-Virus for Windows Servers 7.01 Build 107" installiert. Es gilt noch zu sagen, dass ich auf den Clients zur Zeit noch keinen Schutz installiert habe, sprich F-Secure läuft nur auf dem Server. Den Ordner C:\Windows\Sysvol habe ich aus dem Scann ausgeschlossen. Habe übrigens auf dem Rechner das gpupdate /force durchgeführt. Nach Aufruf der Konsole via rsop.msc sind keine gelben Dreiecke mehr zu sehen. Leider wird aber zur Zeit das Script noch immer geblockt! Auf dem Eventlog steht: Der Dienst "Sicherheitscenter" wurde beendet. Die Ausführung wurde durch eine Gruppenrichtline verhindert (Eventlog 1807). Ebenfalls sehe ich einen Ereigniseintrag 1087. Ich hoffe du kannst damit etwas anfangen! thx Tea Zitieren
Sunny61 816 Geschrieben 20. Januar 2009 Melden Geschrieben 20. Januar 2009 habe die Version "F-Secure Anti-Virus for Windows Servers 7.01 Build 107" installiert. Es gilt noch zu sagen, dass ich auf den Clients zur Zeit noch keinen Schutz installiert habe, sprich F-Secure läuft nur auf dem Server. Den Ordner C:\Windows\Sysvol habe ich aus dem Scann ausgeschlossen. OK, das ist ja schon mal was. Ich hab kein F-Secure mehr laufen, aber ich tippe trotzdem drauf, das F-Secure den Zugriff auf das Sript blockiert. Kopier das doch mal auf Client lokal und führe es dort manuell aus. Gehts dann? Habe übrigens auf dem Rechner das gpupdate /force durchgeführt. Nach Aufruf der Konsole via rsop.msc sind keine gelben Dreiecke mehr zu sehen. Noch ein Fortschritt. ;) GPO-FAQ No. 36, beide Einstellungen Domainweit aktivieren. Leider wird aber zur Zeit das Script noch immer geblockt! Auf dem Eventlog steht: Der Dienst "Sicherheitscenter" wurde beendet. Die Ausführung wurde durch eine Gruppenrichtline verhindert (Eventlog 1807). Ebenfalls sehe ich einen Ereigniseintrag 1087. Wenn es nicht mehr ist, dann tippe ich erst Recht auf den AV-Scanner. Zitieren
TeaRex 10 Geschrieben 20. Januar 2009 Autor Melden Geschrieben 20. Januar 2009 Hi, habe das Script lokal auf den Client installiert. Als Administrator lokal angemeldet läuft es ohne Probleme durch. Als User angemeldet wird es jedoch geblockt auch wenn ich es kopiert habe! Habe die GPO-Faq N° 36 eigentlich schon seit längerer Zeit aktiviert! Die Frage ist nur ob ich dies lokal machen muss oder via Gruppenrichtlinien? Thx Tea Zitieren
Sunny61 816 Geschrieben 20. Januar 2009 Melden Geschrieben 20. Januar 2009 habe das Script lokal auf den Client installiert. Als Administrator lokal angemeldet läuft es ohne Probleme durch. Als User angemeldet wird es jedoch geblockt auch wenn ich es kopiert habe! Hol dir den ProcessMonitor von MS, starte ihn mit Rechtsklick > Ausführen als Administrator. Jetzt als Benutzer das Script starten. Anschließend das Log vom ProcessMonitor auswerten. Wenn das Eventlog nichts hergibt, dann wäre das eine Möglichkeit. Leg doch für den User mal ein neues Profil an, passiert das dort auch? Habe die GPO-Faq N° 36 eigentlich schon seit längerer Zeit aktiviert! Die Frage ist nur ob ich dies lokal machen muss oder via Gruppenrichtlinien? Lokal ist ganz schlecht, dann müsstest Du es ja für jeden Client manuell machen. Das stellt man natürlich in einer eigenen GPO Domainweit zur Verfügung. Und nein, in der Default Domain Policy hat das IMO auch nichts verloren. Zitieren
TeaRex 10 Geschrieben 20. Januar 2009 Autor Melden Geschrieben 20. Januar 2009 Hi, habe den ProcessMonitor von MS aufgerufen wie beschrieben und kann eigentlich nichts dazu sagen, insofern mir nichts verdächtiges aufgefallen ist. Habe nun einen neuen User eingerichtet. Bei diesem wird das Anmeldescript tadellos abgehandelt, resp nicht geblockt. Komisch ist einfach, dass das Script bei manchen Usern geblockt wird und bei anderen wiederum nicht:confused:!? Ich habe irgendwo das leise Gefühl, das meine Gruppenrichtlinien, aus welchem Grund auch immer, über den Haufen geworfen wurden. Habe folgende noch getestet: Ich habe den user meier.franz bei welchem das Anmeldescript geblockt wird Ich habe den user franz.meier welchen ich im Nachhinein erstellt habe, das Anmeldescript läuft tadellos! Nun habe ich im AD den Profilpfad von meier.franz auf denjenigen von franz.meier gewechselt, mit dem Resultat, dass das Script wiederum geblockt wird. Fazit: Es scheint so, dass irgendetwas mit dem User meier.franz nicht in Ordnung ist, resp. mit seinem Profil! Ich werde wohl die Profile komplett neu schreiben müssen!!! Komisch, ich habe eigentlich seit etlicher Zeit nichts mehr an den Profilen resp. an den AD Konten geändert. Thx Tea Zitieren
Sunny61 816 Geschrieben 21. Januar 2009 Melden Geschrieben 21. Januar 2009 Habe folgende noch getestet: Ich habe den user meier.franz bei welchem das Anmeldescript geblockt wird Ich habe den user franz.meier welchen ich im Nachhinein erstellt habe, das Anmeldescript läuft tadellos! Nun habe ich im AD den Profilpfad von meier.franz auf denjenigen von franz.meier gewechselt, mit dem Resultat, dass das Script wiederum geblockt wird. Fazit: Es scheint so, dass irgendetwas mit dem User meier.franz nicht in Ordnung ist, resp. mit seinem Profil! Ich werde wohl die Profile komplett neu schreiben müssen!!! Jepp, installiere zusätzlich auf allen Clients/Servern UPHC. Der Dienst verhindert, das Profile "kaputt" gehen. Das ist ein MSI-File, lässt sich also in 5 Minuten per GPO im AD verteilen: Download details: User Profile Hive Cleanup Service Komisch, ich habe eigentlich seit etlicher Zeit nichts mehr an den Profilen resp. an den AD Konten geändert. Komisch, ich hab an meinem Auto auch nix geändert, plötzlich gehts nicht mehr. :( Zitieren
TeaRex 10 Geschrieben 21. Januar 2009 Autor Melden Geschrieben 21. Januar 2009 Nochmals ich, habe einen neuen User erstellt mit einem neuem Profil und dem Anmeldescript. Läuft alles tadellos! Nun habe ich das funktionierende Profil kopiert und einem User zur Verfügung gestellt bei welchem bis dato das Script geblockt wurde mit der Hoffnung dass alles funktioniert. Leider nicht!!!!!!! Das Profil ist 100% i.O. wird aber einfach beim betreffenden User geblockt. Was heisst nun dies für mich? Muss ich alle User neu erfassen oder was? Das kann es doch nicht sein! Ich blicke nicht mehr durch. Übrigens habe ich das Tool UPHC auf allen Computern schon seit etlicher Zeit installiert! TeaRex Zitieren
Sunny61 816 Geschrieben 21. Januar 2009 Melden Geschrieben 21. Januar 2009 habe einen neuen User erstellt mit einem neuem Profil und dem Anmeldescript. Läuft alles tadellos! Nun habe ich das funktionierende Profil kopiert und einem User zur Verfügung gestellt bei welchem bis dato das Script geblockt wurde mit der Hoffnung dass alles funktioniert. Leider nicht!!!!!!! Das Profil ist 100% i.O. wird aber einfach beim betreffenden User geblockt. Wie jetzt? Das Profil wird geblockt? Wie meinst Du das? Was heisst nun dies für mich? Muss ich alle User neu erfassen oder was? Das kann es doch nicht sein! Neues Profil für einen neuen User läuft, richtig? Wenn ja, dann kontrollier mal, in welchen Gruppen der "alte" User überall Mitglied ist, nicht das Du damit in die Quere kommst. Kontrollier auch mit einem neuen User mit dem neuen Profil, welche GPOs ankommen. Und dann natürlich auch der Vergleich mit einem User und Profil, bei dem das Script nicht ausgeführt wird. Läuft denn der DC sauber? Fehlermeldungen im Eventlog des Servers? Zitieren
TeaRex 10 Geschrieben 21. Januar 2009 Autor Melden Geschrieben 21. Januar 2009 Sorry wenn ich mich nicht korrekt, resp. ungenau ausdrücke. Das Profil als solches wird nicht geblockt sondern es erscheint ganz einfach der Windows Scriting Host mit einer Fehlermeldung wie zu Beginn. Ich habe die Gruppenzugehörigkeit ebenfalls kontrolliert. Die beiden User sind in der genau gleichen Gruppen. In meinen Augen exakt gleich. Lässt sich die Gruppenzugehörigkeit auch wie Befehlssatz (Skript) oder was auch immer testen? Ich habe einfach das Gefühl (und bestimmt auch du), dass die User nicht den gleichen Gruppen angehören, auch wenn's offensichtlich nicht nachvollziehbar ist. Ich habe die beiden GPO's verglichen. Es gibt einen Unterschied bezüglich Administrative Vorlagen, die GPO "Auf Netzwerk warten...." wird hier nicht übergeben. Allgemein läuft die Sanduhr aber es wird nichts geladen!? Edit: Nach einer gewissen Zeit ist auch hier die Gruppenrichtlinie " Auf Netzwerk warten...." ersichtlich. Eine Fehlermeldung ist zwischenzeitlich erschienen die wie folgt lautet: Die aktuellen Versionen der ADM-Dateien sind nicht verfügbar. Dies kann durch nicht ausreichende Berechtigungen oder nicht verfügbare Netzwerkressourcen verursacht worden sein. Die lokale Kopie dieser ADM-Dateien wird verwendet. Details: ietres.adm Standort- "\\xy\admin$\System32\GroupPolicy\Adm\inetres.adm" Fehler - Zugriff verweigert! wmplayer.adm Standort- "\\xy\admin$\System32\GroupPolicy\Adm\wmplayer.adm" Fehler - Zugriff verweigert! Edit: Habe den DC mit dcdiag /a getest und keine Fehlermeldungen erhalten Wenn ich den entsprechenden User zum Domänen-Admin "befördere" läuft die Anmeldung ebenfalls ohne jegliche Probleme durch! Das kann doch nicht sein, dass ich alle Mitglieder zur Gruppe der Domänen-Admins hinzufügen muss. thx Tea Zitieren
Sunny61 816 Geschrieben 21. Januar 2009 Melden Geschrieben 21. Januar 2009 Sorry wenn ich mich nicht korrekt, resp. ungenau ausdrücke. Das Profil als solches wird nicht geblockt sondern es erscheint ganz einfach der Windows Scriting Host mit einer Fehlermeldung wie zu Beginn. OK. Lässt sich die Gruppenzugehörigkeit auch wie Befehlssatz (Skript) oder was auch immer testen? Ich habe einfach das Gefühl (und bestimmt auch du), dass die User nicht den gleichen Gruppen angehören, auch wenn's offensichtlich nicht nachvollziehbar ist. Mit der IFMEMBER.EXE kannst Du das prüfen. Als der betroffene User anmelden: ifmember /v /l DeineDomain\Derbetroffene User [ENTER] Ich habe die beiden GPO's verglichen. Es gibt einen Unterschied bezüglich Administrative Vorlagen, die GPO "Auf Netzwerk warten...." wird hier nicht übergeben. Allgemein läuft die Sanduhr aber es wird nichts geladen!? Edit: Nach einer gewissen Zeit ist auch hier die Gruppenrichtlinie " Auf Netzwerk warten...." ersichtlich. Hmm, die sollte eigentlich gleich erscheinen. Hast Du auch die zweite Einstellung aus der GPO-FAQ No. 36 gesetzt? FAQ-GPO Eine Fehlermeldung ist zwischenzeitlich erschienen die wie folgt lautet: Die aktuellen Versionen der ADM-Dateien sind nicht verfügbar. Dies kann durch nicht ausreichende Berechtigungen oder nicht verfügbare Netzwerkressourcen verursacht worden sein. Die lokale Kopie dieser ADM-Dateien wird verwendet. Details: ietres.adm Standort- "\\xy\admin$\System32\GroupPolicy\Adm\inetres.adm" Fehler - Zugriff verweigert! wmplayer.adm Standort- "\\xy\admin$\System32\GroupPolicy\Adm\wmplayer.adm" Fehler - Zugriff verweigert! Ist das auf dem DC? Schuß ins Blaue: SMB-Signing gem. BestPraxis einstellen: SMB Signing - Einstellungen für: Kommunikation digital signieren Wenn ich den entsprechenden User zum Domänen-Admin "befördere" läuft die Anmeldung ebenfalls ohne jegliche Probleme durch! Das kann doch nicht sein, dass ich alle Mitglieder zur Gruppe der Domänen-Admins hinzufügen muss. Läufts auch, wenn Du den User in die Gruppe der lokalen Admins packst? Wenn ja, dann muß doch auch eine Fehlermeldung im Log erscheinen, wenn Du es als User ausführen willst. Zitieren
TeaRex 10 Geschrieben 21. Januar 2009 Autor Melden Geschrieben 21. Januar 2009 Hi, wenn ich den User zu den lokalen Administratoren hinzufüge, läuft das Skript und der Anmeldeprozess ohne jegliche Probleme durch. Wenn ich ihm die Administrationsrechte entziehe erscheint im Eventlog der Fehler 4614!? Kannst du mit diesen Angaben etwas anfangen? Die Gruppenzugehörigkeit habe bei beiden via ifmember.exe durchgeführt. Dabei habe ich festgestellt, dass bei in derselben Gruppe(n) eingetragen sind. Eine Vermischung der Gruppen kann man so wahrscheinlich ausschliessen. thx Tea Zitieren
Sunny61 816 Geschrieben 21. Januar 2009 Melden Geschrieben 21. Januar 2009 Wenn ich ihm die Administrationsrechte entziehe erscheint im Eventlog der Fehler 4614!? Kannst du mit diesen Angaben etwas anfangen? Du hast Glück, das es auf Eventid.net nicht mehr dazu gibt. Zukünfig bitte immer die Source mit angeben: Windows Event ID 4614 from EventSystem Such auch mal in der MS-KB nach dem Fehler. Sind wohl Berechtigungsprobleme. Zitieren
TeaRex 10 Geschrieben 21. Januar 2009 Autor Melden Geschrieben 21. Januar 2009 Hi, Ich danke dir erstmals für deine Geduld, wobei meine schon bald am Ende ist;)! ich habe maximale Berechtigung auf jeden der Ordner SYSVOL und NETLOGON geben (Jeder => Vollzugriff). Mehr Benutzerrechte kann ich nicht vergeben. Leider hat sich nichts verändert:(!!!! Mit hoher Wahrscheinlichkeit ist es ein Rechteproblem!? Kannst du mir kurz durchgeben auf welchen Ordner welche Rechte gesetzt werden sollten: Profil Sysvol Wo finde ich im übrigen MS-KB? Zitieren
Sunny61 816 Geschrieben 21. Januar 2009 Melden Geschrieben 21. Januar 2009 Ich danke dir erstmals für deine Geduld, wobei meine schon bald am Ende ist;)! Mein auch, da mir die Ideen ausgehen. ;) ich habe maximale Berechtigung auf jeden der Ordner SYSVOL und NETLOGON geben (Jeder => Vollzugriff). Mehr Benutzerrechte kann ich nicht vergeben. Leider hat sich nichts verändert:(!!!! Das hat damit nichts mehr zu tun. Das Script wird ja auch nicht ausgeführt, wenn Du es lokal ablegst. Also hast Du ein Rechteproblem lokal auf den Clients. Mit hoher Wahrscheinlichkeit ist es ein Rechteproblem!? Kannst du mir kurz durchgeben auf welchen Ordner welche Rechte gesetzt werden sollten: Profil Sysvol Ich schrub ja schon mal, schau dir mit dem ProcessMonitor an, wo genau Fehler oder Access Denied Meldungen kommen, wenn Du das Script lokal startest. Wo finde ich im übrigen MS-KB? Microsoft Knowledgebase: Microsoft Help and Support Zitieren
wedo 10 Geschrieben 28. Februar 2009 Melden Geschrieben 28. Februar 2009 Salü zusammen Vermutlich liegt das Problem daran dass das Profil ein Fehler hat. Wurde das Default User Profile korrekt erzeugt? -> Via Exportfunktion im Windows und den Benutzer auf Jeder gesetzt? Oder einfach kopiert?? Weise im AD dem Problem-User mal kein Profil zu und lösche vorher unbedingt das auf dem Client erstellte lokale temporäre Profil des User zuerst. Logge dann nochmals ein... Tritt der Fehler noch auf? Gruss wedo Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.