[2003]register.exe op Terminal Server - Serversoftware en clouddiensten

dinsdag 7 november 2006 12:38

Acties:

Topicstarter

Ik ben bezig met het opzetten van een 2003 Terminal Server. Ze maken gebruik van een web applicatie (Smartsite) die 2 DLL's geregistreerd moet hebben. Via regsvr32 reeds gedaan, maar dit was niet genoeg want ze moeten ook nog via register.exe als system global worden geregistreerd.

Als ik dit alleen doe krijg ik de volgende melding:

code:

C:\>register "C:\DLL\tidycom.dll" /system
Open file failed, rc=5
Error [5]:Access is denied.

C:\>register "C:\DLL\ptools.dll" /system
Open file failed, rc=5
Error [5]:Access is denied.

Ik kan alleen helemaal nergens vinden waarom die Access is Denied melding komt. Ik voer het uit met een account met voldoende rechten (zowel Domain Admin als Local Admin geprobeerd). In eerste instantie stonden de DLL's op het netwerk, maar die heb ik reeds verplaatst naar lokaal om te kijken of dit de oorzaak zou kunnen zijn (niet het geval).

Ik doe niets anders dan Microsoft vertelt dat je moet doen:
Terminal Server Commands: REGISTER.

Ook al geprobeerd in VGA mode (wederom geen resultaat, document is eigenlijk ook bedoeld voor NT 4.0 maar het is het proberen waard).
Registering OCX and DLL files as System Globals

Iemand een idee?

dinsdag 7 november 2006 14:05

Acties:

Verwijderd

je voert het dus niet uit met een account die genoeg rechten heeft, anders krijg je geen access denied

(gebruik filemon/regmon om te kijken waar je geen rechten hebt).

[ Voor 23% gewijzigd door Verwijderd op 07-11-2006 14:09 ]

dinsdag 7 november 2006 14:10

Acties:

WaSteiL

Topicstarter

Verwijderd schreef op dinsdag 07 november 2006 @ 14:05:
je voert het dus niet uit met een account die genoeg rechten heeft, anders krijg je geen access denied

Hoeveel rechten wil je meer hebben met een Domain Admin account of met een local Admin (zelfs in Safe Mode)? Domain Admin account wordt op de TS ook niet gehinderd door enige policy.

dinsdag 7 november 2006 15:42

Acties:

WaSteiL

Topicstarter

Even getest op een compleet standalone server systeem en daar lukt het wel om de betreffende dll's te registreren.

dinsdag 7 november 2006 16:40

Acties:

Verwijderd

WaSteiL schreef op dinsdag 07 november 2006 @ 14:10:
[...]

Hoeveel rechten wil je meer hebben met een Domain Admin account of met een local Admin (zelfs in Safe Mode)? Domain Admin account wordt op de TS ook niet gehinderd door enige policy.

Als jij denkt dat domain admin alle rechten heeft en houdt, ben je niet goed snik. 1 keer een deny op ntfs niveau (of simpelweg geen rechten) en je bent het haasje. Met admin rechten kan je dat wel aanpassen, maar het betekent zeker niet dat je automatisch overal rechten hebt. >> dus filemon/regmon.

een file op read only geeft overigens ook de access denied melding, kan je nog wel full control in't kwadraat op de file hebben die access denied blijft komen...

[ Voor 16% gewijzigd door Verwijderd op 07-11-2006 16:44 ]

dinsdag 7 november 2006 17:33

Acties:

WaSteiL

Topicstarter

Verwijderd schreef op dinsdag 07 november 2006 @ 16:40:
[...]

Als jij denkt dat domain admin alle rechten heeft en houdt, ben je niet goed snik. 1 keer een deny op ntfs niveau (of simpelweg geen rechten) en je bent het haasje. Met admin rechten kan je dat wel aanpassen, maar het betekent zeker niet dat je automatisch overal rechten hebt. >> dus filemon/regmon.

een file op read only geeft overigens ook de access denied melding, kan je nog wel full control in't kwadraat op de file hebben die access denied blijft komen...

Ondanks dat je verhaal over Deny rechten hier totaal geen issue is en eigenlijk in geen enkel "normaal" netwerk zou moeten voorkomen heb je me wel geholpen. $_/-\o_$
Dat domme Read Only attribuut op beide bestanden stond aan.

Ik had het al gechecked op meerdere versies van 2003 (2003 en 2003 R2), maar op beide deed hij het ook niet. Toen even naar huis gestuurd via FTP en daar lukt het wel. Is ook niet zo gek aangezien daarmee het Read Only attribuut verdwijnt.

REGSVR32 kijkt dus niet naar Read Only attribuut, maar REGISTER dus wel.. Super bedankt! $_/-\o_$

dinsdag 7 november 2006 19:23

Acties:

Zwelgje

Ondanks dat je verhaal over Deny rechten hier totaal geen issue is en eigenlijk in geen enkel "normaal" netwerk zou moeten voorkomen...

kom dat maar vaak genoeg tegen, weet niet precies hoeveel netwerkjes jij hebt gezien maar we hebben het niet over simpele SBS netwerkjes (in mijn geval)

A wise man's life is based around fuck you

dinsdag 7 november 2006 21:55

Acties:

WaSteiL

Topicstarter

Zwelgje schreef op dinsdag 07 november 2006 @ 19:23:
Ondanks dat je verhaal over Deny rechten hier totaal geen issue is en eigenlijk in geen enkel "normaal" netwerk zou moeten voorkomen...

kom dat maar vaak genoeg tegen, weet niet precies hoeveel netwerkjes jij hebt gezien maar we hebben het niet over simpele SBS netwerkjes (in mijn geval)

Dan heb je een leuke uitdaging om het aan te passen naar een situatie zoals het hoort.

Maar wil je nu laten zien hoe groot je piemel wel niet is omdat je geen SBS-netwerk beheert (wat het in mijn geval bij mijn 30tal klanten ook niet het geval is)?

dinsdag 7 november 2006 22:00

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

WaSteiL schreef op dinsdag 07 november 2006 @ 21:55:
[...]

Dan heb je een leuke uitdaging om het aan te passen naar een situatie zoals het hoort.
Maar wil je nu laten zien hoe groot je piemel wel niet is omdat je geen SBS-netwerk beheert (wat het in mijn geval bij mijn 30tal klanten ook niet het geval is)?

Het gaat er met name om dat je in kleine omgevingen vrijwel nooit gedelegeerd beheer tegen komt. Vandaar dat de aanname dat de domain admin voldoende rechten heeft typisch is voor iemand die ervaring heeft in de wat kleinere omgevingen.

Zwelgje en iis6_rulez werken met name in omgevingen waarin het heel normaal is dat de domain admin niet oppergod is.

Exchange en Office 365 specialist. Mijn blog.

dinsdag 7 november 2006 22:01

Acties:

Zwelgje

WaSteiL schreef op dinsdag 07 november 2006 @ 21:55:
[...]

Dan heb je een leuke uitdaging om het aan te passen naar een situatie zoals het hoort.
Maar wil je nu laten zien hoe groot je piemel wel niet is omdat je geen SBS-netwerk beheert (wat het in mijn geval bij mijn 30tal klanten ook niet het geval is)?

jouw woorden

maar goed ik hoef niks recht te trekken hoor. de domain admins horen gewoon niet per definitie over bij te kunnen. (belangrijke files waar zelfs de domain admins niks te zoeken hebben bv)

en ja ook zonder ntfs rechten kun je die files nog steeds netjes backuppen

en idd zoals jazzy al zegt: delegation of control

[ Voor 4% gewijzigd door Zwelgje op 07-11-2006 22:04 ]

A wise man's life is based around fuck you

dinsdag 7 november 2006 22:04

Acties:

alt-92

ye olde farte

Ik geloof niet dat meten zo verstandig is in dit geval

deny-rechten kom ik soms op de meest idiote plaatsen tegen (ook bij bedrijven met 100+ domains en 45.000 users) helaas.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 7 november 2006 22:21

Acties:

WaSteiL

Topicstarter

Jazzy schreef op dinsdag 07 november 2006 @ 22:00:
[...]
Het gaat er met name om dat je in kleine omgevingen vrijwel nooit gedelegeerd beheer tegen komt. Vandaar dat de aanname dat de domain admin voldoende rechten heeft typisch is voor iemand die ervaring heeft in de wat kleinere omgevingen.

Zwelgje en iis6_rulez werken met name in omgevingen waarin het heel normaal is dat de domain admin niet oppergod is.

Je kan ook spaarzaam zijn met het uitdelen van Domain Admin rechten en doormiddel van Delegation of Control ervoor zorgen dat de rechten op niet leden van de Domain Admin geplaatst worden. Op die manier zorg je ervoor dat je met een Domain Admin account wel overal kan komen op de momenten dat je het nodig hebt.

Daarnaast log je alleen in met je Domain Admin account op de momenten dat je het nodig hebt en gebruik je normaal je normale user-account. Runas is je vriend.

Op die manieren hoef je geen Deny rechten te geven en hoef je geen haldbrekens te maken indien je er om wat voor een reden dan ook wel bij moet.

Maar dit zijn allemaal zaken die ik jullie niet hoef te vertelen toch?

woensdag 8 november 2006 11:15

Acties:

Verwijderd

Zwelgje en iis6_rulez werken met name in omgevingen waarin het heel normaal is dat de domain admin niet oppergod is.

hehe, domain admin (enterprise admin eigenlijk) is altijd oppergod. Alleen betekent dat nog steeds niet dat je overal rechten hebt, maar je kan altijd de benodigde rechten pakken

woensdag 8 november 2006 11:38

Acties:

WaSteiL

Topicstarter

Verwijderd schreef op woensdag 08 november 2006 @ 11:15:
[...]

hehe, domain admin (enterprise admin eigenlijk) is altijd oppergod. Alleen betekent dat nog steeds niet dat je overal rechten hebt, maar je kan altijd de benodigde rechten pakken .

En natuurlijk nog een kleine toevoeging: dat je ook je verantwoordelijk omgaat met zaken zoals integriteit en beveiliging. Dat je geen toegang tot een bestand hebt betekend niet dat je er niet bij kan komen zoals je zelf ook al aangeeft.

Of je de bestanden nu altijd kan bekijken of alleen op de momenten dat je de rechten even tijdelijk aanpast: indien je er niet bij moet komen vanuit professioneel oogpunt moet je er ook gewoon niet in kijken. Simpel.

woensdag 8 november 2006 13:29

Acties:

Verwijderd

WaSteiL schreef op woensdag 08 november 2006 @ 11:38:
[...]

En natuurlijk nog een kleine toevoeging: dat je ook je verantwoordelijk omgaat met zaken zoals integriteit en beveiliging. Dat je geen toegang tot een bestand hebt betekend niet dat je er niet bij kan komen zoals je zelf ook al aangeeft.

Of je de bestanden nu altijd kan bekijken of alleen op de momenten dat je de rechten even tijdelijk aanpast: indien je er niet bij moet komen vanuit professioneel oogpunt moet je er ook gewoon niet in kijken. Simpel.

tja, lijkt me een normale zaak. maar ook waar ik wel bij mag komen, kijk ik niet eens in omdat ik me tijd wel beter kan gebruiken.

Pagina: 1

Reageer