Jump to content

Dateien kopieren per GPP oder Anmeldescript?

kaineanung

Von kaineanung
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

kaineanung Experienced

kaineanung   14

Geschrieben
  • Autor
Geschrieben

Ich habe ein Problem:

 

mein Anmeldescript scheint nun zu funktionieren ABER es kopiert Daten nur in Verzeichnisse in denen der User entsprechende Berechtigung hat!

Ich dachte das alles würde unter 'System'-Rechten laufen?

 

Meine Test besagen jedoch eindeutig: hat der angemeldetet User keinen Schreibzugriff auf das Verzeichnis, kopiert robocopy gar nichts.

Gebe ich dem Zielverzeichnis z.B. das Ändern-Recht auf Benutzer, dann funktioniert es.

 

Was ist nun zu tun?

Ich werde doch nicht wieder runas-verwenden müssen? Davon will ich eigentlich wegkommen....

 

Was macht ihr in diesen Fällen? Ich will in das c:\ProgramFiles(x86)\Microsoft Office\Office 2014\STARTUP-Verzeichnis eine Vorlage kopieren.

 

Link zu diesem Kommentar
kaineanung Experienced

kaineanung   14

Geschrieben
  • Autor
Geschrieben
vor 5 Minuten schrieb Dukel:

Startup Script und nicht Anmelde Script.

Ergibt Sinn.

 

Dennoch eine weitere Frage:

Wenn die zu kopierende Dateien User- bzw. gruppenabhängig sind, muss man das dann in Anmeldescript unter der Benutzerkonfiguration machen statt der Computerkonfiguration, richtig?

Bei mir ist der Fall zwar 'noch' nicht eingetreten, aber das könnte durchaus vorkommen in der Zukunft. Dann hätte ich ein Problem, richtig?

Link zu diesem Kommentar
speer Experienced

speer   19

Geschrieben
Geschrieben

Das Anmeldeskript wird mit Benutzerberechtigung ausgeführt. Das Skript kann daher nur die Dinge erledigen, die der Benutzer mit aktiver Session ebenfalls ändern kann.

"RunAs" wird dir beim Anmeldeskript nichts helfen, es erfordert die Eingabe eines Passwortes.

 

Wenn unbedingt kopiert werden muss, lege über GPO den Vorlagenpfad auf ein anderes Verzeichnis indem der Benutzer bzw. die Gruppe die entsprechenden Rechte besitzen.

 

Link zu diesem Kommentar
kaineanung Experienced

kaineanung   14

Geschrieben
  • Autor
Geschrieben
vor 10 Stunden schrieb speer:

Wenn unbedingt kopiert werden muss, lege über GPO den Vorlagenpfad auf ein anderes Verzeichnis indem der Benutzer bzw. die Gruppe die entsprechenden Rechte besitzen.

War nur ein Beispiel mit den Vorlagen. Es kann u.U. auch andere Dateien treffen. Aber da bewegen wir uns hypotetisch oder theoretisch. Jetzt erst einmal Startup-Script statt Anmeldescript und das reicht. Sobald ich auf ein konkretes Problem stosse werde ich mich diesem widmen.

 

vor 10 Stunden schrieb speer:

"RunAs" wird dir beim Anmeldeskript nichts helfen, es erfordert die Eingabe eines Passwortes.

RunAs selber ja, aber es gibt ja z.B. SPC-Scriptverschlüsselungen (von robotronic) welche verschlüsselt vorliegen und ausgeführt werden können. Ausgeführt wird mit z.B. Administrator bzw. je nachdem was angegeben wurde. Läuft bei uns schon seit Jahren in der logon.bat problemlos.

Ich wollte jedoch von solchen Dingen wegkommen und Microsoft-Boardmittel verwenden. Ist ja sicherlich nicht so das MS so etwas nicht vorgesehen hat, richtig?

Link zu diesem Kommentar
kaineanung Experienced

kaineanung   14

Geschrieben
  • Autor
Geschrieben
vor 15 Stunden schrieb daabm:

Doch, es ist so daß Microsoft das nicht vorgesehen hat, daß bei der ANmeldung eines Users Dinge laufen, die NICHT im Kontext und mit den Rechten dieses User laufen.

 

Wenn du das so sagst klingt es ja auch plausibel. Aber in der Praxis ist es nun einmal so daß dies andersherum dann doch manchmal Sinn macht.

Bleiben wir einmal bei den Word-Vorlagen:

Die Abteilungen haben unterschiedliche Vorlagen welche beim Anmelden vom entsprechenden User in das Vorlagenverzeichnis kopiert werden sollen. Oder STARTUP-Dateien in das STARTUP-Verzeichnis von Office.

Klar kann ich die Vorlagenpfade entsprechend umbiegen auf Server-Freigaben wo die entsprechenden Vorlagen enthalten sind.

Die Verkaufsabteilung hat aber Notebooks und die sind oft bei den Kunden vor Ort oder treiben sich auf Messen herum und arbeiten auch vom Hotel aus. Die haben keine direkte Verbindung zum Fileserver (sondern nur über einen Terminalserver dann).

Ebenso die Einkaufsabteilung die sich ab und an mit deren Notebooks bei Lieferanten herumtreiben und andere Vorlagen benötigt.

 

Hat MS das nicht vorgesehen? Dann könnte ich denen ja mal ein Tipp geben wie es in der Praxis läuft. Vielleicht gibt es ja eine Verbebesserungsvorschlagsprämie dann?

 

Sicherlich gibt es noch viele andere Beispiele wo es Sinn machen würde den User aufgrund seiner AD-Zugehörigkeit steuern zu können und auch in Verzeichnissen in denen dieser zurecht kein Ändern-Zugriff braucht, der Administrator per Script oder GPO aber unter seinem Kontext doch was 'administrieren' können soll (Datei löschen, andere Datei ablegen)

 

Kurz und Bündig: Ich meine nur das MS da ein wenig an der Praxis vorbei denkt wenn die das so nicht vorgesehen haben.

 

Link zu diesem Kommentar
Dukel Grand Master

Dukel   451

Geschrieben
Geschrieben
4 minutes ago, kaineanung said:

Hat MS das nicht vorgesehen? Dann könnte ich denen ja mal ein Tipp geben wie es in der Praxis läuft. Vielleicht gibt es ja eine Verbebesserungsvorschlagsprämie dann?

Stört es wenn z.B. alle Vorlagen, unabhängig von der Abteilung, verteilt werden? Oder man erstellt Scripte / GPO Einstellungen pro Abteilung.

Manchmal muss man eben mit dem auskommen, was geboten wird oder braucht andere Lösungen (andere Arbeitsweise, andere Tools, Eigenentwicklung,...).

Link zu diesem Kommentar
kaineanung Experienced

kaineanung   14

Geschrieben
  • Autor
Geschrieben
vor 9 Minuten schrieb Dukel:

Manchmal muss man eben mit dem auskommen, was geboten wird oder braucht andere Lösungen (andere Arbeitsweise, andere Tools, Eigenentwicklung,...).

Ja, das meine ich ja: MS hat nicht alles aus dem Praxis-Alltag vorgesehen und es besteht noch Verbesserungspotential.

vor 11 Minuten schrieb Dukel:

Oder man erstellt Scripte / GPO Einstellungen pro Abteilung.

Scripte besitzen leider keine Zielgruppenadressierung (damit wäre es ja getan).

Ich könnte natürlich eine ganze GPO für eine Abteilung erstellen und diese per Sicherheitsfilterung filtern.

 

Link zu diesem Kommentar
kaineanung Experienced

kaineanung   14

Geschrieben
  • Autor
Geschrieben
vor 3 Minuten schrieb Dukel:

Aber du fragst ja gerade hypothetisch, da dein bisheriges Problem gelöst ist.

Warte doch erstmal ab, ob die Anforderung kommt oder nicht.

Eigentlich ist meine Frage nicht hypotetisch, aber ich werde es wohl über RunAs-Scripte lösen müssen und somit ist die Sache gegessen.

Ich wollte aber weg von solchen 'Workarounds' und mich mit MS-Bordmitteln behelfen (Zielgruppenadressierung hat es mir angetan -> gibt es für Login-Scripte aber leider nicht).

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...