Wie kann ich es erreichen, dass ein Domänenadmin eine Datei ins System32-Verzeichnis schreiben darf? In unserer Domäne wird per Script eine ini-Datei dorthin kopiert, aber beim Test mit Win7 klappt das nicht, da wird dem armen Admin der Zugriff verweigert. Ist das eine Sache der lokalen Sicherheitsrichtlinien, die man ändern kann, oder wie geht man hier am besten vor?

eigentlich funktioniert der zugriff ohne probleme...

wann wird euer skript ausgeführt?

wieso benutzt ihr dafür nicht die group policy extenstions?

Ist ein Windows Server 2003, jeder User hat eine login.bat, die beim Start ausgeführt wird. Dadrin wird eine EXE-Datei ausgeführt, die wiederum ein copy mit expliziten Domänenadmin-Rechten anstößt. Die EXE ist mit SteelRunAs erstellt, damit diese Rechte anhängen. Es MUSS also eigentlich gehen.

Ich sehe aber im Verzeichnis unter "Sicherheit" keinen Domänen-Admin, nur den lokalen.

Ist ein Windows Server 2003, jeder User hat eine login.bat, die beim Start ausgeführt wird. Dadrin wird eine EXE-Datei ausgeführt, die wiederum ein copy mit expliziten Domänenadmin-Rechten anstößt. Die EXE ist mit SteelRunAs erstellt, damit diese Rechte anhängen. Es MUSS also eigentlich gehen.

Ich sehe aber im Verzeichnis unter "Sicherheit" keinen Domänen-Admin, nur den lokalen.
auch ein 2003 kann group policy extensions bereitstellen...einfach mit nem vista/7 client die policy erstellen und alles klasse

sind die benutzer lokale administratoren? -> ändern!

unter sicherheit ist die gruppe administratoren (so zumindest nach einer standard win 7 install) und in dieser gruppe sind normalerweise auch die domänen admins

*nachtrag
ist es ein 64bit system?
-> landet eure ini evtl in syswow64?


finde euer vorgehen zum ini kopieren aber weiterhin nicht die beste ;)

"Historisch gewachsen" ;)

Die Domänen-Admin sind bereits in der Gruppe lokaler Admins enthalten. Aber bei Win7 scheint es egal zu sein. Die Datei kopiert sich nur in ein Verzeichnis, das auch von dem Domänen-Admin erstellt wurde. Also muss ich wohl ausweichen auf c:\meine_ini... auch nicht schön...

Konfigurationsdateien, die nicht das System verwaltet haben in System32 nix zu suchen, Vista/Win7 setzt dies nun endlich durch.
Eure INI sollte in %USER%\AppData\Local\ landen, da läge sie richtig und da hat der jeweilig angemeldete User auch die nötigen Rechte.
Wenn es bei der INI um Windows-eigene Einstellungen gehen sollte wären Gruppenrichtlinien allerdings der richtige Weg.

Ciao, Elwood

"Historisch gewachsen" ;)

Die Domänen-Admin sind bereits in der Gruppe lokaler Admins enthalten. Aber bei Win7 scheint es egal zu sein. Die Datei kopiert sich nur in ein Verzeichnis, das auch von dem Domänen-Admin erstellt wurde. Also muss ich wohl ausweichen auf c:\meine_ini... auch nicht schön...wenn dus schon sauber machen willst...nimm %appdata% oder %localappdata% (ersteres für roaming fähige einstellungen, localappdata für konfigdateien die gerätespezifisch sind)


ich meinte ob die benutzer admin sind welche sich anmelden...hier könntest du nämlich mit uac + dem security token in konflikt kommen wenn diese lokaler admin sind ;)

Kann es sein das Steelrunas nicht unbedingt gut mit dem UAC funktioniert ? Selbst als DomäenAdmin darf man nicht direkt in das System32 Verzeichnis schreiben, man bekommt dann die UAC Warnung und muss erst die Meldung bestätigen. (Habe aber keinen W7 Client zum testen, nur nen Windows Server 2008 R2)

Klasse.... jetzt muss ich die Datei "services" automatisiert anpassen können... und die muss wohl oder übel im system32-Verzeichnis liegen bleiben... schön, wie komme ich denn da nun per Batchdatei dran :mad:

Auf einem Client oder allen ?
Ansonsten zentral von einem Server/Client mit Domänenadminrechten C$ sharen und per Script überall die Datei editieren.

wieso machst dus denn nicht eifnach über gpp?

"einfach über gpp"? Du meinst über Computer-Config / Start-Script? Wird das in einem anderen Benutzerkontext ausgeführt?

"einfach über gpp"? Du meinst über Computer-Config / Start-Script? Wird das in einem anderen Benutzerkontext ausgeführt?
naja das computerstartskript wird im system kontext ausgeführt
das benutzerstartskript im benutzerkontext vom angemeldeten benutzer

was ich aber eigentlich meinte...werf dein skript fürs kopieren einer ini über board und benutz die group policy extensions (die richtlinie einfach mit einem vista/7 rechner erstellen)
unter computerkonfiguration - einstellungen - windows einstellungen - dateien kannst du beliebige dateien ohne skript von a nach b kopieren...auf a muss in dem fall authentifizierte benutzer bzw domänen computer leserechte haben...