opsi-deploy-client-agent NT_STATUS_ACCESS_DENIED

Antworten
Golf2
Beiträge: 31
Registriert: 07 Feb 2013, 15:18

opsi-deploy-client-agent NT_STATUS_ACCESS_DENIED

Beitrag von Golf2 »

Hallo zusammen,

wir haben Windows 10 Rechner im Einsatz und ich habe schon die andere winexe von hier https://download.uib.de/opsi4.0/winexe/opsi40/ genommen.
Leider betreibe ich einen Ubuntu 16.04.1 Server. ich habe die aktuellste winexe aus dem 14.04. genommen. Es taucht leider immer folgender Fehler auf, sobald ich versuche den Agent auf einen Win10 Rechner zu installieren :

Code: Alles auswählen

root@opsi:/var/lib/opsi/depot/opsi-client-agent# ./opsi-deploy-client-agent -vv -u admin -p muster -c pc0001
Deploying to Windows.
* BackendManager is creating BackendDispatcher
Backend context was set to <BackendManager()>
Loading dispatch config file '/etc/opsi/backendManager/dispatch.conf'
Loading backend config '/etc/opsi/backends/opsipxeconfd.conf'
Backend context was set to <BackendDispatcher(dispatchConfigFile=u'/etc/opsi/backendManager/dispatch.conf', context=<BackendManager()>)>
Loading backend config '/etc/opsi/backends/file.conf'
Backend context was set to <BackendDispatcher(dispatchConfigFile=u'/etc/opsi/backendManager/dispatch.conf', context=<BackendManager()>)>
* BackendManager is creating ExtendedConfigDataBackend
Setting context to backend <ExtendedConfigDataBackend(configDataBackend=<BackendDispatcher(dispatchConfigFile=u'/etc/opsi/backendManager/dispatch.conf', context=<BackendManager()>)>)>
Got hostId pc0001.soho.local
Starting deployment to host u'pc0001.soho.local'
Querying for ip address of host u'pc0001.soho.local'
Getting host u'pc0001.soho.local' by name
Got ip address '192.168.2.10' from syscall
Pinging host '192.168.2.10' ...
Executing: ping -q -c2 192.168.2.10
Using encoding 'UTF-8'
Host 192.168.2.10 is up
Testing winexe
Getting winexe installed on system failed (Command 'winexe' not found in PATH) Using local.
Executing: ./winexe -V
Using encoding 'UTF-8'
Winexe Version: Version 4.0.0alpha11-GIT-UNKNOWN
Executing: ./winexe -U 'admin%*** confidential ***' //pc0001.soho.local 'cmd.exe /C "del /s /q c:\tmp\opsi-client-agent_inst && rmdir /s /q c:\tmp\opsi-client-agent_inst || echo not found"'
Using encoding 'UTF-8'
Winexe failure Exception(u'Command \'./winexe -U \'admin%*** confidential ***\' //pc0001.soho.local \'cmd.exe /C "del /s /q c:\\tmp\\opsi-client-agent_inst && rmdir /s /q c:\\tmp\\opsi-client-agent_inst || echo not found"\'\' failed (1):\nERROR: Failed to install service winexesvc - NT_STATUS_ACCESS_DENIED',), retrying
Getting winexe installed on system failed (Command 'winexe' not found in PATH) Using local.
Executing: ./winexe -V
Using encoding 'UTF-8'
Winexe Version: Version 4.0.0alpha11-GIT-UNKNOWN
Executing: ./winexe -U 'admin%*** confidential ***' //pc0001.soho.local 'cmd.exe /C "del /s /q c:\tmp\opsi-client-agent_inst && rmdir /s /q c:\tmp\opsi-client-agent_inst || echo not found"'
Using encoding 'UTF-8'
Deployment to 'pc0001' failed: Failed to execute command on host u'pc0001.soho.local': winexe error: Command './winexe -U 'admin%*** confidential ***' //pc0001.soho.local 'cmd.exe /C "del /s /q c:\tmp\opsi-client-agent_inst && rmdir /s /q c:\tmp\opsi-client-agent_inst || echo not found"'' failed (1):
Hat jemand eine Idee oder das ganze auch schon realisiert mit Win10 und Ubuntu 16.04?
Golf2
Beiträge: 31
Registriert: 07 Feb 2013, 15:18

Re: opsi-deploy-client-agent NT_STATUS_ACCESS_DENIED

Beitrag von Golf2 »

Niemand eine Idee?
Benutzeravatar
n.wenselowski
Ex-uib-Team
Beiträge: 3194
Registriert: 04 Apr 2013, 12:15

Re: opsi-deploy-client-agent NT_STATUS_ACCESS_DENIED

Beitrag von n.wenselowski »

Hi,

ich würde mal probieren, ob der Winexe-Aufruf (siehe Log) denn klappt.
Credentials wurden vermutlich geprüft ;)

Winexe selbst hat in der Readme noch Hinweise zum Umgang mit Problemen. Vermutlich blockt auf Client-Seite noch irgendwas den Zugriff.


Viele Grüße

Niko

Code: Alles auswählen

import OPSI
Benutzeravatar
opsi.simi
Beiträge: 44
Registriert: 30 Okt 2013, 12:01

Re: opsi-deploy-client-agent NT_STATUS_ACCESS_DENIED

Beitrag von opsi.simi »

Hallo zusammen,

ich habe aktuell das selbe Problem :/ leider

immer wenn ich versuche über den opsi-deploy-agent einen Win10 Client mit einzubinden;
kommt die Fehlermeldung:

Code: Alles auswählen

Deployment to 'pc-ft1' failed: Failed to execute command on host u'pc-ft1.snt.......de': winexe error: Command '/usr/bin/winexe -U 'Administrator%*** confidential ***' //pc-ft17.dom 'cmd.exe /C "del /s /q c:\tmp\opsi-client-agent_inst && rmdir /s /q c:\tmp\opsi-client-agent_inst || echo not found"'' failed (1):
ERROR: Failed to install service winexesvc - NT_STATUS_ACCESS_DENIED
kann mir vielleicht jemand weiter helfen ?
Zuletzt geändert von opsi.simi am 18 Apr 2018, 11:54, insgesamt 1-mal geändert.
bernd670
Beiträge: 90
Registriert: 16 Mär 2018, 10:44

Re: opsi-deploy-client-agent NT_STATUS_ACCESS_DENIED

Beitrag von bernd670 »

Hallo,

da der Service nicht installiert werden kann, ist es möglich das der UAC-Filter für Ferwartung aktiviert ist.

Probier mal folgendes, starte auf dem Win10 Rechner cmd (als Administrator ausführen) und gib folgendes ein

Code: Alles auswählen

reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy
wenn der UAC-Filter deaktiviert ist, sollte folgendes ausgegeben werden
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
LocalAccountTokenFilterPolicy REG_DWORD 0x1
ist das nicht der Fall kann man mit

Code: Alles auswählen

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /D 1
den UAC-Filter deaktivieren. Evtl. ist auch noch ein reboot nötig.

Gruß
Bernd
MfG
Bernd
Benutzeravatar
opsi.simi
Beiträge: 44
Registriert: 30 Okt 2013, 12:01

[GELÖST] opsi-deploy-client-agent NT_STATUS_ACCESS_DENIED

Beitrag von opsi.simi »

Super :) vielen dank das hat geholfen

wenn bei Win10 schaue fehlt der Eintrag LocalAccountTokenFilterPolicy
unter dem Pfad HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system in der Registrie komplett

ich habe mir jetzt die Eintrag als .reg Datei exportiert und werde sie bei meinen Zukünftigen Useren importieren,
anders bekommt man den Eintrag wohl unter Win10 nicht rein.

und siehe da, ich bekomme wieder alle Clients über den Agent eingebunden

SUPI :P
bernd670
Beiträge: 90
Registriert: 16 Mär 2018, 10:44

Re: [GELÖST] opsi-deploy-client-agent NT_STATUS_ACCESS_DENIED

Beitrag von bernd670 »

Hallo,
opsi.simi hat geschrieben:ich habe mir jetzt die Eintrag als .reg Datei exportiert und werde sie bei meinen Zukünftigen Useren importieren,
anders bekommt man den Eintrag wohl unter Win10 nicht rein.
Da es sich um einen Wert unter HKLM handelt, muss der Eintrag nur einmal pro Maschine und nicht pro User, gesetzt werden.
In einer Domäne kann man das ganze auch per GPO lösen. Ansonsten kann man mit reg auch Werte remote setzen. Der Aufruf lautet dann

Code: Alles auswählen

reg add \\<Computername>\HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /D 1
Ich weiß nur nicht ob das funktioniert, solange der UAC-Filter für Fernzugriff aktiv ist.

Eine weitere Möglichkeit wäre ein Powershell-Script.

Gruß
Bernd
MfG
Bernd
Antworten