none
(System) Schriften installieren erlauben via Gruppenrichtlinie RRS feed

  • Frage

  • Hallo,

    Kollegen aus unserer Grafikabteilung müssen (System) Schriftarten installieren.
    Jedoch haben besagte Kollegen keine lokalen Administratorrechte auf ihren PCs (Win7 64bit).

    Ist es möglich per GPO vorzugeben, dass meine Kollegen aus der Grafikabteilung Schriften installieren dürfen/können ohne lokaler Administrator zu sein ?

    Viele Grüße

    Roland

    Montag, 8. September 2014 12:21

Antworten

  • Moin,

    der Fonts ist eine geschützte Systemdatei. Du musst in deinem Script also als erstes die Flags rausnehmen. Aus dem Kopf etwa so:

    attrib –r –s %windir%\Fonts
    TAKEOWN /S System /U domäne\Administrator /P kennwort /F %windir%\Fonts /R /A
    icacls %windir%\Fonts /grant Administrators:F /t /c

    Bedenke dass du elevated sein musst, wenn du bei Windows 7 die UAC an hast, um die Befehle auszuführen.


    VG

    Sebastian

    • Als Antwort markiert Roland_Schmid Mittwoch, 10. September 2014 14:55
    Mittwoch, 10. September 2014 11:02
  • > TAKEOWN /S System /U domäne\Administrator /P kennwort /F %windir%\Fonts /R /A
     
    TAKEOWN /F %windir%\Fonts /R
    icacls %windir%\Fonts /grant *S-1-5-18:(OI)(CI)F /t /c
    reicht völlig :)
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    • Als Antwort markiert Roland_Schmid Mittwoch, 10. September 2014 14:56
    Mittwoch, 10. September 2014 14:12
    Beantworter

Alle Antworten

  • Hi,

    Am 08.09.2014 um 14:21 schrieb Roland_Schmid:

    Ist es möglich per GPO vorzugeben, dass meine Kollegen aus der
    Grafikabteilung Schriften installieren dürfen/können

    Ja, du musst nur im Dateisystem und der Registry die Rechte anpassen
    -> %windir%\Fonts\
    -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts

    Die Rechte kannst du per GPO verteilen:
    http://www.gruppenrichtlinien.de/artikel/zentrale-vergabe-lokaler-berechtigungen/

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Montag, 8. September 2014 12:37
  • Hi,

    habe in Gruppenrichtlinien in der entsprechenden OU die Registrierung und Dateisystem angepasst.
    Darf dennoch keine Schriftarten installieren als normaler User.
    Übersehe ich etwas?

    Viele Grüße
    Roland

    Montag, 8. September 2014 13:58
  • > habe in Gruppenrichtlinien in der entsprechenden OU die Registrierung
    > und Dateisystem angepasst.
     
    ...und den Client danach neu gebootet und geprüft, daß Deine Änderung
    auch auf dem Client ankommt?
     
    > Darf dennoch keine Schriftarten installieren als normaler User.
     
    Wie gehst Du vor? Was für eine Meldung erscheint bei welcher Aktion?
    ("Darf nicht" ist etwas spärlich als Beschreibung :-))
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Montag, 8. September 2014 15:10
    Beantworter
  • Guten Morgen,

    ja, Client neugebootet. Im Anschluß den Richtlinienergebnissatz gecheckt auf betreffendem Computer. Die GPO Einstellung wird übernommen, allerdings mit Fehler.
    In der Datei %windir%\security\logs\winlog.log steht folgendes:

    ----Dateisicherheit wird konfiguriert...
    	Konfigurieren von c:\windows\fonts.
    Warnung 5: Zugriff verweigert
     	Fehler beim Einstellen der Sicherheit auf c:\windows\fonts.
    
    	Konfiguration der Dateisicherheit wurde erfolgreich abgeschlossen

    Beim Versuch eine Schrift zu installieren bekomme ich diese Fehlermeldung:
    (die Schrift ist gültig)

    Mich irriert etwas, dass nicht Aussage, dass nicht ausreichend Arbeitsspeicher zur Verfügung stehen soll. Der Client hat 8GB RAM.

    Viele Grüße
    Roland

    Dienstag, 9. September 2014 07:29
  • Hi

    Am 09.09.2014 um 09:29 schrieb Roland_Schmid:

        Konfigurieren von c:\windows\fonts.
    Warnung 5: Zugriff verweigert
          Fehler beim Einstellen der Sicherheit auf c:\windows\fonts.

    Dann kennst du ja das Problem ;-)
    Ohne Schreibrechte in FONTS geht es nicht.

    Du musst jetzt also solange basteln, bis der User Schreibrechte in \Fonts hat.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Dienstag, 9. September 2014 07:42
  • > Ohne Schreibrechte in FONTS geht es nicht.
     
    ...und SYSTEM hat keine Schreibrechte in Fonts und deshalb kannst Du die
    Dateisicherheit nicht per GPO setzen. Works as designed :-)
     
    Da hilft nur ein Startskript, das per takeown erst mal den Besitz von
    Fonts übernimmt und dann die Rechte setzt.
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Dienstag, 9. September 2014 09:01
    Beantworter
  • SYSTEM hat Vollzugriff im Gruppenrichtlinienobjekt.
    d.h. die Einstellung wird ignoriert oder bleibt unwirksam ?

    Gibt es einen Grund, warum man Dateisicherheit nicht per GPO setzen kann ?

    Viele Grüße
    Roland

    Dienstag, 9. September 2014 10:08
  • Am 09.09.2014 um 12:08 schrieb Roland_Schmid:

    SYSTEM hat Vollzugriff im Gruppenrichtlinienobjekt.

    An der Stelle ist es egal.

    Gibt es einen Grund, warum man Dateisicherheit nicht per GPO setzen kann ?

    ... weil die GPO als SYSTEM auf dem LOKALEN Computer verarbeitet wird.
    Das System hat aber leider unter .\Fonts selber keine Berechtigungen und deswegen darf es die Rechte nicht ändern.

    Ich hatte vorher nicht nachgeschaut, "normalerweise" würde es gehen, wenn das SYSTEM auf der lokalen Ressource ändern darf.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Dienstag, 9. September 2014 10:26
  • > Ich hatte vorher nicht nachgeschaut, "normalerweise" würde es gehen,
    > wenn das SYSTEM auf der lokalen Ressource ändern darf.
     
    Ja. Wir sind auch schon öfter drüber gestolpert, weil es im Dateisystem
    und der Registrierung ab Vista ein ganzes Rudel von Orten gibt, wo
    System keinen Vollzugriff mehr hat, sondern nur noch der TrustedInstaller.
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Dienstag, 9. September 2014 10:32
    Beantworter
  • > Ohne Schreibrechte in FONTS geht es nicht.
     
    Da hilft nur ein Startskript, das per takeown erst mal den Besitz von
    Fonts übernimmt und dann die Rechte setzt.
     

    gibt's eine Anleitung, Buch oder ebook über startscripte ?
    startscripte schreiben ist nicht unser täglich brot.

    Viele Grüße
    Roland

    Dienstag, 9. September 2014 13:08
  • > gibt's eine Anleitung, Buch oder ebook über startscripte ?
    > startscripte schreiben ist nicht unser täglich brot.
     
    Gugg mal meine Signatur :)
     
    Und was ist schon ein Startskript? Eine Batchdatei, die die
    erforderlichen Befehle enthält und per GPO (Computerkonfig - Richtlinine
    - Windows-Einstellungen -Skripts - Starten) ausgeführt wird...
     
    takeown /?
    icacls /?
     
    verraten Dir die entsprechenden Befehle.
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Dienstag, 9. September 2014 13:44
    Beantworter
  • Am 09.09.2014 um 15:08 schrieb Roland_Schmid:

    gibt's eine Anleitung, Buch oder ebook über startscripte ?
    startscripte schreiben ist nicht unser täglich brot.

    Die kannst du auch per GPO mitgeben
    http://www.gruppenrichtlinien.de/artikel/anmelde-skripte/

    Eine Batchdatei mit Takeown.exe, also einer einzigen Textzeile werdet ihr sicherlich auch ohne Buch hinkriegen ;-)

    Die Rechte kannst du ja widerum per GPO setzen, Hauptsache, das SYSTEM hat erst mal Vollzugriff auf Fonts.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Dienstag, 9. September 2014 14:01
  • Hallo,

    ich habe ein Startskript angelegt im GPO unter Computerkonfiguration - Richtlinien - Windowseinstellungen - Skripts (Start/Herunterfahren) - Starten

    Mein Skript hat folgende Zeile:
    TAKEOWN /System /U domöne\Administrator /P kennwort /F %windir%\Fonts /R /A

    Im Windows 7 Testclient in der Datei winlogon unter %windir%\security\logs steht beim heutigen Datum immer noch Warnung 5: Zugriff verweigert
    c:\windows\font

    Wo kann ich einsehen, welche Ereignisse geschehen beim abarbeiten des startskriptes ?
    Habe ich ein Fehler in takeown Zeile ?

    Viele Grüße
    Roland

    Gruppenrichtlinienvorlage gpt00002.inf verarbeiten.
    -------------------------------------------
    Mittwoch, 10. September 2014 11:18:03
    ----Konfigurationsmodul wurde erfolgreich initialisiert.----
    
    ----Konfigurationsvorlageninformationen werden gelesen...
    
    
    ----Benutzerrechte werden konfiguriert...
    	Konfigurieren von S-1-5-32-544.
    	Konfigurieren von S-1-5-32-545.
    	Konfigurieren von S-1-1-0.
    	Konfigurieren von S-1-5-11.
    	Konfigurieren von S-1-5-21-1181662981-745839402-4292706147-500.
    
    	Konfiguration der Benutzerrechte wurde erfolgreich abgeschlossen.
    
    
    ----64-Bit-Registrierungsschlüssel werden konfiguriert...
    	Konfigurieren von machine\software\microsoft\windows nt\currentversion\fonts.
    
    	Konfiguration der Registrierungsschlüssel wurde erfolgreich abgeschlossen.
    
    
    ----32-Bit-Registrierungsschlüssel werden konfiguriert...
    	Konfigurieren von machine\software\microsoft\windows nt\currentversion\fonts.
    
    	Konfiguration der Registrierungsschlüssel wurde erfolgreich abgeschlossen.
    
    
    ----Dateisicherheit wird konfiguriert...
    	Konfigurieren von c:\windows\fonts.
    Warnung 5: Zugriff verweigert
     	Fehler beim Einstellen der Sicherheit auf c:\windows\fonts.
    
    	Konfiguration der Dateisicherheit wurde erfolgreich abgeschlossen.
    
    
    ----Allgemeine Diensteinstellungen werden konfiguriert...
    	Konfigurieren von wuauserv.
    	Konfigurieren von BITS.
    
    	Konfiguration allgemeiner Diensteinstellungen wurde erfolgreich abgeschlossen.
    
    
    ----Verfügbare Anlagenmodule werden konfiguriert...
    
    	Konfiguration der Anlagenmodule wurde erfolgreich abgeschlossen.
    
    
    ----Sicherheitsrichtlinien werden konfiguriert...
    	Konfigurieren der Kennwortinformationen.
    	Konfigurieren der Informationen der erzwungenen Abmeldung.
    
    	Konfiguration des Systemzugriffs wurde erfolgreich abgeschlossen.
    
    	Die Konfiguration der Registrierungswerte wurde erfolgreich abgeschlossen.
    
    	Konfiguration des Überwachungsprotokolls wurde erfolgreich abgeschlossen.
    
    
    ----Verfügbare Anlagenmodule werden konfiguriert...
    
    	Konfiguration der Anlagenmodule wurde erfolgreich abgeschlossen.
    
    
    ----Konfigurationsmodul wird deinitialisiert...
    
    dies ist das letzte Gruppenrichtlinienobjekt.
    

    Mittwoch, 10. September 2014 09:46
  • habe eine möglicherweise blöde Frage.
    warum sehe ich beim Ordner %windir%\fonts in den Eigenschaften keine Sicherheit ? (angemeldet als Administrator)

    Viele Grüße
    Roland

    Mittwoch, 10. September 2014 10:39
  • Moin,

    der Fonts ist eine geschützte Systemdatei. Du musst in deinem Script also als erstes die Flags rausnehmen. Aus dem Kopf etwa so:

    attrib –r –s %windir%\Fonts
    TAKEOWN /S System /U domäne\Administrator /P kennwort /F %windir%\Fonts /R /A
    icacls %windir%\Fonts /grant Administrators:F /t /c

    Bedenke dass du elevated sein musst, wenn du bei Windows 7 die UAC an hast, um die Befehle auszuführen.


    VG

    Sebastian

    • Als Antwort markiert Roland_Schmid Mittwoch, 10. September 2014 14:55
    Mittwoch, 10. September 2014 11:02
  • > ich habe ein Startskript angelegt im GPO unter Computerkonfiguration -
    > Richtlinien - Windowseinstellungen - Skripts (Start/Herunterfahren) -
    > Starten
    >
    > Im Windows 7 Testclient in der Datei winlogon unter
    > %windir%\security\logs//steht beim heutigen Datum immer noch Warnung 5:
    > Zugriff verweigert
    > c:\windows\font
     
    Nur einmal gebootet oder zweimal? Startksripte laufen erst NACH der
    Verarbeitung der Sicherheitseinstellungen... Du könntest daher in Deinem
    Skript nicht nur takeown, sondern auch gleich icacls aufrufen, siehe
    anderer Post von Sebastian.
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Mittwoch, 10. September 2014 11:23
    Beantworter
  • Hi,

    danke für den Code. Jetzt funktioniert es.
    Allerdings klappt es auf einem anderen PC (auch Win7 64bit) nicht.
    Selbes GPO und gleich OU.
    Muss ich für jeden PC eine Skript anlegen ?

    Unter Policies gibt es mehrere Unterordner, sehen aus wie Mac Adressen.
    Welche Bedeutung habe die ?

    Viele Grüße
    Roland

    Mittwoch, 10. September 2014 13:18
  • Moin,

    das Script muss für jeden Rechner einmal laufen. Da du bei takeown ein System angegeben hast, funktioniert esnur für den einen Rechner. Entweder du lässt das weg, oder nutzt %computername%. Diese Ordner haben eindeutige GUIDs, die beim Erstellen eines Gruppenrichtlinienobjekts generiert werden. Du kannst im GPMC sehen, welche GUID ein Gruppenrichtlinienobjekt hat, wenn du es anklickt in dem Reiter Details.

    VG

    Sebastian


    • Bearbeitet Sebastian_HH Mittwoch, 10. September 2014 13:29 Fehler
    Mittwoch, 10. September 2014 13:28
  • > TAKEOWN /S System /U domäne\Administrator /P kennwort /F %windir%\Fonts /R /A
     
    TAKEOWN /F %windir%\Fonts /R
    icacls %windir%\Fonts /grant *S-1-5-18:(OI)(CI)F /t /c
    reicht völlig :)
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    • Als Antwort markiert Roland_Schmid Mittwoch, 10. September 2014 14:56
    Mittwoch, 10. September 2014 14:12
    Beantworter