Shukov
Schraubenverwechsler(in)
Scriptausführung in Domäne erfordert erhöhte Rechte
Hallo miteinander
Ich hoffe ich erreiche hier jemanden der sich mit Domänen auskennt.
Ich erläutere erst einmal den IST-Zustand :
Wir supporten eine Schule und haben hier momentan 9 Server im Einsatz (2 physische, die restlichen 7 virtuell noch über VMWare Server). Die Schule hat 2 Abteilungen (2 verschiedene Standorte), eine ist die Sekundarschule und die andere die Primarschule. Auf allen Servern läuft Windows Server 2008 R2 und alle Server stehen im Gebäude der Sekundarschule.
Von diesen 9 Servern haben wir 2 DCs (Server01 = Hauptdomänencontroller, Server02 = Sekundärer Domänencontroller).
Die Sekundarschule meldet sich am Server01 an die Primarschule am Server02. Soweit so gut..
Seit Montag haben wir das Problem dass alle User der Primarschule keine Scripts mehr ausführen können. Einzig die Option "Als Administrator ausführen" funktioniert.
Ich kann mich mit dem Domänen-Admin oder einem beliebigen User an einem Primarschul-Client einloggen und muss dennoch diese Option verwenden ansonsten erhalte ich die Fehlermeldung "Zugriff verweigert".
Wenn ich im Sekundarschulhaus bin funktioniert das selbe an jedem Client und Server mit beliebigen Benutzer tadellos ohne von der oben genannten Funktion gebrauch zu machen.
Was ich bereits versucht habe ist einen neuen User zu erstellen, die Scripts auf einen anderen Pfad zu legen und der Gruppe "Jeder" Vollzugriff zu erteilen. Im Hintergrund laufen GPOs für die beiden Standorte, die ich ebenfalls überprüft habe, aber die Login-Scripts werden über das Active-Directory verteilt und an den Richtlinien wurde schon lange nichts mehr geschraubt.
Selbst wenn ich der Gruppe "Jeder" Vollzugriff auf den Ordner UND das Script-File gebe muss ich dennoch die Option "Als Administrator ausführen" verwenden, sonst sperrt er mir den Zugriff und somit die Ausführung egal wo das Script liegt.
Das ganze ist momentan insofern mühsam weil die Primarschul-User keine Loginscripts mehr ausführen können, da sie die genannten "erhöhten Rechte" nicht haben.
Andere Foren konnten mir bisher auch nicht weiterhelfen. Vielleicht fällt jemandem von euch etwas auf oder hatte mal das gleiche Problem.
Danke im Voraus für eure Hilfe!
mfg Shukov
Nachtrag : Die Scripts liegen in Form von Batch-Dateien auf der Netlogon-Freigabe. Ich komme von der Primarschule aus problemlos in den Freigabeordner, kann jedoch darin immer noch keine Scripts ausführen.
Was ich ebenfalls noch versucht habe ist die Scriptverteilung über die Gruppenrichtlinien, habe dafür extra eine neue erstellt und der entsprechenden OU verknüpft, hat aber nicht funktioniert.
Wenn ich mich mit einem Primarschul-Profil auf einem Sekundarschul-Client anmelde funktioniert es wiederum problemlos. Ich habe das Problem bis jetzt also auf die Client-Rechner der Primarschule selbst eingrenzen können.
Hallo miteinander
Ich hoffe ich erreiche hier jemanden der sich mit Domänen auskennt.
Ich erläutere erst einmal den IST-Zustand :
Wir supporten eine Schule und haben hier momentan 9 Server im Einsatz (2 physische, die restlichen 7 virtuell noch über VMWare Server). Die Schule hat 2 Abteilungen (2 verschiedene Standorte), eine ist die Sekundarschule und die andere die Primarschule. Auf allen Servern läuft Windows Server 2008 R2 und alle Server stehen im Gebäude der Sekundarschule.
Von diesen 9 Servern haben wir 2 DCs (Server01 = Hauptdomänencontroller, Server02 = Sekundärer Domänencontroller).
Die Sekundarschule meldet sich am Server01 an die Primarschule am Server02. Soweit so gut..
Seit Montag haben wir das Problem dass alle User der Primarschule keine Scripts mehr ausführen können. Einzig die Option "Als Administrator ausführen" funktioniert.
Ich kann mich mit dem Domänen-Admin oder einem beliebigen User an einem Primarschul-Client einloggen und muss dennoch diese Option verwenden ansonsten erhalte ich die Fehlermeldung "Zugriff verweigert".
Wenn ich im Sekundarschulhaus bin funktioniert das selbe an jedem Client und Server mit beliebigen Benutzer tadellos ohne von der oben genannten Funktion gebrauch zu machen.
Was ich bereits versucht habe ist einen neuen User zu erstellen, die Scripts auf einen anderen Pfad zu legen und der Gruppe "Jeder" Vollzugriff zu erteilen. Im Hintergrund laufen GPOs für die beiden Standorte, die ich ebenfalls überprüft habe, aber die Login-Scripts werden über das Active-Directory verteilt und an den Richtlinien wurde schon lange nichts mehr geschraubt.
Selbst wenn ich der Gruppe "Jeder" Vollzugriff auf den Ordner UND das Script-File gebe muss ich dennoch die Option "Als Administrator ausführen" verwenden, sonst sperrt er mir den Zugriff und somit die Ausführung egal wo das Script liegt.
Das ganze ist momentan insofern mühsam weil die Primarschul-User keine Loginscripts mehr ausführen können, da sie die genannten "erhöhten Rechte" nicht haben.
Andere Foren konnten mir bisher auch nicht weiterhelfen. Vielleicht fällt jemandem von euch etwas auf oder hatte mal das gleiche Problem.
Danke im Voraus für eure Hilfe!
mfg Shukov
Nachtrag : Die Scripts liegen in Form von Batch-Dateien auf der Netlogon-Freigabe. Ich komme von der Primarschule aus problemlos in den Freigabeordner, kann jedoch darin immer noch keine Scripts ausführen.
Was ich ebenfalls noch versucht habe ist die Scriptverteilung über die Gruppenrichtlinien, habe dafür extra eine neue erstellt und der entsprechenden OU verknüpft, hat aber nicht funktioniert.
Wenn ich mich mit einem Primarschul-Profil auf einem Sekundarschul-Client anmelde funktioniert es wiederum problemlos. Ich habe das Problem bis jetzt also auf die Client-Rechner der Primarschule selbst eingrenzen können.
Zuletzt bearbeitet: