locked
Отказ в доступе к шаре при запуске скрипта при помощи ГП RRS feed

  • Вопрос

  • Доброго времени суток!
    Ситуация такова:
    Контроллер домена под 2008R2.
    При запуске скрипта из Конфигурация компьютера\Конфигурация Windows\Сценарии (запуск/завершение) — Автозагрузка происходит отказ в доступе к шаре.

    Шара на сервере 2003 который не в домене.

    Клиентские машины под ХР.
    Изначально скрипт должен был запустить екзешник, расположенный на этой шаре.
    Потом для эксперимента пробовал просто скопировать этот экзешникс шары на локальнный диск.
    И потом пробовал примапить эту шару

    net use z: \\server\sharename pasword /user:sasha /persistent:no

    Всё безрезультатно ((
    И что интересно, когда все эти варианты скриптов запускаешь локально на машине (когда уже произведён вход) то всё отрабатывает нормально.
    Подскажите пожалуйста как решить данную проблему?
    Заранее благодарен!

    11 октября 2012 г. 8:36

Ответы

  • Если задание запускается от System, то оно не будет иметь доступ к сети. Используйте network service или полноценную учетную запись.
    • Помечено в качестве ответа Yuriy Lenchenkov 26 октября 2012 г. 11:40
    11 октября 2012 г. 8:43
  • Создайте группу, добавьте туда компьютеры, на которых нужно запускать скрипт и назначьте разрешения этой группе на шару, ну собственно все то, что сказал Роман :)
    • Помечено в качестве ответа Yuriy Lenchenkov 26 октября 2012 г. 11:40
    11 октября 2012 г. 9:09

Все ответы

  • Создайте группу, добавьте туда компьютеры, на которых нужно запускать скрипт и назначьте разрешения этой группе на шару, ну собственно все то, что сказал Роман :)
    • Помечено в качестве ответа Yuriy Lenchenkov 26 октября 2012 г. 11:40
    11 октября 2012 г. 9:09
  • А не могли бы поподробнее рассказать как использовать network service или полноценную учетную запись?

    Заранее благодарен!

    11 октября 2012 г. 9:15
  • Где создать группу?

    И где назначить разрешения?

    Ведь комп с шарой не в домене...

    Заранее благодарен за ответ!

    11 октября 2012 г. 9:16
  • Создайте группу, добавьте туда компьютеры, на которых нужно запускать скрипт и назначьте разрешения этой группе на шару, ну собственно все то, что сказал Роман :)

    Обратите внимание, что файловый сервер не в домене. Придется открывать на сервере гостевой доступ (разблокировать учетную запись Гостя без пароля, разрешать в политиках безопасности доступ к серверу по сети для Гостя), чтобы выполнять такое подключение. Если хотите использовать команду net use с паролем, то настраивайте сценарий не как startup script, а как logon script, т.е. выполняющийся в контексте пользователя.
    11 октября 2012 г. 9:23
  • Гость разблокирован.

    Доступ из сети гостю разрешен.

    А вот сценарий мне нужно выполнять как startup script, т. к. нужны административные права при его выполнении.

    11 октября 2012 г. 9:32
  • Еще разрешения на файловую шару и разрешения NTFS должны позволять, как минимум, чтение для Гостя (или для группы Everyone -Все). Еще раз проверьте две локальных политики безопасности (на сервере в рабочей группе): Allow Log on to this computer from network и Deny log on to this computer from network. В первой Гость должен быть, во второй - нет.
    • Изменено osr_MVP 11 октября 2012 г. 10:15
    11 октября 2012 г. 9:48
  • На шару Everyone - Read.

    Разрешения NTFS у Гостя чтение и выполнение.

    В разрешении доступа из сети есть группа в которую входит Гость.

    В запрете нет ни Гостя ни группы в которую он входит.

    И в принципе гостевой доступ к этой шаре работает, т.е. когда в проводнике вбиваешь \\server\sharename заходит на эту шару, учитывая что текущий пользователь АДшный, т.е. в локальных пользователя сервера на котором поднята шара его конечно же нет.

    Но это к сожалению работает только когда произведём вход в систему от System работать не хочет ((

    11 октября 2012 г. 11:25
  • Тогда попробуйте разрешить полностью анонимные подключения. Признаюсь, последний раз делал это очень давно, поэтому что-то могу пропустить. Замените разрешения для Гостя на разделяемую папку и на файловую систему NTFS на те же разрешения для группы Everyone. Выполните следующие настройки в локальной политике безопасности на файловом сервере (в рабочей группе):

    User Rights Assignment
    Access this computer from the network - в списке должна быть группа Everyone

    Security Settings
    Network access: Let Everyone permissions apply to anonymous users - Enabled
    Network access: Restrict anonymous access to Named Pipes and Shares - Disabled
    Network access: Shares that can be accessed anonymously - перечислите папки, разделяемые для анонимного доступа

    Сообщите результат.



    • Изменено osr_MVP 11 октября 2012 г. 12:07
    11 октября 2012 г. 11:51
  • Получилось, но эти изменения полностью противоречат нашим политикам безопасности ((

    11 октября 2012 г. 12:17
  • Тогда включайте данный сервер в домен.
    11 октября 2012 г. 12:19
  • Тогда включайте данный сервер в домен.

    Я так понимаю другой альтернативы нет? ((
    11 октября 2012 г. 12:21
  • Прошу прощения, прочитал между строк(( 
    11 октября 2012 г. 20:50
  • SANIOK_AV  удалось решить проблему?

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    17 октября 2012 г. 10:34