forum.opsi.org

opsi support forum
https://forum.opsi.org/

opsi-deploy-client-agent NT_STATUS_ACCESS_DENIED

https://forum.opsi.org/viewtopic.php?t=8807

Seite 1 von 1

opsi-deploy-client-agent NT_STATUS_ACCESS_DENIED

Verfasst: 22 Nov 2016, 15:15
von Golf2
Hallo zusammen,

wir haben Windows 10 Rechner im Einsatz und ich habe schon die andere winexe von hier https://download.uib.de/opsi4.0/winexe/opsi40/ genommen.
Leider betreibe ich einen Ubuntu 16.04.1 Server. ich habe die aktuellste winexe aus dem 14.04. genommen. Es taucht leider immer folgender Fehler auf, sobald ich versuche den Agent auf einen Win10 Rechner zu installieren :

Code: Alles auswählen

root@opsi:/var/lib/opsi/depot/opsi-client-agent# ./opsi-deploy-client-agent -vv -u admin -p muster -c pc0001
Deploying to Windows.
* BackendManager is creating BackendDispatcher
Backend context was set to <BackendManager()>
Loading dispatch config file '/etc/opsi/backendManager/dispatch.conf'
Loading backend config '/etc/opsi/backends/opsipxeconfd.conf'
Backend context was set to <BackendDispatcher(dispatchConfigFile=u'/etc/opsi/backendManager/dispatch.conf', context=<BackendManager()>)>
Loading backend config '/etc/opsi/backends/file.conf'
Backend context was set to <BackendDispatcher(dispatchConfigFile=u'/etc/opsi/backendManager/dispatch.conf', context=<BackendManager()>)>
* BackendManager is creating ExtendedConfigDataBackend
Setting context to backend <ExtendedConfigDataBackend(configDataBackend=<BackendDispatcher(dispatchConfigFile=u'/etc/opsi/backendManager/dispatch.conf', context=<BackendManager()>)>)>
Got hostId pc0001.soho.local
Starting deployment to host u'pc0001.soho.local'
Querying for ip address of host u'pc0001.soho.local'
Getting host u'pc0001.soho.local' by name
Got ip address '192.168.2.10' from syscall
Pinging host '192.168.2.10' ...
Executing: ping -q -c2 192.168.2.10
Using encoding 'UTF-8'
Host 192.168.2.10 is up
Testing winexe
Getting winexe installed on system failed (Command 'winexe' not found in PATH) Using local.
Executing: ./winexe -V
Using encoding 'UTF-8'
Winexe Version: Version 4.0.0alpha11-GIT-UNKNOWN
Executing: ./winexe -U 'admin%*** confidential ***' //pc0001.soho.local 'cmd.exe /C "del /s /q c:\tmp\opsi-client-agent_inst && rmdir /s /q c:\tmp\opsi-client-agent_inst || echo not found"'
Using encoding 'UTF-8'
Winexe failure Exception(u'Command \'./winexe -U \'admin%*** confidential ***\' //pc0001.soho.local \'cmd.exe /C "del /s /q c:\\tmp\\opsi-client-agent_inst && rmdir /s /q c:\\tmp\\opsi-client-agent_inst || echo not found"\'\' failed (1):\nERROR: Failed to install service winexesvc - NT_STATUS_ACCESS_DENIED',), retrying
Getting winexe installed on system failed (Command 'winexe' not found in PATH) Using local.
Executing: ./winexe -V
Using encoding 'UTF-8'
Winexe Version: Version 4.0.0alpha11-GIT-UNKNOWN
Executing: ./winexe -U 'admin%*** confidential ***' //pc0001.soho.local 'cmd.exe /C "del /s /q c:\tmp\opsi-client-agent_inst && rmdir /s /q c:\tmp\opsi-client-agent_inst || echo not found"'
Using encoding 'UTF-8'
Deployment to 'pc0001' failed: Failed to execute command on host u'pc0001.soho.local': winexe error: Command './winexe -U 'admin%*** confidential ***' //pc0001.soho.local 'cmd.exe /C "del /s /q c:\tmp\opsi-client-agent_inst && rmdir /s /q c:\tmp\opsi-client-agent_inst || echo not found"'' failed (1):
Hat jemand eine Idee oder das ganze auch schon realisiert mit Win10 und Ubuntu 16.04?

Re: opsi-deploy-client-agent NT_STATUS_ACCESS_DENIED

Verfasst: 01 Dez 2016, 10:46
von Golf2
Niemand eine Idee?

Re: opsi-deploy-client-agent NT_STATUS_ACCESS_DENIED

Verfasst: 05 Dez 2016, 12:35
von n.wenselowski
Hi,

ich würde mal probieren, ob der Winexe-Aufruf (siehe Log) denn klappt.
Credentials wurden vermutlich geprüft ;)

Winexe selbst hat in der Readme noch Hinweise zum Umgang mit Problemen. Vermutlich blockt auf Client-Seite noch irgendwas den Zugriff.


Viele Grüße

Niko

Re: opsi-deploy-client-agent NT_STATUS_ACCESS_DENIED

Verfasst: 05 Apr 2018, 16:32
von opsi.simi
Hallo zusammen,

ich habe aktuell das selbe Problem :/ leider

immer wenn ich versuche über den opsi-deploy-agent einen Win10 Client mit einzubinden;
kommt die Fehlermeldung:

Code: Alles auswählen

Deployment to 'pc-ft1' failed: Failed to execute command on host u'pc-ft1.snt.......de': winexe error: Command '/usr/bin/winexe -U 'Administrator%*** confidential ***' //pc-ft17.dom 'cmd.exe /C "del /s /q c:\tmp\opsi-client-agent_inst && rmdir /s /q c:\tmp\opsi-client-agent_inst || echo not found"'' failed (1):
ERROR: Failed to install service winexesvc - NT_STATUS_ACCESS_DENIED
kann mir vielleicht jemand weiter helfen ?

Re: opsi-deploy-client-agent NT_STATUS_ACCESS_DENIED

Verfasst: 14 Apr 2018, 00:01
von bernd670
Hallo,

da der Service nicht installiert werden kann, ist es möglich das der UAC-Filter für Ferwartung aktiviert ist.

Probier mal folgendes, starte auf dem Win10 Rechner cmd (als Administrator ausführen) und gib folgendes ein

Code: Alles auswählen

reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy
wenn der UAC-Filter deaktiviert ist, sollte folgendes ausgegeben werden
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
LocalAccountTokenFilterPolicy REG_DWORD 0x1
ist das nicht der Fall kann man mit

Code: Alles auswählen

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /D 1
den UAC-Filter deaktivieren. Evtl. ist auch noch ein reboot nötig.

Gruß
Bernd

[GELÖST] opsi-deploy-client-agent NT_STATUS_ACCESS_DENIED

Verfasst: 18 Apr 2018, 12:31
von opsi.simi
Super :) vielen dank das hat geholfen

wenn bei Win10 schaue fehlt der Eintrag LocalAccountTokenFilterPolicy
unter dem Pfad HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system in der Registrie komplett

ich habe mir jetzt die Eintrag als .reg Datei exportiert und werde sie bei meinen Zukünftigen Useren importieren,
anders bekommt man den Eintrag wohl unter Win10 nicht rein.

und siehe da, ich bekomme wieder alle Clients über den Agent eingebunden

SUPI :P

Re: [GELÖST] opsi-deploy-client-agent NT_STATUS_ACCESS_DENIED

Verfasst: 18 Apr 2018, 19:11
von bernd670
Hallo,
opsi.simi hat geschrieben:ich habe mir jetzt die Eintrag als .reg Datei exportiert und werde sie bei meinen Zukünftigen Useren importieren,
anders bekommt man den Eintrag wohl unter Win10 nicht rein.
Da es sich um einen Wert unter HKLM handelt, muss der Eintrag nur einmal pro Maschine und nicht pro User, gesetzt werden.
In einer Domäne kann man das ganze auch per GPO lösen. Ansonsten kann man mit reg auch Werte remote setzen. Der Aufruf lautet dann

Code: Alles auswählen

reg add \\<Computername>\HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /D 1
Ich weiß nur nicht ob das funktioniert, solange der UAC-Filter für Fernzugriff aktiv ist.

Eine weitere Möglichkeit wäre ein Powershell-Script.

Gruß
Bernd
Alle Zeiten sind UTC+02:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de