Server 2016 .bat und .cmd Ausführung blockiert

[roberto67 0]

Hallo,

ich habe einen Server 2016 Essentials. Hatte bisher nie Probleme.
Jetzt bekomme ich eine Anwendersoftware die für die Installation Scriptdateien (.bat) einsetzt.
Wenn ich die Installation starte, dann bekomme ich den Fehler:

Auf das angegebene Gerät bzw. den Pfad oder die Datei kann nicht zugegriffen werden.
Sie verfügen ggf. nicht über ausreichende Berechtigungen, um auf das Element zugreifen zu können.

Als Administrator (rechte Maustaste) kann das Script ausgeführt werden. Die Rechte und Besitzer sind überprüft.
Mein User ist Mitglied von "Administratoren, Domänen-Admins", sollte also genügend Rechte besitzen.
Das betrifft, wie ich festellen musste, alle .bat und .cmd Scripte auf dem Server und tritt bei jedem User(einschließlich Administrator) auf.

Die mir bekannten Suchquellen weisen diese Meldung für eine Vielzahl von Ursachen aus.
Eine Lösung konnte ich nicht entdecken. Es gibt verschieden Vorschläge, die jedoch das Problem nicht lösen konnten.

Hat vielleicht jemand eine Idee, was ich noch machen könnte?
Vielen Dank vorab.

Gruß
Roberto

[daabm 1.334]

Beschäftige Dich mal mit User Account Control und dem Restricted Token. Und leg Deine Skripts nicht auf dem Desktop des Admins ab, wenn sie auch von anderen ausgeführt werden sollen - dafür gibt es %public%.

[roberto67 0]

Hallo daabm,
wenn ich das richtig verstehe geht es um den Registry-Eintrag "LocalAccountTokenFilterPolicy". Der ist auf 1 gesetzt.
In der Tat, ich arbeite meistens mit RemoteDesktop auf dem Server. Sollte mit dem Eintrag dann doch funktionieren.
Ein Versuch mit Teamviewer brachte den gleichen Fehler.
In einem Command Fenster lassen sich .bat-Scripte starten. Ebenso mit cmd /C d:\test.bat.

In einem Beitrag von Microsoft (KB-Nummer:  2526083) für Server 2012 wird u.U. das Deaktivieren der UAC empfohlen.

Gruß Roberto

 

[daabm 1.334]

vor 20 Stunden schrieb roberto67:

Registry-Eintrag "LocalAccountTokenFilterPolicy".

 

Nein, es geht um EnableLUA. Sobald UAC an ist, hast Du 2 Tokens, eines quasi ohne Adminrechte (außer zum Verweigern), eines mit Adminrechten. Und der Explorer läuft dank der "Elevated unelevated factory" immer ohne Adminrechte.

[roberto67 0]

Danke für die Antwort.
EnableLUA steht in der Registry auf 1.
Soll ich den Wert auf 0 setzen?

Mit den 2 Token versteh/finde ich nicht, sorry.

bearbeitet 5. Oktober 2021 von roberto67

[roberto67 0]

OK, ich setze den Wert auf 0, mit dem Neustart muß ich bis 22:00h warten.
Dann teste ich noch einmal.
Gruß Roberto

 

[roberto67 0]

Den Server habe gebootet, das Problem mit den .bat Dateien besteht immer noch.
Was kann ich noch machen? Droht mir jetzt die Neuinstallation?
Gruß Roberto

[Sunny61 806]

Und wo genau ist das Script jetzt abgelegt? Immer noch in c:\Users\Serveradmin...?

[daabm 1.334]

vor 2 Stunden schrieb roberto67:

Mit den 2 Token versteh/finde ich nicht, sorry.

 

Recherchieren, viel recherchieren und lesen

 

whoami /groups

 

Commandline ohne Admin-Rechte:

VORDEFINIERT\Administratoren                             Alias               S-1-5-32-544                                   Gruppen, die nur zum Ablehnen verwendet wird

 

Commandline mit Admin-Rechten:

VORDEFINIERT\Administratoren                         Alias               S-1-5-32-544                                   Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Gruppenbesitzer

 

Der entscheidende Unterschied ist die Gruppenbeschreibung.

 

Grundlagen dazu: https://de.wikipedia.org/wiki/Benutzerkontensteuerung

[roberto67 0]

Zitat

Und wo genau ist das Script jetzt abgelegt? Immer noch in c:\Users\Serveradmin...?

Das Testscript steht jetzt unter D:\batch\test.bat, vorher "Desktop". In dem Script ist nur ein ECHO TEST und PAUSE.
Nur zum testen. Es kann keine .bat und .cmd, egal auf welchem Laufwerk oder Directory, über Explorer gestartet werden.
Außer über ein Command-Fenster oder so: cmd /C d:\batch\test.bat.

Gruß Roberto

[MurdocX 933]

Hallo,

 

hatten wir das hier nicht schon mal?  Welche AntiViren-Software ist denn installiert?

[roberto67 0]

Windows Defender

vor 11 Stunden schrieb daabm:

Recherchieren, viel recherchieren und lesen

Schon klar.

[MurdocX 933]

Es hä

vor 14 Stunden schrieb roberto67:

Mit den 2 Token versteh/finde ich nicht, sorry

Nur weil dein Benutzer "Admin" ist, ist er nicht gleich immer Admin  Er ist nur ein "Benutzer" bis du "Als Administrator ausführen" klickst.

[roberto67 0]

vor 11 Stunden schrieb daabm:

Recherchieren, viel recherchieren und lesen

Schon klar.

vor 11 Stunden schrieb daabm:

Grundlagen dazu: https://de.wikipedia.org/wiki/Benutzerkontensteuerung

Danke für den Link, sehr gute Beschreibung, finde ich. (warum hat meine Suche, nie diese Seite gebracht, komisch eigentlich ist Wikipedia nie enthalten)

Verstehen kann ich das schon, um die Zusammenhänge zu erschließen, werde ich vermutlich Jahre oder Praxis benötigen.

[zahni 550]

Meist genügt es, wenn man den Installer von vornherein als Admin (rechte Maustaste) startet. Werden vom Installer selber Adminrechte angefordert, scheitern manche Installer, die außerhalb des MSI-Pakets irgendwas scripten.

Man könnte den Installer auch richtig bauen...aber...

 

Per Powershell geht da auch was:

 

powershell -command "&{start-process -filepath 'c:\my.cmd' -verb RunAs}"

 

Dabei sollte der Admin-Dialog aufpoppen.
 

bearbeitet 6. Oktober 2021 von zahni