UNC-Pfad Verständnissfrage Zugriffsfehler

[Andi_089]

Einen wunderschönen guten Morgen an das gesammte Forum.

Ich habe hier einen Sachverhalt, bei dem ich einfach nicht dahintersteige, warum es sich so verhält.

Ich möchte eine Datei von einem UNC Pfad nach lokal kopieren.
Die Freigabe ist lesend für alle Domänencomputer freigegeben.

Wenn ich mich mittels

Code: Alles auswählen

psexec.exe -s -i cmd.exe

an einer cmd anmelde bin ich ja als "nt-autorität\system" unterwegs.
Wenn ich dann dort den copy Befehl absetzte klappt alles, wie im Screenshot zu sehen.

Jetzt habe ich den selben Befehl in ein opsi-paket gepackt, ganz einfach und billig als shellbatch

Code: Alles auswählen

[ShellBatch_1]

copy c:\test\neu.txt c:\temp\
copy \\verwaltung.ush\dfsush\InstallUSH$\Software\00_Test\Dokument.txt c:\temp\

und hier bekomme ich im Log einen Fehler (siehe Anhang).

Code: Alles auswählen

(146)     [7] [2024-05-17 06:54:06.605] [testprojekt]   Set Showoutput true
(147)     [7] [2024-05-17 06:54:06.605] [testprojekt]   Save to file with encoding: system
(148)     [7] [2024-05-17 06:54:06.605] [testprojekt]   Executing "C:\Windows\system32\\cmd.exe" /C c:\opsi.org\tmp\_opsiscript_3mXdO42Wy7.cmd
(149)     [6] [2024-05-17 06:54:06.606] [testprojekt]   Start Showoutput
(150)     [6] [2024-05-17 06:54:06.624] [testprojekt]   Start process as invoker: SYSTEM
(151)     [6] [2024-05-17 06:54:06.629] [testprojekt]   Started process "C:\Windows\system32\\cmd.exe" with Opt: /C\r\nc:\opsi.org\tmp\_opsiscript_3mXdO42Wy7.cmd
(152)     [6] [2024-05-17 06:54:06.735] [testprojekt]   Stop Showoutput
(153)     [7] [2024-05-17 06:54:06.739] [testprojekt]           
(154)     [7] [2024-05-17 06:54:06.739] [testprojekt]           output:
(155)     [7] [2024-05-17 06:54:06.739] [testprojekt]           --------------
(156)     [7] [2024-05-17 06:54:06.739] [testprojekt]           
(157)     [7] [2024-05-17 06:54:06.739] [testprojekt]           C:\Windows\System32>copy c:\test\neu.txt c:\temp\
(158)     [7] [2024-05-17 06:54:06.739] [testprojekt]                   1 Datei(en) kopiert.
(159)     [7] [2024-05-17 06:54:06.739] [testprojekt]           
(160)     [7] [2024-05-17 06:54:06.739] [testprojekt]           C:\Windows\System32>copy \\verwaltung.ush\dfsush\InstallUSH$\Software\00_Test\Dokument.txt c:\temp\
(161)     [7] [2024-05-17 06:54:06.739] [testprojekt]           Der Benutzername oder das Kennwort ist falsch.
(162)     [7] [2024-05-17 06:54:06.739] [testprojekt]   

opsi nimmt ja auch das ganz normale Systemkonto für den Zugriff.
Es ist der selbe Rechner.
Und der selbe Befehl.

Ich stehe hier momentan total auf dem Schlauch.
Hat jemand von euch so etwas schon einmal gesehen?
Und vielleicht sogat eine Lösung?`

EDIT:
Scheinbar darf ich noch keine Anhänge hochladen.
Hier bekomme ich nur die Meldung mein Kontingent wäre bereits vollständig ausgeschöpft.
Sorry.

[SisterOfMercy]

an einer cmd anmelde bin ich ja als "nt-autorität\system" unterwegs.

Really?

EDIT:
Scheinbar darf ich noch keine Anhänge hochladen.
Hier bekomme ich nur die Meldung mein Kontingent wäre bereits vollständig ausgeschöpft.

I can't do that yet either

A couple of things you could do: put the file in the opsi package.

Or get a specific user account that has enough rights and use that.
Something like this:

Code: Alles auswählen

DefVar $share$
DefVar $username$
DefVar $password$
set $share$ = GetProductProperty("share","")
set $username$ = GetProductProperty("username","")
set $password$ = GetConfidentialProductProperty("password","")

comment "Add credentials"
Winbatch_install_password /64Bit
comment "Start setup program"
Files_install /64Bit
Sub_check_exitcode
comment "Remove credentials"	
Winbatch_remove_password /64Bit

[Winbatch_install_password]
"%SystemRoot%\system32\net.exe" use o: $share$ /u:$username$ $password$ /PERSISTENT:NO

[Winbatch_remove_password]
"%SystemRoot%\system32\net.exe" use o: /delete

[Files_install]
copy "$share$\Software\00_Test\Dokument.txt" "c:\temp"

The productproperties for the control file would look like this:
Of course you could always hardcode these values.

Code: Alles auswählen

[ProductProperty]
type: unicode
name: share
multivalue: False
editable: True
description: This setting determines which share the product will be installed from.
values: ["\\\\verwaltung.ush\\dfsush\\InstallUSH$"]
default: ["\\\\verwaltung.ush\\dfsush\\InstallUSH$"]

[ProductProperty]
type: unicode
name: username
multivalue: False
editable: True
description: This setting determines which username will be used to access the share.
values: ["ush\\username"]
default: ["ush\\username"]

[ProductProperty]
type: unicode
name: password
multivalue: False
editable: True
description: This setting determines which password will be used to access the share.
values: ["password"]
default: ["password"]

Using a files sections for copying stuff is much easier than doing it in a shellbatch, btw.

Of course the above script is just a snippet, so no idea if it works as-is. You might have to play around a bit with the net use command.

[Andi_089]

Vielen Dank für deine Antwort.

Ja, die Option einen Pfad per net use als Laufwerk einzubinden kannte ich schon.
Auch unter Angabe eines Benutzers/Passworts.

Ich möchte halt gerne verstehen, warum ich per cmd Zugriff habe (wenn ich sie per "psexec.exe -s -i cmd.exe" im Kontext des SYSTEM starte) und opsi eben nicht.
Obwohl dann beide cmd Instanzen als SYSTEM laufen.

[SisterOfMercy]

Ich möchte halt gerne verstehen, warum ich per cmd Zugriff habe (wenn ich sie per "psexec.exe -s -i cmd.exe" im Kontext des SYSTEM starte) und opsi eben nicht.
Obwohl dann beide cmd Instanzen als SYSTEM laufen.

I would guess it's some microsoft thing.. I don't know, I would think a local SYSTEM account would not have access on another system.

[Andi_089]

Danke nochmals für die Antwort.

Wie geschrieben, wenn ich die cmd am PC per psexec starte und zwar mit den Parametern

Code: Alles auswählen

psexec.exe -s -i cmd.exe

dann bin ich als "nt-autorität\system" in der cmd eingeloggt, lässt sich auch leicht per whoami prüfen.

Und dann kann ich auch die Datei vom angegebenen Netzwerkpfad per UNC kopieren.
Die Freigabe ist ja lesend für Domänencomputer freigegeben.

Wenn ich allerdings den Kopierbefehl in ein opsi-Script schreibe und das Paket dann ausführen lasse, kommt er mit der Fehlermeldung "Der Benutzername oder das Kennwort ist falsch".

Obwohl opsi die Befehle auch im Kontext des Systems laufen lässt.

Ich würde hier jetzt schon fast einen Bug seitens opsi vermuten.

[Andi_089]

Hallo nochmal alle zusammen,

in den Tiefen des Forums bin ich doch noch auf den Grund gestoßen.

viewtopic.php?p=50663#p50663

Der wichtigste Satz aus dem Post wäre dann:

Der DOSBatch kommt als Benutzer pcpatch an

Folglich läuft die cmd schon als "nt authority\system" meldet dem Dateiserver aber "pcpatch" als Benutzer.

Frage hierzu an die Experten, kann man da was machen?
Oder gibt es hier Gründe, dass das so gewollt ist?

Zumindest kann ich jetzt wieder ruhig schlafen

[ThomasT]

Sehr schön in den Tiefen des Forums gefunden....
Wenn du noch etwas tüfteln willst, dann gäbe es noch das
Net Use \\UNC\path /user:uname password vor dem copy befehl zu setzen, ist halt auch nicht so richtig hübsch... oder du schmeißt was in die anmeldeinformationsverwaltung per cmdkey /add HOSTFQDN /user:DOMAIN\user /pass:password

[Andi_089]

Vielen Dank für die Antowort.
Ja, Net Use kannte ich schon, verwende ich auch gerne.
Ich hole mir aus den Properties vom "windomain" Projekt immer die Credentials, dann muss ich die nur an einer Stelle pflegen.

Schöner wäre es schon gewesen, wenn ich einfach per UNC lesend auf einen Freigbepfad hätte zugreifen können ohne net use, Benutzer, Passwort usw.
Aus diesem Grund hab ich die Freigabe auch lesend für Domänencomputer freigegeben.

Evtl. kann man das mal als Feature einbauen, dass man den übergebenen Benutzername (in diesem Fall pcpatch) einstellen kann.
Bzw. das im Manual vermerkt, dass es so is.