File naar System32 folder copieeren onder computer gpo scrpt - Serversoftware en clouddiensten

woensdag 27 januari 2010 09:31

Acties:

Topicstarter

Hallo

Ik moet voor onze domein gebruikers een file kopiëren naar de windows\system32 folder.
Ik heb dit geprobeerd met een bat file:

IF NOT EXIST "C:\Windows\System32\mijndll.dll" (
xcopy \\server\share\gsskrb5.dll C:\Windows\System32
)

Dit wordt met een computer gpo dan uitgevoerd. Ik zie ook bij het opstarten dat de gpo wordt aangesproken, maar uiteindelijk doet hij het niet, hij geeft een access denied. Dit komt vooral, denk ik, omdat onze domain users geen lokale administrator zijn van ons domein, want als ik dit probeer met een user gpo of manueel, krijg ik ook een access denied.

Ik heb tot nu toe slecht 1 oplossing gevonden: als ik werk met cpau (http://www.joeware.net/freetools/tools/cpau/index.htm) kan ik zo de runas encrypten en als domain admin het kopiëren doordrukken. Maar ik heb niet veel zin om elke batch om te zetten naar zo een cpau-oplossing.

Kent er iemand een betere oplossing, die een bestand naar de system32 folder kan kopiëren zonder dat de domein users lokale admin zijn?

woensdag 27 januari 2010 09:38

Acties:

Verwijderd

Een user mag normaal gesproken niet in de system32 folder schrijven dus daar zul je iets voor moeten verzinnen. Misschien ipv een domain admin een service account aanmaken en daaronder laten overzetten.
Maar wat ik niet snap waarom wil je met inloggen gsskrb5.dll naar system32 kopieeeren?
Is hier geen andere oplossing voor?

woensdag 27 januari 2010 09:38

Acties:

elevator

Officieel moto fan :)

Door het als computer GPO te draaien draai je het als een 'user' welke wel degelijk rechten heeft om de System32 folder te schrijven, maar waarschijnlijk heeft die user weer geen rechten op die share, dus controleer dat eens?

Is er overigens geen andere manier (bv. een environment variable) om de lokatie van die DLL op te geven zodat je niets in de System32 folder moet zetten?

woensdag 27 januari 2010 09:43

Acties:

devuysts

Topicstarter

de dll moet id system 32 staan, het de sso-oplossing van sap :-)
de share rechten zijn ok hoor, die heb ik getest.

woensdag 27 januari 2010 09:54

Acties:

elevator

Officieel moto fan :)

Hoe heb je die getest? Door in te loggen als 'de computer'?

Verder, ik zou proberen (als test) die DLL eens in de zelfde folder te zetten als je saplogon.exe oid draait, normaal zal Windows namelijk ook daar automatisch kijken

woensdag 27 januari 2010 10:06

Acties:

devuysts

Topicstarter

je zegt daar zoiets...ik heb enkel gebruikers in de GG staan voor die computer gpo. mocht ik computer account toevoegen in mijn GG, zou dit verschil maken?
En de dll moet echt in de system32 staan, op sap-voorschrift ;-)

woensdag 27 januari 2010 10:26

Acties:

beerns

it is I, Leclerc

ik zou het via het startup script doen.
dus if not exist %systemroot%\system32\file.dll copy "\\domainname\netlogon\file.dll

Dat zou ik laten uitvoeren als local system wat volg mij rechten heeft tot de systemroot en de user heeft dan zelf leesrechten op netlogon.
Klaar.

Erik heeft bij ons in het dorp best wel een slechte naam. Ik geloof Hans ofzo, of Rob.....

woensdag 27 januari 2010 10:29

Acties:

elevator

Officieel moto fan :)

devuysts schreef op woensdag 27 januari 2010 @ 10:06:
je zegt daar zoiets...ik heb enkel gebruikers in de GG staan voor die computer gpo. mocht ik computer account toevoegen in mijn GG, zou dit verschil maken?

Ja, of je voegt gewoon 'Authenticated Users' toe aan de share uitgaande dat er toch alleen maar die DLL in staat.

En de dll moet echt in de system32 staan, op sap-voorschrift ;-)

Of je probeert het gewoon

woensdag 27 januari 2010 10:37

Acties:

devuysts

Topicstarter

Het uitvoeren als local system heb ik al gedaan met gpo (omputer based). Dit hielp niet.
En de user zelf heeft toegang tot de share. Da's het probleem niet.
Dit is echt een lokaal probleem omdat de domain user niets mag zetten in systemroot en daaronder.

woensdag 27 januari 2010 10:45

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

beerns schreef op woensdag 27 januari 2010 @ 10:26:
ik zou het via het startup script doen.
dus if not exist %systemroot%\system32\file.dll copy "\\domainname\netlogon\file.dll

Even een side-note, het is een best practice om de Netlogon share niet te gebruiken voor dit soort dingen. In dit geval is het maar een klein bestandje maar als je dat vaker gaat gebruiken dan wordt dat veel data die naar alle domain controllers moet worden gerepliceerd.

In dit geval niet zo'n probleem, maar in principe beter niet doen dus.

Edit: Nou vooruit, ook even een inhoudelijke reactie.

Het zou met een computer startup script moeten kunnen, zie ook http://www.experts-exchan...istration/Q_24514192.html

[ Voor 14% gewijzigd door Jazzy op 27-01-2010 10:47 ]

Exchange en Office 365 specialist. Mijn blog.

woensdag 27 januari 2010 10:48

Acties:

elevator

Officieel moto fan :)

Zoals al gezegd is draait een Computer startup script niet onder een user account, dit kan je ook zelf beredeneren omdat dit script draait voor er ook maar een user inlogged is

woensdag 27 januari 2010 13:42

Acties:

beerns

it is I, Leclerc

Jazzy schreef op woensdag 27 januari 2010 @ 10:45:
[...]
Even een side-note, het is een best practice om de Netlogon share niet te gebruiken voor dit soort dingen. In dit geval is het maar een klein bestandje maar als je dat vaker gaat gebruiken dan wordt dat veel data die naar alle domain controllers moet worden gerepliceerd.

In dit geval niet zo'n probleem, maar in principe beter niet doen dus.

Edit: Nou vooruit, ook even een inhoudelijke reactie. Het zou met een computer startup script moeten kunnen, zie ook http://www.experts-exchan...istration/Q_24514192.html

Okay. Eensch. Niet zo handy wellicht om het via de netlogon te doen. Doe het dan via een 'normale' share waar de user leesrechten heeft.

ps.je link is bij mij beperkt (kan aan Firefox liggen) tot alleen de vraag en voor het antw. moet ik betalen.

Erik heeft bij ons in het dorp best wel een slechte naam. Ik geloof Hans ofzo, of Rob.....

woensdag 27 januari 2010 13:44

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

beerns schreef op woensdag 27 januari 2010 @ 13:42:
ps.je link is bij mij beperkt (kan aan Firefox liggen) tot alleen de vraag en voor het antw. moet ik betalen.

En als je helemaal naar onderen scrollt? Anders even bekijken via de cache van Google.

Exchange en Office 365 specialist. Mijn blog.

woensdag 27 januari 2010 14:36

Acties:

alt-92

ye olde farte

Verder, ik zou proberen (als test) die DLL eens in de zelfde folder te zetten als je saplogon.exe oid draait, normaal zal Windows namelijk ook daar automatisch kijken

^^^ Pleeeeaase probeer dat eerst, daarna de leverancier schoppen, en als et echt niet anders kan dan pas in de system32 dir klooien.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 28 januari 2010 12:13

Acties:

Razwer

scripts? scripts per GPO? als je ergens een 2008 bak hebt staan ofzo, gebruik GPO preferences... Je hoeft geen 2008 AD te hebben om het te kunnen gebruiken, zolang je ze op 2008 aanmaakt. stuk minder hoofdpijn... kan prima files plaatsen...

Newton's 3rd law of motion. Amateur moraalridder.

donderdag 28 januari 2010 12:54

Acties:

Zwelgje

Razwer schreef op donderdag 28 januari 2010 @ 12:13:
scripts? scripts per GPO? als je ergens een 2008 bak hebt staan ofzo, gebruik GPO preferences... Je hoeft geen 2008 AD te hebben om het te kunnen gebruiken, zolang je ze op 2008 aanmaakt. stuk minder hoofdpijn... kan prima files plaatsen...

my kinda man $_/-\o_$

http://www.frickelsoft.ne...ences%20does%20better.pdf

A wise man's life is based around fuck you