Skripts - System Kontext

[DerUser 0]

Ich habe dieses Thema unter Scripting erstellt weil ich nicht sicher war ob es die GPO Leute oder Script Leute besser wissen.

 

Wir haben Windows 10 Rechner (Domäne). Mit der GPO  Computerkonfig.>Windows Einstellungen>Skript>Starten sollte ein CMD Skript starten das ausserhalb von sysvol liegt.

Das Skript sollte mit dem System Kontext gestartet werden und ist auf einer Freigabe erreichbar.

 

Wenn man die GPO LanMan-Arbeitsstation aktiviert funktioniert das Skript, ansonsten nicht. Gibt es eine andere GPO wo ich sagen kann diese Skript von dieser Freigabe sind sicher statt LanMan.

 

Vielen Dank

 

[testperson 1.676]

Hi,

 

was oder wer ist denn "ausserhalb von SYSVOL" und warum?

 

Gruß

Jan

[DerUser 0]

Hi,

 

Das Skript liegt ausserhalb von sysvol. Wir haben kein Zugriff auf sysvol und müssen unsere Skrtips von einer anderen Windows Freigabe Speichern.

 

LG

[lefg 276]

Moin

 

Wurde schon ins Ereignisprotokoll des Clients geschaut?

 

Kann es sein, zu dem Zeitpukt des Skriptstarts hat der Client noch keine Netzwerkverbindung, kann also die Freigabe nicht erreichen?

 

 

bearbeitet 29. Oktober 2019 von lefg

[DerUser 0]

Moin 

 

Die Ereignisanzeige melde mit der ID 1130 (Startup script failed.

 

 

 

 

  SupportInfo1 0 
  SupportInfo2 0 
  ErrorCode 5 
  ErrorDescription Access is denied.  
  ScriptType 0 
  GPODisplayName xxxxxx

 

Ausser man aktiviert die GPO Einstellung "Unsichere Gastanmeldungen aktivieren" dann funktioniert das Skrtip.

:)

 

Besten Dank.

 

[tesso 375]

Was spricht gegen sysvol?

Oder erst nach lokal kopieren und von dort ausführen.

[DerUser 0]

Leider haben wir kein Zugriff auf sysvol.

Dann müsste ich es zuerst auf jeden Client Manuel kopieren. Auf einem Share wäre es einfacher zum managen :)

[tesso 375]

Hat das Computerkonto Zugriff auf den Share?

[Sunny61 806]

Zeig doch mal das Script komplett und die NTFS- und Freigabeeinstellungen der Freigabe.

[daabm 1.354]

Das ist wohl ein Samba-Share mit Anonymous Access - Pfui...

Meine Empfehlung dazu: ALLE Skripte "irgendwie" nach lokal kopieren und per GPO das lokale Skript aufrufen. Dann läuft das nämlich auch, wenn das Netz weg ist. Und "lokal" heißt bei Computerstartskripts "ein Verzeichnis, in dem der User KEINE Schreibrechte hat".

[NilsK 2.934]

Moin,

 

vor 16 Stunden schrieb tesso:

Was spricht gegen sysvol?

 

dagegen spricht, dass Sysvol, wie der Name schon sagt, ein Systemverzeichnis ist, das ganz bestimmte Aufgaben hat. Da gehört natürlich nichts anderes rein.

 

Alles, was man "manuell" erzeugt, gehört in dedizierte Verzeichnisse auf einem Dateiserver, der mit dem Windows-Berechtigungssystem umgehen kann. Diese sind dann mit passenden Berechtigungen zu schützen. Im Fall von Start- oder Anmeldeskripten für Clients kommen die Hinweise dazu, die Martin genannt hat (lokal kopieren und von dort ausführen - und auch da die Berechtigungen richtig setzen).

 

Gruß, Nils

 

[DerUser 0]

Moin die Herren

 

Vielen Dank. Hier die Berechtigung der Freigabe wo das Skript liegt.

Muss ich eventuell statt Jeder, System hinzufügen?

 

 

 

Hier der Skript.

@echo off

SET LOGFILE=c:\admin\orchestrate-system.log
echo --------------------------------------------  > %LOGFILE%
echo Starting computer orchestrate.cmd            >> %LOGFILE%
echo %date% %time% on %COMPUTERNAME% - %USERNAME% >> %LOGFILE%
echo -------------------------------------------- >> %LOGFILE%
echo.                                             >> %LOGFILE%

call \\server\admin\System\tasks\computer\logon_screen_background_advertisement\run_win10.cmd

echo.                                             >> %LOGFILE%
echo -------------------------------------------- >> %LOGFILE%
echo Finishing computer orchestrate.cmd           >> %LOGFILE%
echo %date% %time% on %COMPUTERNAME% - %USERNAME% >> %LOGFILE%
echo -------------------------------------------- >> %LOGFILE%

 

 

Ihr habt Recht, ich werde später alles Lokal ablegen. Dann sind wir einfach nicht so agil. 

Wenn das Skript auf den Share liegt ist es einfach es anzupassen :)

 

Ich kläre nochmals die Freigabe ab.

 

Danke nochmals

 

 

[BOfH_666 577]

vor 21 Minuten schrieb DerUser:

Muss ich eventuell statt Jeder, System hinzufügen?

... nur mal als Denkanstoss: SYSTEM ist ein lokaler Account eines einzelnen Computers. Wenn ein anderer Computer mit diesem Account Zugriff erhalten soll, müsstest Du diesen explizit angeben also auf Computer1 müsstest Du dann Computer2\SYSTEM berechtigen, damit er entsprechenden Zugriff erhält. Deshalb ist es keine gute Idee, den Account SYSTEM für irgendwelche explizit berechtigte Resourcen zu benutzen.

[NilsK 2.934]

Moin,

 

vor 2 Stunden schrieb DerUser:

Ihr habt Recht, ich werde später alles Lokal ablegen. Dann sind wir einfach nicht so agil. 

Wenn das Skript auf den Share liegt ist es einfach es anzupassen :)

naja, das kriegt man ja trotzdem hin. Ein Task, ein GPO mit GPP-Dateikopie, eine Softwareverteilung, ein ... kopiert die aktualisierten Dateien regelmäßig auf den Client. Der Client führt nur diese lokalen Dateien aus.

 

Gruß, Nils

 

[zahni 554]

Entweder die Computer-Konten direkt oder eine Gruppe mit den Computer-Konten hinzufügen. Es  gäbe da schon eine Gruppe per default. Findest Du  sicher raus...