Page 1 of 1
Registry-Fehler bei PersonalBackup
Posted: 08. Dec 2005, 15:17
by Holoubek
Hallo,
wir wollen nun auch PersonalBackup im größerem Rahmen verteilen. Leider habe ich das Problem, dass die Sicherung die Registry-Infos nicht sichert, sondern eine Fehlermeldung "Registry deaktiviert. ...." ausgibt.
Wir haben in unserer Domäne per GPO die Nutzung des Richtlinieneditors für den Benutzer gesperrt. Hebe ich diese Sperre auf, funktioniert alles.
Was muss ich tun, um PersonalBackup auch im Usermode (ohne diese Sicherheitsfunktion zu deaktivieren) nutzen zu können.
Posted: 08. Dec 2005, 19:59
by Hendrik_Ambrosius
Das ist nicht möglich, da PBackup.exe immer im Userkontext läuft.
Selbst wenn man die PBackup.exe über den SetupService startet und dann Admin-Rechte zur Verfügung stehen würde das nicht viel helfen, da dieser User dann nicht auf die HKCU-Einträge des Users zugreifen kann.
Registryfehler
Posted: 08. Dec 2005, 21:16
by Holoubek
Das ist ja wirklich dumm!
Habe bereits darüber nachgedacht, ob ich einen Workaround finde.
Die Idee war, vor Start von PBackup den RegistryWert zu ändern und nach der Sicherung den Key wieder zu setzen. Leider konnte ich den Key (mittels EmpirumPaket) nicht ändern. Liegt anscheinend an den begrenzten Rechten auf den Key HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System.
Nun wollte ich mittels RegDacl.Add die Rechte auf den o.a. Key erweitern. Leider bekomme ich aber den Windows-Fehler 87.
Kann der Befehl RegDacl.Add nicht für den o.g. Key genutzt werden, und was gibt es für Alternativen?
Re: Registryfehler
Posted: 09. Dec 2005, 09:52
by Walter_Schulz
Holoubek wrote:Das ist ja wirklich dumm!
Habe bereits darüber nachgedacht, ob ich einen Workaround finde.
Die Idee war, vor Start von PBackup den RegistryWert zu ändern und nach der Sicherung den Key wieder zu setzen. Leider konnte ich den Key (mittels EmpirumPaket) nicht ändern. Liegt anscheinend an den begrenzten Rechten auf den Key HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System.
Nun wollte ich mittels RegDacl.Add die Rechte auf den o.a. Key erweitern. Leider bekomme ich aber den Windows-Fehler 87.
Kann der Befehl RegDacl.Add nicht für den o.g. Key genutzt werden, und was gibt es für Alternativen?
Dies wurde in diesem Thread diskutiert:
http://www.matrix42.de/forum/viewtopic. ... highlight=
Ciao!
Walter Schulz
Posted: 12. Dec 2005, 21:51
by Holoubek
Hallo Herr Schulz,
können Sie mir bitte die Setup.inf und die Batch-Dateien zur Verfügung stellen?
Vielen Dank
Posted: 13. Dec 2005, 09:47
by Walter_Schulz
Holoubek wrote:Hallo Herr Schulz,
können Sie mir bitte die Setup.inf und die Batch-Dateien zur Verfügung stellen?
Vielen Dank
Die muesste ich erstmal schreiben und testen, da das vorgestellte Verfahren bis jetzt nur Theoriegebilde ist. Mit AD geht es bedeutend einfacher.
Wie dringend ist es denn?
Ciao!
Walter Schulz
Posted: 13. Dec 2005, 15:54
by Holoubek
Hallo Herr Schulz,
leider (wie ja in der EDV-Branche üblich) sehr dringend!
Vielen Dank
Posted: 13. Dec 2005, 16:19
by Walter_Schulz
Holoubek wrote:Hallo Herr Schulz,
leider (wie ja in der EDV-Branche üblich) sehr dringend!
Vielen Dank
Schaun mer mal ...
Erstmal die Rahmenbedingungen:
Kein AD?
Mehr als ein Benutzerprofil je Rechner vorhanden?
Servergespeicherte Benutzerprofile?
Ciao!
Walter Schulz
Posted: 13. Dec 2005, 16:26
by Willi Weber
Hallo Herr Schulz,
die Profile sind lokal! Die Änderung soll nur für den z.Z. angemeldeten Benutzer gelten. AD ist vorhanden (GPO´s dürfen nicht geändert werden), deshalb der Umweg.
Danke
Posted: 13. Dec 2005, 17:09
by Walter_Schulz
Willi Weber wrote:Hallo Herr Schulz,
die Profile sind lokal! Die Änderung soll nur für den z.Z. angemeldeten Benutzer gelten. AD ist vorhanden (GPO´s dürfen nicht geändert werden), deshalb der Umweg.
Danke
Die Aenderungen nur fuer den z. Z. angemeldeten Benutzer einzutragen, waere kontraproduktiv. Dies ist eindeutig in der verlinkten Beschreibung beschrieben: Der Job muss im Kontext des Setup-Dienstes laufen, setzt also entweder ein einmaliges Aendern aller lokal vorhandenen Profile voraus oder einen Empirum-Job auf FORCE, der *immer* durchlaufen wird und immer (bei jeder Anmeldung) laufen muss.
Bitte lesen Sie sich noch mal meinen Loesungsansatz durch. Vielleicht brauchen Sie etwas anderes, z. B. den von Jens Beimel vorgeschlagenen Weg.
Ehrlich: GPOs, die nicht veraendert werden duerfen, gibt es nicht. Es gibt vielleicht GPOs, die nur mit sehr hohem Aufwand geaendert werden duerfen.
Und nun gibt es zwei Moeglichkeiten: Die GPOs werden veraendert oder es wird etwas verwendet, das es noch nicht gibt (da ich es erst bauen und testen muss) und fuer das es keine Wartung gibt (das kann und werde ich nicht anbieten; ich bin z. B. ab uebermorgen ohne Internetanschluss.)
Ciao!
Walter Schulz
Posted: 14. Dec 2005, 23:10
by Holoubek
Da die Änderungen nur für eine sehr stark begrenzte Zeit erfolgen sollen, ist eine Änderung der GPO m.E. nicht sinnvoll. Wenn auch nicht zu 100%, so doch zu mindestes 99% des Tages die gewünschte Sicherheit aktiv.
Das Paket soll (als selbstausführendes SetupService-Paket) ausgeführt werden (zu einem durch den Administrator bestimmten ZeitPunkt).