 |
|
GPO: ошибки выполнения батника при загрузке системы (запуск сценариев)
Здрассьте. Много читал форум, но всё не то.
Настроена политика на группу пользователей. Всё выполняется, кроме запуска батников через сценарий входа с полными правами SYSTEM.
На самом деле пути существуют и доступны.
При запуске такой проблемной машины имеем следующие ошибки в Group Result на юзера и машину:
Код:
Тип события: Ошибка
Источник события: UserInit
Категория события: Отсутствует
Код события: 1000
Дата: 17.02.2009
Время: 9:57:59
Пользователь: Н/Д
Компьютер: B
Описание:
Не удалось выполнить следующий сценарий: \\[путь]\regs\sntp\sntp_cl\sntp_au.bat. Отказано в доступе.
.
Тип события: Ошибка
Источник события: UserInit
Категория события: Отсутствует
Код события: 1000
Дата: 17.02.2009
Время: 9:57:56
Пользователь: Н/Д
Компьютер: B
Описание:
Не удалось выполнить следующий сценарий: \\[путь]\REGS\store\store_off.bat. Отказано в доступе.
.
Тип события: Ошибка
Источник события: Userenv
Категория события: Отсутствует
Код события: 1030
Дата: 17.02.2009
Время: 9:57:23
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: B
Описание:
Не удалось запросить данный список объектов групповой политики. Сообщение, описывающее причину, уже было помещено в журнал обработчиком политики.
Тип события: Ошибка
Источник события: Userenv
Категория события: Отсутствует
Код события: 1058
Дата: 17.02.2009
Время: 9:57:22
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: B
Описание:
Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики cn={AB298A86-3D1B-475B-84E1-881854EB5E7E},cn=policies,cn=system,DC=[домен],DC=LOCAL. Этот файл должен находиться в <\\[домен]\SysVol\[домен]\Policies\{AB298A86-3D1B-475B-84E1-881854EB5E7E}\gpt.ini>. (Указанное сетевое имя более недоступно. ). Обработка групповой политики прекращена.
Причем не применяются запуски сценариев с дефолтовой(общей политики домена) и политики конкретной группы.
Куда рыть? Чего смотреть? |
Попробуйте дать доступ Прошедшим аутентификацию и посмотрите исчезнет ли ошибка. Если да, то проблема в разрешениях на доступ.
|
Дал полный доступ, но результат тот же. Что же ещё может быть?
|
полный доступ к чему? К файлу или к папке? Что должно делаться в bat-нике? Если там требуется записать какие либо данные в файл, то посмотрите доступ к тому файлу в который должна записываться инф-я
|
Цитата:
Цитата Hooty
через сценарий входа с полными правами SYSTEM »
|
учетная запись SYSTEM не имеет доступа к сетевым папкам. Если идет обращение к сети, скрипт не выполнится. |
для доступа из под SYSTEM треба дать права на шару учетке компьютера или группе "Компьютеры домена"
|
Батники запускают рег-файлы. Вот один:
Код:
regedit /s \\[сетевой путь]\regs\store\store_off.reg
Но ведь нет доступа именно к батнику...
Папка с батниками на самом деле лежит в сети.
Права дал группе "Компьютеры домена" для папки с батниками.
Не помогло.
Как вариант.. можно попробывать замапировать диск(чтобы не явно по сети было) через GPO, но это как-то не стильно :) |
Цитата:
Цитата Hooty
Права дал группе "Компьютеры домена" для папки с батниками.
Не помогло. »
|
в смысле не помогло?... опять ошибка "отказано в доступе"?
Цитата:
Цитата Hooty
Папка с батниками на самом деле лежит в сети. »
|
если батник запускается из сети, все ссылки на другие файлы тоже должны быть в UNC-формате, или другими словами - такой батник не будет искать файлы в текущем каталоге, подробно: Cmd.exe does not support UNC names as the current directory |
Для Конфигурации Компьютера (т.е. запуск скриптов от имени SYSTEM) попробуй вот это. Мне помогло. |
в домене открывать доступ анонимным пользователям нет необходимости, лучше разобраться с правами |
Цитата:
Цитата Hooty
На самом деле пути существуют и доступны. »
|
С проблемной машины пробовали зайти и запустить батник? Какой результат был? |
Цитата:
Цитата amel27
в смысле не помогло?... опять ошибка "отказано в доступе"? »
|
да. та же самая ошибка. но видимо трабла именно с правами, потому что на какие-то тачки применилась политика, на какие-то - нет. Юзеры и тачки - в одной группе, причем те, у кого применилась, в группе с теми, у кого не применилась. Права равные в домене. Так же как и локально. Какие ещё смотреть настройки?
Цитата:
Цитата amel27
если батник запускается из сети, все ссылки на другие файлы тоже должны быть в UNC-формате, или другими словами - такой батник не будет искать файлы в текущем каталоге, подробно: Cmd.exe does not support UNC names as the current directory »
|
Батник на самом деле запускает элементарный регфайл. Содержимое которого представлено свыше.
to Dimas_83: да. как вариант. но хотелось бы вопрос добить. |
Помотрите групповые политики
Админ шаблоны\Система\Запретить использование коммандной строки\Запретить также обработку сценариев в коммандной строке
должно быть нет. Я как то на этом сел.
Ну и вот еще:
Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики cn={AB298A86-3D1B-475B-84E1-881854EB5E7E},cn=policies,cn=system,DC=[домен],DC=LOCAL. Этот файл должен находиться в <\\[домен]\SysVol\[домен]\Policies\{AB298A86-3D1B-475B-84E1-881854EB5E7E}\gpt.ini>. (Указанное сетевое имя более недоступно. ). Обработка групповой политики прекращена.
Может еще быть проблема в: DNS, WINS, Контроллере домена, не верно настроенном tcp/ip на стороне клиента.
|
Цитата:
Цитата artem_
Помотрите групповые политики
Админ шаблоны\Система\Запретить использование коммандной строки\Запретить также обработку сценариев в коммандной строке
должно быть нет. Я как то на этом сел. »
|
что-то не нашёл. точно такой путь? зашел на computer setting - administrative templates - system
нету...
Цитата:
Цитата artem_
Может еще быть проблема в: DNS, WINS, Контроллере домена, не верно настроенном tcp/ip на стороне клиента. »
|
днс для тачек запущен и раздает имена по IP
винс не юзается
Контроллер домена... что там может?...
насторйки tcp/ip различается только ipшниками
ЗЫ я короче фигею... применяются минут по 10 политики(при этом висят тачки)... а где-то вообще не применяются.. :shot: |
короче - запускаешь CMD (или FAR) локально с правами SYSTEM и отлаживаешь свой батник - проверяешь доступ к шарам, ошибки при выполнении и т.п. когда вручную все заработает (особенно с проблемных компов), тогда можно будет двигаться дальше - политики и т.п. Для запуска прог под SYSTEM используй PsExec от Microsoft:
|
Цитата:
Цитата Hooty
Цитата artem_:
Помотрите групповые политики
Админ шаблоны\Система\Запретить использование коммандной строки\Запретить также обработку сценариев в коммандной строке
должно быть нет. Я как то на этом сел. »
что-то не нашёл. точно такой путь? зашел на computer setting - administrative templates - system
нету... »
|
Это политика пользователя а не машины
Присоединяюсь к amel27.
Для начала попробуйте regedit /s \\[сетевой путь]\regs\store\store_off.reg всю это хрень из файла store_off.reg запихнуть в один файл и не использовать никаких сетевых путей в сценариях. Или переписать на VBScript.
Вот к примеру отклюение флешек
Код:
On Error Resume Next
Set WshShell = CreateObject("WScript.Shell")
val = WshShell.RegRead ("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor\Start")
If val = 3 Then
WshShell.RegWrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor\Start", 4, "REG_DWORD"
End If
И не тулите сразу кучу скриптов а подкидывайте по одному. |
Время: 08:47.
© OSzone.net 2001-