Dieses Forum ist geschlossen. Vielen Dank für Ihre Beiträge.

Remove From My Forums

msg.exe auch für Domänen-Benutzer erlauben

Frage
0

Anmelden
Hallo Forenmitglieder,

in unserer Firma, in der alle Windows 7 Rechner in einer Domäne sind, ist es nur für Domänen-Administratoren möglich, via msg eine Nachricht an andere Computer zu verschicken, nicht jedoch als normale Domänen-Benutzer. Als Domänenbenutzer kommt es entweder zu der Fehlermeldung

"* ist nicht vorhanden oder Verbindung ist getrennt"

,
wenn der Benutzer auf dem entfernten Rechner nicht als Remotedesktop-Benutzer eingetragen ist, oder wenn er eingetragen ist zur Fehlermeldung

"Fehler beim Senden von Nachricht an Sitzung Console: Fehler 5.Fehler [5]:Zugriff verweigert"

Ich habe schon bis zum Umfallen gegoogled, aber bin auf keine fruchtbare Lösung gestoßen.
Natürlich ist bei den Rechnern der Registrywert AllowRemoteRPC auf "1" gesetzt.
Desweiteren habe ich bereits versucht, auf unserem Windows 2008 R2 Server mit dem Befehl "tsconfig" in den Eigenschaften der Verbindung "RDP-Tcp" im Reiter "Sicherheit" bei den Remotedesktop-Benutzern das Häkchen bei "Nachricht" auf Zulassen gesetzt, dies führte aber leider auch nicht gewünschten Ziel.

Hat noch irgendjemand einen Tipp, wie man normalen Benutzern vermutlich via Group Policy das Recht einräumen kann, Nachrichten via msg.exe zu verschicken?

Viele Grüße
Montag, 28. Oktober 2013 15:36

Alle Antworten

0

Anmelden

Ich kann es jetzt nicht testen, aber die genaue Syntax hast Du eingehalten? http://technet.microsoft.com/en-us/library/cc755358.aspx
Servus
Winfried

Gruppenrichtlinien
WSUS Package Publisher
HowTos zum WSUS Package Publisher

Montag, 28. Oktober 2013 20:28
0

Anmelden
Also der Syntax ist ja: msg /server:PCNAME USER NACHRICHT, das hast du bestimmt schon so geschrieben...

Es können nur Administratoren untereinander oder an Benutzer Nachrichten austauschen, ansonsten, wie du schon bemerkt hast, muss der sendende User, auf dem empfangenden Rechner Remotedesktopbenutzer sein, was auch klar ist, weil das eine Komponente von den TS Diensten ist. Usern eine Nachricht zu schicken die in dieser Form auf dem Desktop auftaucht, sollte eigentlich den Admins vorbehalten sein, und kein Spass für die Mitarbeiter sich gegenseitig MsgBox´en auf den Bildschirm zu zaubern.

Wenn du´s dennoch willst, für doch einfach die Gruppe "Domänen Benutzer" per GPP Jeder lokalen Remotdektopbenutzer Gruppe hinzu, dann kann der Spass beginnen.

Wir haben für sowas Email, oder einen internen Messenger.
- Bearbeitet Thomas Proehl Montag, 28. Oktober 2013 21:56
Montag, 28. Oktober 2013 21:54
0

Anmelden
Danke für die Antwort! Aber wie ich geschrieben habe, habe ich es schon getestet, indem ich einen Kollegen bei mir lokal zur Remotedesktopbenutzer-Gruppe hinzugefügt habe. Dann kam es zur Meldung "Zugriff verweigert" (siehe oben). Für mich bedeutet das, dass die Verbindung in diesem Fall hergestellt wird, aber danach aus irgendeinem Grund abgelehnt wird. Denn wenn der Kollege kein Remotedesktopbenutzer ist, kommt ja "Verbindung ist getrennt".

Solltest du noch eine Idee für eine Einstellung haben, nur raus damit! ;-)

Nebenbei bemerkt: Ist man auf dem anderen Rechner ind er Administratoren-Gruppe, geht es natürlich auch (ohne dass man Domänen-Admin ist).
- Bearbeitet MaceWindu Dienstag, 29. Oktober 2013 06:41
Dienstag, 29. Oktober 2013 06:35
0

Anmelden

Danke für die Antwort! Aber wie ich geschrieben habe, habe ich es schon getestet, indem ich einen Kollegen bei mir lokal zur Remotedesktopbenutzer-Gruppe hinzugefügt habe. Dann kam es zur Meldung "Zugriff verweigert" (siehe oben). Für mich bedeutet das, dass die Verbindung in diesem Fall hergestellt wird, aber danach aus irgendeinem Grund abgelehnt wird. Denn wenn der Kollege kein Remotedesktopbenutzer ist, kommt ja "Verbindung ist getrennt".

In http://blogs.technet.com/b/dmelanchthon/archive/2008/11/07/net-send-ersatz.aspx hat Daniel Melanchthon das Tool zwar vorgestellt, aber wenn ich das so richtig herausgelesen habe ist das nur für Terminalserver. Evtl. hilft dir dieses Tool ja weiter: http://www.ntsend.freeserve.co.uk/
Servus
Winfried

Gruppenrichtlinien
WSUS Package Publisher
HowTos zum WSUS Package Publisher

Dienstag, 29. Oktober 2013 07:40
0

Anmelden

Das löst leider mein Problem nicht...ich suche immer noc nach der Sicherheitseinstellung, die msg für normale Benutzer verhindert, nicht nach anderen Tools...und in dem Artikel von Melanchton steht dazu leider gar nichts...

Dienstag, 29. Oktober 2013 07:53
0

Anmelden

Am 29.10.2013 schrieb MaceWindu:

Das löst leider mein Problem nicht...ich suche immer noc nach der Sicherheitseinstellung, die msg für normale Benutzer verhindert, nicht nach anderen Tools...und in dem Artikel von Melanchton steht dazu leider gar nichts...

Mit Hilfe des Process Monitor kannst Du auf die Suche nach einem
ACCESS DENIED gehen. Evtl. kommst Du damit weiter.

Servus
Winfried

Gruppenrichtlinien
WSUS Package Publisher
HowTos zum WSUS Package Publisher

Montag, 4. November 2013 06:12
0

Anmelden

Hallo MaceWindu,

bist Du weitergekommen?

Gruss,

Alex
Alex Pitulice, MICROSOFT
Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

Dienstag, 5. November 2013 11:41
0

Anmelden

Hallo,

leider noch nicht. Ich bin aber auch noch nicht dazugekommen, den Process Monitor wie von Winfried vorgeschlagen, zu nutzen. Ob es mein Problem löst, weiß ich allerdings auch nicht, selbst wenn er mir "Access Denied" sagt.

Habe auch einen Thread im amerikanischen technet aufgemacht, aber auch dort konnte mir niemand etwas sagen, was ich nicht bereits in meiner Erklärung erwähnt habe...

Hast du noch einen Vorschlag?

Gruß,

Sandro

Dienstag, 5. November 2013 13:56
0

Anmelden

leider noch nicht. Ich bin aber auch noch nicht dazugekommen, den Process Monitor wie von Winfried vorgeschlagen, zu nutzen. Ob es mein Problem löst, weiß ich allerdings auch nicht, selbst wenn er mir "Access Denied" sagt.

Wenn Du ein Access Denied bekommst, kannst Du darauf reagieren und Berechtigungen vergeben. Damit anschließend kein Access Denied mehr kommt und Du, bzw. deine Anwender, mit dem Programm arbeiten können.

Servus
Winfried

Gruppenrichtlinien
WSUS Package Publisher
HowTos zum WSUS Package Publisher

Dienstag, 5. November 2013 14:14
0

Anmelden

Ich will ja nichts unversucht lassen und habe mir den Process Monitor runtergeladen.
Anbei die Ausgabe, hoffe du kannst was damit anfangen Winfried!

Der abgeschnittene, nicht identifizierbare Eintrag in der Result-Spalte lautet "FILE LOCKED WITH ONLY READERS", sofern das noch wichtig sein sollte...

Dienstag, 5. November 2013 14:37
0

Anmelden

> Anbei die Ausgabe, hoffe du kannst was damit anfangen Winfried!

Eher nicht - das lief auf dem Client, wo Du msg.exe aufgerufen hast,

oder? Auf dem Zielsystem würde vmtl. mehr bringen.

Und Du solltest Dir mal

http://technet.microsoft.com/en-us/library/cc753032.aspx durchlesen. Das

Senden von Nachrichten muß berechtigt werden...

Martin

NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
And if IT bothers me - coke bottle design refreshment :))

Dienstag, 5. November 2013 14:56
0

Anmelden
Danke schon mal für deine Hilfe! Auf dem Zielsystem sieht man überhaupt keine Ausgabe, die mit der Nachricht zu tun hat...

"Desweiteren habe ich bereits versucht, auf unserem Windows 2008 R2 Server mit dem Befehl "tsconfig" in den Eigenschaften der Verbindung "RDP-Tcp" im Reiter "Sicherheit" bei den Remotedesktop-Benutzern das Häkchen bei "Nachricht" auf Zulassen gesetzt, dies führte aber leider auch nicht gewünschten Ziel."

Wie in meinem Anfangspost geschrieben, habe ich das schon versucht! ;-)
Ich habe wirklich viel gegoogled! :D

Nachtrag: Ich habe überlegt, mal mit Wireshark mitzusniffern, sowohl bei mir als auch beim Zielcomputer, aber letztendlich bringt das auch ncht viel oder? Der zeigt mir ja auch nicht an, woran es liegt, sondern nur, dass die Berechtigung fehlt...

Könnte es etwas grundlegendes sein, das ich vergesse? Muss eine bestimmte Rolle auf dem Server installiert sein, oder geht es mit Active Directory allein?

Nachtrag 2: Wenn ich vom AD-Server aus die Computerverwaltung auf dem Zielrechner starte, dann bekomme ich die Meldung, dass die Ereignisanzeige keine Verbindung mit dem Computer herstellen kann, weil der RPC-Server nicht verfügbar ist.
Ich kann aber nach Bestätigung der Nachricht mit "OK" schon in der Computerverwaltung arbeiten...
Das nur, falls das auch relevant sein sollte...
- Bearbeitet MaceWindu Mittwoch, 6. November 2013 10:34
Mittwoch, 6. November 2013 08:00