Hallo,
Aktuell haben wir ein Problem mit OPSI.
Seit kurzem ist es uns nicht mehr möglich, auf frisch aufgesetzten Windows-PC´s OPSI zu installieren.
Das service_setup script läuft ganz normal druch. Anschließend wird verlangt die "vc_red.msi" zu installieren. Dies tritt immer nur beim ersten Installationsversuch auf. OPSI läuft weiter durch und verlangt dann die Eingabe des OPSI admin-Benutzers und admin-Passworts. Danach läuft auch alles weiter bis zu dem Punkt, an dem die Installation abbricht und die Meldung erscheint:" Error : Copy of files are failed - Did you run this script with elevated rights ' as administrator' - aborting ". Der springende Punkt ist: Das ganze geschieht auf einem lokalem Adminstator-Benutzer mit neu aufgesetztem Windows. Zwischenzeitlich konnte das Problem mit Verwendung des Domänen-Administrators umgangen werden, jedoch ist das mittlerweile, aus Sicherheitsgründen, nicht mehr zulässig. Ich hoffe jemand hat da eine zündende Idee.
Danke im Vorraus!
Lokaler Admin besitzt keine "elevated rights"
-
Jan.Schmidt
- Beiträge: 439
- Registriert: 08 Jul 2017, 12:02
Re: Lokaler Admin besitzt keine "elevated rights"
Moin,
Irgendeiner hat irgendwas NICHt gemacht und seitdem der NIX gemacht hat, ist eine GPO aktiv die euch da in die Suppe spuckt.
Opsi ist nur derPunkt, wo euch das aufgefallen ist - nicht Ursache.
Und dann - falls es doch keine GPO ist....
So große Hersteller wie HP - die es eigentlich besser wissen müssten, haben lange Zeit das OS so vermurkst, dass der admin immer eine dosbox mit dem Titel administror hatte - was falsch fälscher am Kuhjausten ist.
Vielleicht haben die ja endlich dazugelernt und du muß cmd rechtsklick starten als admin eingeben um das machen zu können was du da vorhast?!
BTW: OutoftheBox Windoofe wollen andere "Varianten der Windowspatche" als wie vlsc Windoofe - nur falls du einen Wsus betreiben solltest
Das würde ich anhand der Beschreibung negieren.Aktuell haben wir ein Problem mit OPSI.
Irgendeiner hat irgendwas NICHt gemacht und seitdem der NIX gemacht hat, ist eine GPO aktiv die euch da in die Suppe spuckt.
Opsi ist nur derPunkt, wo euch das aufgefallen ist - nicht Ursache.
Und dann - falls es doch keine GPO ist....
Das hört sich verdammt nach "ich kauf nen Rechner, hebe den in die Domain und mach das opsi gedöhnse über ein Script" an und nicht nach "Ich hab nen Rechner, trage den im OPSI ein und mach von da aus ein Windoof drauf und fertich ist der Lack"service_setup script läuft ganz normal druch. Anschließend wird verlangt die "vc_red.msi" zu installieren. Dies tritt immer nur beim ersten Installationsversuch auf. OPSI läuft weiter durch und verlangt dann die Eingabe des OPSI admin-Benutzers und admin-Passworts.
So große Hersteller wie HP - die es eigentlich besser wissen müssten, haben lange Zeit das OS so vermurkst, dass der admin immer eine dosbox mit dem Titel administror hatte - was falsch fälscher am Kuhjausten ist.
Vielleicht haben die ja endlich dazugelernt und du muß cmd rechtsklick starten als admin eingeben um das machen zu können was du da vorhast?!
BTW: OutoftheBox Windoofe wollen andere "Varianten der Windowspatche" als wie vlsc Windoofe - nur falls du einen Wsus betreiben solltest
Re: Lokaler Admin besitzt keine "elevated rights"
Okei, um es einmal genauer zu beschreiben, so wie es da steht war es nicht gut genug beschrieben Entschuldigung.
Lange Zeit lief die Installation von Opsi nur mit dem Domain Admin, was an sich ja kein Problem ist. Aufgrund einer Netzwerkumstellung und neuer Sicherheitsrichtlinien ist dies aber nun nicht mehr möglich, sodass wir für die Installation den lokalen Admin nutzen müssen. Dieser hat aber laut Opsi log nicht die benötigten Berechtigungen, sodass das Setup abbricht.
Um es zu verdeutlichen: Das Setup bricht an dem Punkt "Files_copy_winst" ab, hier will das Skript die winst Dateien nach "copy -sc "%SCRIPTPATH%\opsi-winst\*.*" "$INST_WinstDir$"" kopieren. Was an sich ja kein Problem sein sollte, weil sowohl der Domain Admin als auch der lokale Admin Vollzugriff auf diesen Pfad, bzw. Ordner hat.
Meine eigentliche Frage ist somit, weiß hier jemand in wiefern bzw. ob Opsi in die Berechtigungstruktur eingreift wenn dieser PC in einer Domain ist ?Sodass der lokale Admin nicht mehr genügend Berechtigung hat ?
Vor Domain Join ist es nämlich ohne Probleme möglich Opsi mit dem lokalen Admin zu installieren.
Und zum Abschluss, danke für die Antwort, aber deine "Lösungen oder Anregungen" bringen mich kein Stück weiter, ich bin sehr wohl in der Lage, das Skript oder ähnliches als Admin zu starten und auszuführen. Diese Wege wurden aber alle schon ausprobiert und sind fehlgeschlagen, sonst hätte ich hier nicht einen Foreneintrag erstellt.
Wenn es hilft kann ich auch gern die Logfile zu Verfügung stellen, damit hier mehr Klarheit herrscht und nicht über "Windoof" diskutiert wird.
Lange Zeit lief die Installation von Opsi nur mit dem Domain Admin, was an sich ja kein Problem ist. Aufgrund einer Netzwerkumstellung und neuer Sicherheitsrichtlinien ist dies aber nun nicht mehr möglich, sodass wir für die Installation den lokalen Admin nutzen müssen. Dieser hat aber laut Opsi log nicht die benötigten Berechtigungen, sodass das Setup abbricht.
Um es zu verdeutlichen: Das Setup bricht an dem Punkt "Files_copy_winst" ab, hier will das Skript die winst Dateien nach "copy -sc "%SCRIPTPATH%\opsi-winst\*.*" "$INST_WinstDir$"" kopieren. Was an sich ja kein Problem sein sollte, weil sowohl der Domain Admin als auch der lokale Admin Vollzugriff auf diesen Pfad, bzw. Ordner hat.
Meine eigentliche Frage ist somit, weiß hier jemand in wiefern bzw. ob Opsi in die Berechtigungstruktur eingreift wenn dieser PC in einer Domain ist ?Sodass der lokale Admin nicht mehr genügend Berechtigung hat ?
Vor Domain Join ist es nämlich ohne Probleme möglich Opsi mit dem lokalen Admin zu installieren.
Und zum Abschluss, danke für die Antwort, aber deine "Lösungen oder Anregungen" bringen mich kein Stück weiter, ich bin sehr wohl in der Lage, das Skript oder ähnliches als Admin zu starten und auszuführen. Diese Wege wurden aber alle schon ausprobiert und sind fehlgeschlagen, sonst hätte ich hier nicht einen Foreneintrag erstellt.
Wenn es hilft kann ich auch gern die Logfile zu Verfügung stellen, damit hier mehr Klarheit herrscht und nicht über "Windoof" diskutiert wird.
-
NorbertKoch
- Beiträge: 132
- Registriert: 26 Aug 2021, 08:37
Re: Lokaler Admin besitzt keine "elevated rights"
Hallo Starlord,
dass es nach dem Domainjoin nicht funktioniert lässt aber schon auf eine Policy-Richtlinie schließen.
Schau doch mal in der/den Policy/ies die greifen unter Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Eingeschränkte Gruppen nach.
Und hier eine interessante Seite zum Thema: https://www.gruppenrichtlinien.de/artik ... htigungen/
dass es nach dem Domainjoin nicht funktioniert lässt aber schon auf eine Policy-Richtlinie schließen.
Schau doch mal in der/den Policy/ies die greifen unter Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Eingeschränkte Gruppen nach.
Und hier eine interessante Seite zum Thema: https://www.gruppenrichtlinien.de/artik ... htigungen/
Liebe Grüße
Norbert
Norbert
-
Jan.Schmidt
- Beiträge: 439
- Registriert: 08 Jul 2017, 12:02
Re: Lokaler Admin besitzt keine "elevated rights"
Hi,
nix 4 ungut,aber ob ich hybsch so schreibe oder windoof so - das hat doch nix mit diskutieren zu tun.
Wenn es aber NACH dem Domainjoin anders ist als vorher - dann ist doch eigentlich jede diskussion überflüssig?
Übrigens:
Wie man sowas wieder retournieren kann - siehe der Tipp von Robert Koch - ist eine ganz fiese Nummer.
Ja geht, nein geht nicht dass "wir" dir helfen etwas auszuhebeln, was jemand - der da wo du arbeitest ausgedacht hast um die Sicherheit zu erhöhen.
Solche "Spielchen" können ganz schnell nach hinten losgehen und zu einem
"Gehen Sie nicht über Los, sondern direkt zur Personalabteilung und unterschreiben Sie Ihre Abmahnung" werden.
Wenn der da keine Ausnahme gelten läßt, dann ist das zwar tragisch aber dann mußt du halt eine Gehaltsetage höher dein Problem vortragen.
Wenn es so ist -dann ist das so und je nachdem wo diese GPO verbunden ist - gäbe es z.B einen Ansatz den Du dem vortragen könntest der Sinngemäß so lauten könnte.
OPSI MASCHINEN werden über OPSI immer in der OU freshinstall in die AD gehoben. Dort gilt die GPO nicht und ein Job überwacht dieses OU, meldet die darin vorhandenen Maschinen und ein opsi Paket verschiebt die Maschinen in die OU wo die Sicherheit wieder gilt.
Damit wäre sichergestellt, das ein OPSI auf der Maschine läuft, und das verschieben in eine sichere OU nicht zu problemen mit dem Setup führt.
Maschinen, die "jemand" anderes in das AD hebt landen ja immer in der OU Computer, der kann dieses "aufheben Ihrer Sicherheit" nicht ausnutzen.
Mehr Tipps gebe ich nicht und weitere Tipps wären auch nicht nötig und ob du damit klarkommst, wie ich die Welt sehe oder nicht und ob ich von deinem Gehalt was kriege, weil "ich" da deinen Job mache auch da diskutiere ich nicht mit niemandem.
nix 4 ungut,aber ob ich hybsch so schreibe oder windoof so - das hat doch nix mit diskutieren zu tun.
Wenn es aber NACH dem Domainjoin anders ist als vorher - dann ist doch eigentlich jede diskussion überflüssig?
Übrigens:
Da fragt man üblicherweise den, der diese Sicherheitsgründe etabliert hat wie und was da läuft.jedoch ist das mittlerweile, aus Sicherheitsgründen, nicht mehr zulässig. Ich hoffe jemand hat da eine zündende Idee.
Wie man sowas wieder retournieren kann - siehe der Tipp von Robert Koch - ist eine ganz fiese Nummer.
Ja geht, nein geht nicht dass "wir" dir helfen etwas auszuhebeln, was jemand - der da wo du arbeitest ausgedacht hast um die Sicherheit zu erhöhen.
Solche "Spielchen" können ganz schnell nach hinten losgehen und zu einem
"Gehen Sie nicht über Los, sondern direkt zur Personalabteilung und unterschreiben Sie Ihre Abmahnung" werden.
Wenn der da keine Ausnahme gelten läßt, dann ist das zwar tragisch aber dann mußt du halt eine Gehaltsetage höher dein Problem vortragen.
Wenn es so ist -dann ist das so und je nachdem wo diese GPO verbunden ist - gäbe es z.B einen Ansatz den Du dem vortragen könntest der Sinngemäß so lauten könnte.
OPSI MASCHINEN werden über OPSI immer in der OU freshinstall in die AD gehoben. Dort gilt die GPO nicht und ein Job überwacht dieses OU, meldet die darin vorhandenen Maschinen und ein opsi Paket verschiebt die Maschinen in die OU wo die Sicherheit wieder gilt.
Damit wäre sichergestellt, das ein OPSI auf der Maschine läuft, und das verschieben in eine sichere OU nicht zu problemen mit dem Setup führt.
Maschinen, die "jemand" anderes in das AD hebt landen ja immer in der OU Computer, der kann dieses "aufheben Ihrer Sicherheit" nicht ausnutzen.
Mehr Tipps gebe ich nicht und weitere Tipps wären auch nicht nötig und ob du damit klarkommst, wie ich die Welt sehe oder nicht und ob ich von deinem Gehalt was kriege, weil "ich" da deinen Job mache auch da diskutiere ich nicht mit niemandem.
Re: Lokaler Admin besitzt keine "elevated rights"
Nochmal kurz zum Abschluss dieses Themas, auch wenn es schon etwas länger her ist.
Ich wollte hier keinen Angreifen, bloß mit der Antwort die ich bekommen habe, welche mich so darstellt als ob ich keine Ahnung hätte von dem was ich tue fand ich recht beleidigend, auch wenn es so gar nicht gemeint war.
Eine kurze Vernünftige Antwort wie der Herr Koch beschrieben hat oder Sie zuletzt hätte doch vollkommen ausgereicht und alle meine Fragen beantwortet.
Wie man da dann auf Gehaltsklassen kommt ist mir zudem fraglich, immerhin ist das hier ein offenes Forum und entweder jemand Antwort oder eben nicht, da ergibt es keinen Sinn zu schreiben "Mehr Tipps gebe ich nicht und weitere Tipps wären auch nicht nötig und ob du damit klarkommst, wie ich die Welt sehe oder nicht und ob ich von deinem Gehalt was kriege, weil "ich" da deinen Job mache auch da diskutiere ich nicht mit niemandem." aber egal, interessiert mich auch nicht.
Danke für eure Hilfe, dass Problem wurde nun anders umgangen.
Ich wollte hier keinen Angreifen, bloß mit der Antwort die ich bekommen habe, welche mich so darstellt als ob ich keine Ahnung hätte von dem was ich tue fand ich recht beleidigend, auch wenn es so gar nicht gemeint war.
Eine kurze Vernünftige Antwort wie der Herr Koch beschrieben hat oder Sie zuletzt hätte doch vollkommen ausgereicht und alle meine Fragen beantwortet.
Wie man da dann auf Gehaltsklassen kommt ist mir zudem fraglich, immerhin ist das hier ein offenes Forum und entweder jemand Antwort oder eben nicht, da ergibt es keinen Sinn zu schreiben "Mehr Tipps gebe ich nicht und weitere Tipps wären auch nicht nötig und ob du damit klarkommst, wie ich die Welt sehe oder nicht und ob ich von deinem Gehalt was kriege, weil "ich" da deinen Job mache auch da diskutiere ich nicht mit niemandem." aber egal, interessiert mich auch nicht.
Danke für eure Hilfe, dass Problem wurde nun anders umgangen.
-
Jan.Schmidt
- Beiträge: 439
- Registriert: 08 Jul 2017, 12:02
Re: Lokaler Admin besitzt keine "elevated rights"
Hi,
Je höher die Verantwortung, desto höher das Gehalt.
Wenn du schreibst
Solche Anweisungen kommen gerne vom Datenschutz und meistens mit guten Grund.
Anweisungen können siehe oben aber nur von höheren Gehaltsklassen ausgeben werden, alles ander ist en verhandelbarer Vorschlag.
Meine Zeile besagte - wenn das eine Anweisung ist und die ist mit dem nicht verhandelbar, dann gehe eine Stufe höher und verhandele da dein Problem.
Das ist doch ziemlich simpel?
Je höher die Verantwortung, desto höher das Gehalt.
Wenn du schreibst
Dann hört sich das danach an, das dir / deiner Abteilung jeand gesagt hat - das da ab jetzt nicht mehr machen.
Solche Anweisungen kommen gerne vom Datenschutz und meistens mit guten Grund.
Anweisungen können siehe oben aber nur von höheren Gehaltsklassen ausgeben werden, alles ander ist en verhandelbarer Vorschlag.
Meine Zeile besagte - wenn das eine Anweisung ist und die ist mit dem nicht verhandelbar, dann gehe eine Stufe höher und verhandele da dein Problem.
Wie wurde es denn gelöst - ist hier ja ein freies Forum