stefanb
Also ich hab jetzt den Schritt noch mal genau nachvollzogen:
Als Domainadmin installiert und mit dem Domainadmin den Benutzer in die "SuRunners" Gruppe aufgenommen. Benutzer ist auch als Mitglied eingetragen.
Jetzt läuft SuRun.exe zwei mal als Prozess. Einmal als System und einmal als der Benutzer.
Der Benutzer ist nicht als lokaler Benutzer eingetragen.
Ich glaube, dass ich mal versucht habe die DomainUsers als "SuRunner" zu verwenden. :-(
Welche Registry Einträge und Dateien gibt es später von SuRun? Vielleicht gibt es ja irgendwo noch einen falschen Eintrag?
Tschüss
StefanB
Kay
StefanB wrote:
Welche Registry Einträge und Dateien gibt es später von SuRun? Vielleicht gibt es ja irgendwo noch einen falschen Eintrag?
SuRun benutzt die Registry unter HKLM\Security\SuRun, HKLM\Software\SuRun und HKCR\CLSID\{2C7B6088-5A77-4d48-BE43-30337DCA9A86}.
Dateien sind %SysWindir%\SuRun.exe %SysWinDir%\SuRunExt.dll (unter Win32). Unter Win x64 kommen noch %SysWinDir%\SuRun32.bin und %SysWinDir%\SuRunExt32.dll dazu.
Das hat mit dem Problem aber nichts zu tun.
SuRun würde bei großen internationalen Domänen enorm Zeit brauchen, wenn es die Zugehörigkeit des Benutzers auf dem Domänencontroller suchen muss. Deshalb müssen Benutzer direkt in die Gruppen eingetragen werden.
Wenn Du einen Benutzer "Domain\User" direkt in die Gruppe "SuRunners" einträgst, geht SuRun dann?
stefanb
Also schon jetzt schon mal vielen Dank für die Hilfe :-)
Leider hilft das auch nicht. Allerdings wird der Benutzer zuerst als SuRunner und als Benutzer (Domäne) eingetragen. Ich hab dann mal den Benutzer rausgenommen. Der Benutzer ist jetzt nur noch SuRunner. Aber auch das hilft nicht. Sobald ich die Systemsteuerung als Admin starten möchte, soll der Benutzer wieder in die Gruppe SuRunners eingetragen werden, und das geht dann schief...
Tschüss
Stefan B
stefanb
So, noch ein weiterer Test. Wenn der Benutzer nicht bei der Installation eingetragen wurde, dann wird er bei der 1. Abfrage korrekt in die Gruppe eingetragen. Beim 2. Versuch kommt dann schon der Fehler.
Tschüss
StefanB
Kay
Ok, also funktioniert das Eintragen, aber SuRun findet den Benutzer dann nicht mehr in der Gruppe.
Ich habe das hier probiert(alles in VMware): Win2003 Server Enterprise Edition mit terminal services am laufen als DC; keine besondere Konfiguration. Ein WinXP pro SP3 als Client. Der Client ist im DC als Rechner eingetragen. Keine lokalen Benutzer, nur Domain Benutzer. Die Benutzer werden korrekt in die SuRunners-Gruppe eingetragen und können normal SuRun benutzen. Blöd!
Wenn Du Zeit und Nerven dafür hast, würde ich Dir gern ein SuRun schicken, dass Meldungen in den Debug-Output von Windows schreibt. Da steht dann, warum es den Benutzer nicht findet, der ja in der SuRunners Gruppe steht.
stefanb
Ich hab zwar keine Nerven und Zeit, aber wer hat das schon ;-) Also her mit der Variante!
Die Email-Adresse siehst Du ja, oder?
Tschüss
StefanB
mik-c-os
Kay,
warum baust du nicht genergell die Debug-Funktion für Power-User in Surun rein?
so dass man wenn man probleme hat, es aktivieren kann (ggf. mit pfad zur ausgabe.datei)
das würde eine schnellere Problemerkennung zulassen...
Kay
Mik.c.OS wrote:
warum baust du nicht genergell die Debug-Funktion für Power-User in Surun rein?
Es gibt zu viele Stellen, an denen etwas schief gehen kann.
Der Debug-Output wäre ruck zuck und unübersichtlich voll. ;-)
Aber zu meinem Wunsch an Stefan:
Am Beitrag hängt eine Version von SuRun 1.1.9.9beta, die in den Debug-Output schreibt, welche Gruppen/User sie sucht und wen sie findet.
Damit der Debug-Out nicht zu schnell voll wird, solltest Du im Setup auf der Seite "Programmfilter" alles deaktivieren, das Taskleistensymbol auf Seite "Erweitert" niemandem zeigen und es bei allen SuRunnern auch ausschalten.
"SuRun /Setup" kannst Du immer als Administrator aufrufen und auch Benutzer in die SuRunners Gruppe packen.
Bin gespannt, warum SuRun zickt! :-)
stefanb
Hallo Kay, leider bin ich im Moment zu Unterwegs... Aber wo finde ich den Debug-Ouput? Irgendwie bin ich blind :-(
Allerings funktioniert es ohne Domäne prima :-)
Kay
Der Debug-Output ist eine virtuelle Schnittstelle in Windows.
Sysinternals
DBGView z.B. zeigt Dir den an, und kann den Inhalt als Textdatei speichern.
stefanb
Guten Morgen,
folgendes gibt SuRun aus:
00000153 3.03167677 [3352] IsInGroup(SuRunners,RG\sbr) init.
00000154 3.04741716 [3352] F:\SuRun\UserGroups.cpp(195): IsInGroup(SuRunners,RG\sbr): User: SuRunners SUCCESS!
00000155 3.04764676 [3352] IsInGroup(SuRunners,RG\sbr) exit: 16 ms
00000156 3.14423227 [2368] F:\SuRun\SuRunExt\SuRunext.cpp(974): Attach(hInst=10000000) 2368:C:\WINDOWS\SuRun.exe["C:\WINDOWS\SuRun.exe" control], NOAdmin, SetHook=0
00000157 3.14731121 [2368] IsInGroup(SuRunners,RG\sbr) init.
00000158 3.15651441 [2368] F:\SuRun\UserGroups.cpp(195): IsInGroup(SuRunners,RG\sbr): User: SuRunners SUCCESS!
00000159 3.15659738 [2368] IsInGroup(SuRunners,RG\sbr) exit: 9 ms
00000160 3.15688372 [2368] IsInGroup(SuRunners,RG\sbr) init.
00000161 3.16509509 [2368] F:\SuRun\UserGroups.cpp(195): IsInGroup(SuRunners,RG\sbr): User: SuRunners SUCCESS!
00000162 3.16517830 [2368] IsInGroup(SuRunners,RG\sbr) exit: 8 ms
00000163 3.20091486 [4596] F:\SuRun\SuRunExt\SuRunext.cpp(981): Attach(hInst=10000000) 4596:C:\WINDOWS\SuRun.exe[C:\WINDOWS\SuRun.exe /AskPID 2368], ADMIN
00000164 3.20186186 [4596] IsInGroup(SuRunners,RG\sbr) init.
00000165 3.21435761 [4596] F:\SuRun\UserGroups.cpp(207): IsInGroup(SuRunners,RG\sbr): NetUserGetLocalGroups failed: 5(0x00000005): Zugriff verweigert
00000166 3.21435761 [4596]
00000167 3.21444678 [4596] IsInGroupDirect(SuRunners,RG\sbr) init.
00000168 3.21658134 [4596] F:\SuRun\UserGroups.cpp(168): IsInGroupDirect(SuRunners,RG\sbr): User: RG\SBr mismatch
00000169 3.21666384 [4596] IsInGroupDirect(SuRunners,RG\sbr) exit: 2 ms
00000170 3.21674395 [4596] IsInGroup(SuRunners,RG\sbr) exit: 15 ms
00000171 3.21689701 [4596] IsInGroup(SuRunners,RG\sbr) init.
00000172 3.22423959 [4596] F:\SuRun\UserGroups.cpp(207): IsInGroup(SuRunners,RG\sbr): NetUserGetLocalGroups failed: 5(0x00000005): Zugriff verweigert
00000173 3.22423959 [4596]
00000174 3.22432137 [4596] IsInGroupDirect(SuRunners,RG\sbr) init.
00000175 3.22623801 [4596] F:\SuRun\UserGroups.cpp(168): IsInGroupDirect(SuRunners,RG\sbr): User: RG\SBr mismatch
00000176 3.22632027 [4596] IsInGroupDirect(SuRunners,RG\sbr) exit: 2 ms
00000177 3.22640204 [4596] IsInGroup(SuRunners,RG\sbr) exit: 10 ms
00000178 3.25303626 [4596] IsInGroup(SuRunners,RG\sbr) init.
00000179 3.28089595 [4596] F:\SuRun\UserGroups.cpp(207): IsInGroup(SuRunners,RG\sbr): NetUserGetLocalGroups failed: 5(0x00000005): Zugriff verweigert
00000180 3.28089595 [4596]
00000181 3.28105974 [4596] IsInGroupDirect(SuRunners,RG\sbr) init.
00000182 3.28322053 [4596] F:\SuRun\UserGroups.cpp(168): IsInGroupDirect(SuRunners,RG\sbr): User: RG\SBr mismatch
00000183 3.28331900 [4596] IsInGroupDirect(SuRunners,RG\sbr) exit: 2 ms
00000184 3.28421021 [4596] IsInGroup(SuRunners,RG\sbr) exit: 31 ms
00000185 3.28558183 [4596] IsInGroup(Administratoren,RG\sbr) init.
00000186 3.29397368 [5376] F:\SuRun\SuRunExt\SuRunext.cpp(981): Attach(hInst=10000000) 5376:C:\WINDOWS\SuRun.exe[C:\WINDOWS\SuRun.exe /WATCHDOG SRD_d7747b9 Default], ADMIN
00000187 3.29454303 [5376] F:\SuRun\WatchDog.cpp(222): DoWatchDog(SRD_d7747b9,Default) on WinSta0\Default
00000188 3.29470778 [5376] F:\SuRun\WinStaDesk.cpp(109): CloseDesktop failed: 170(0x000000AA): Die angeforderte Ressource wird bereits verwendet.
00000189 3.29470778 [5376]
00000190 3.29692721 [4596] F:\SuRun\UserGroups.cpp(207): IsInGroup(Administratoren,RG\sbr): NetUserGetLocalGroups failed: 5(0x00000005): Zugriff verweigert
00000191 3.29692721 [4596]
00000192 3.29833770 [4596] IsInGroupDirect(Administratoren,RG\sbr) init.
00000193 3.29862165 [4596] F:\SuRun\UserGroups.cpp(168): IsInGroupDirect(Administratoren,RG\sbr): User: RG_SBR_01\Administrator mismatch
00000194 3.29871869 [4596] F:\SuRun\UserGroups.cpp(168): IsInGroupDirect(Administratoren,RG\sbr): User: RG\Domänen-Admins mismatch
00000195 3.29881239 [4596] IsInGroupDirect(Administratoren,RG\sbr) exit: 2 ms
00000196 3.30120254 [4596] IsInGroup(Administratoren,RG\sbr) exit: 15 ms
00000197 3.30441475 [4596] F:\SuRun\UserGroups.cpp(518): NetLocalGroupGetMembers failed: 2220(0x000008AC): Der Gruppenname konnte nicht gefunden werden.
00000198 3.30441475 [4596]
00000199 3.38052678 [3352] IsInGroup(SuRunners,RG\sbr) init.
00000200 3.39286470 [3352] F:\SuRun\UserGroups.cpp(195): IsInGroup(SuRunners,RG\sbr): User: SuRunners SUCCESS!
Hoffe, Du kannst damit was anfangen.
Tschüss
StefanB
Kay
Das lokale Systemkonto scheint nicht berechtigt zu sein, die Lokalen Gruppen von "RG\sbr" aufzulisten.
Microsoft schreibt dazu:
[indent]If you call this function on a domain controller that is running Active Directory, access is allowed or denied based on the access control list (ACL) for the securable object. The default ACL permits all authenticated users and members of the "Pre-Windows 2000 compatible access" group to view the information. If you call this function on a member server or workstation, all authenticated users can view the information. [/indent]
Also scheint SYSTEM kein authenticated user zu sein. Hmmm.
Bin am Suchen, was da gemacht werden kann.
Kay
Ich habe das Problem lokalisiert.
Das "lokale System" darf tatsächlich im Netzwerk nicht enumerieren.
Ein Fix wird in den nächsten Tagen von mir hier gepostet.
stefanb
Klasse! Freue mich schon drauf, SuRunner hier einzusetzen :-)
Kay
Hoffentlich ist das Problem gelöst.
Probier bitte mal das hier:
http://forum.kay-bruns.de/post/878
Kay
Wie isses? Geht's?