Здрассьте. Много читал форум, но всё не то.

Настроена политика на группу пользователей. Всё выполняется, кроме запуска батников через сценарий входа с полными правами SYSTEM.
На самом деле пути существуют и доступны.

При запуске такой проблемной машины имеем следующие ошибки в Group Result на юзера и машину:



Тип события: Ошибка
Источник события: UserInit
Категория события: Отсутствует
Код события: 1000
Дата: 17.02.2009
Время: 9:57:59
Пользователь: Н/Д
Компьютер: B
Описание:
Не удалось выполнить следующий сценарий: \\[путь]\regs\sntp\sntp_cl\sntp_au.bat. Отказано в доступе.
.


Тип события: Ошибка
Источник события: UserInit
Категория события: Отсутствует
Код события: 1000
Дата: 17.02.2009
Время: 9:57:56
Пользователь: Н/Д
Компьютер: B
Описание:
Не удалось выполнить следующий сценарий: \\[путь]\REGS\store\store_off.bat. Отказано в доступе.
.



Тип события: Ошибка
Источник события: Userenv
Категория события: Отсутствует
Код события: 1030
Дата: 17.02.2009
Время: 9:57:23
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: B
Описание:
Не удалось запросить данный список объектов групповой политики. Сообщение, описывающее причину, уже было помещено в журнал обработчиком политики.


Тип события: Ошибка
Источник события: Userenv
Категория события: Отсутствует
Код события: 1058
Дата: 17.02.2009
Время: 9:57:22
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: B
Описание:
Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики cn={AB298A86-3D1B-475B-84E1-881854EB5E7E},cn=policies,cn=system,DC=[домен],DC=LOCAL. Этот файл должен находиться в <\\[домен]\SysVol\[домен]\Policies\{AB298A86-3D1B-475B-84E1-881854EB5E7E}\gpt.ini>. (Указанное сетевое имя более недоступно. ). Обработка групповой политики прекращена.



Причем не применяются запуски сценариев с дефолтовой(общей политики домена) и политики конкретной группы.

Куда рыть? Чего смотреть?

Попробуйте дать доступ Прошедшим аутентификацию и посмотрите исчезнет ли ошибка. Если да, то проблема в разрешениях на доступ.

Дал полный доступ, но результат тот же. Что же ещё может быть?

полный доступ к чему? К файлу или к папке? Что должно делаться в bat-нике? Если там требуется записать какие либо данные в файл, то посмотрите доступ к тому файлу в который должна записываться инф-я

через сценарий входа с полными правами SYSTEM »
учетная запись SYSTEM не имеет доступа к сетевым папкам. Если идет обращение к сети, скрипт не выполнится.

для доступа из под SYSTEM треба дать права на шару учетке компьютера или группе "Компьютеры домена"

Батники запускают рег-файлы. Вот один:


regedit /s \\[сетевой путь]\regs\store\store_off.reg


Но ведь нет доступа именно к батнику...

Папка с батниками на самом деле лежит в сети.
Права дал группе "Компьютеры домена" для папки с батниками.
Не помогло.
Как вариант.. можно попробывать замапировать диск(чтобы не явно по сети было) через GPO, но это как-то не стильно :)

Права дал группе "Компьютеры домена" для папки с батниками.
Не помогло. »
в смысле не помогло?... опять ошибка "отказано в доступе"?
Папка с батниками на самом деле лежит в сети. »если батник запускается из сети, все ссылки на другие файлы тоже должны быть в UNC-формате, или другими словами - такой батник не будет искать файлы в текущем каталоге, подробно: Cmd.exe does not support UNC names as the current directory (http://support.microsoft.com/kb/156276)

Для Конфигурации Компьютера (т.е. запуск скриптов от имени SYSTEM) попробуй вот это (http://forum.oszone.net/thread-130709.html). Мне помогло.

попробуй вот это »
в домене открывать доступ анонимным пользователям нет необходимости, лучше разобраться с правами

На самом деле пути существуют и доступны. »
С проблемной машины пробовали зайти и запустить батник? Какой результат был?

в смысле не помогло?... опять ошибка "отказано в доступе"? »

да. та же самая ошибка. но видимо трабла именно с правами, потому что на какие-то тачки применилась политика, на какие-то - нет. Юзеры и тачки - в одной группе, причем те, у кого применилась, в группе с теми, у кого не применилась. Права равные в домене. Так же как и локально. Какие ещё смотреть настройки?
если батник запускается из сети, все ссылки на другие файлы тоже должны быть в UNC-формате, или другими словами - такой батник не будет искать файлы в текущем каталоге, подробно: Cmd.exe does not support UNC names as the current directory »

Батник на самом деле запускает элементарный регфайл. Содержимое которого представлено свыше.

to Dimas_83: да. как вариант. но хотелось бы вопрос добить.

Помотрите групповые политики
Админ шаблоны\Система\Запретить использование коммандной строки\Запретить также обработку сценариев в коммандной строке
должно быть нет. Я как то на этом сел.

Ну и вот еще:
Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики cn={AB298A86-3D1B-475B-84E1-881854EB5E7E},cn=policies,cn=system,DC=[домен],DC=LOCAL. Этот файл должен находиться в <\\[домен]\SysVol\[домен]\Policies\{AB298A86-3D1B-475B-84E1-881854EB5E7E}\gpt.ini>. (Указанное сетевое имя более недоступно. ). Обработка групповой политики прекращена.

Может еще быть проблема в: DNS, WINS, Контроллере домена, не верно настроенном tcp/ip на стороне клиента.

Помотрите групповые политики
Админ шаблоны\Система\Запретить использование коммандной строки\Запретить также обработку сценариев в коммандной строке
должно быть нет. Я как то на этом сел. »

что-то не нашёл. точно такой путь? зашел на computer setting - administrative templates - system
нету...
Может еще быть проблема в: DNS, WINS, Контроллере домена, не верно настроенном tcp/ip на стороне клиента. »

днс для тачек запущен и раздает имена по IP
винс не юзается
Контроллер домена... что там может?...
насторйки tcp/ip различается только ipшниками

ЗЫ я короче фигею... применяются минут по 10 политики(при этом висят тачки)... а где-то вообще не применяются.. :shot:

я короче фигею »
короче - запускаешь CMD (или FAR) локально с правами SYSTEM и отлаживаешь свой батник - проверяешь доступ к шарам, ошибки при выполнении и т.п. когда вручную все заработает (особенно с проблемных компов), тогда можно будет двигаться дальше - политики и т.п. Для запуска прог под SYSTEM используй PsExec (http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx) от Microsoft:
PsExec -s CMD"

Цитата artem_:
Помотрите групповые политики
Админ шаблоны\Система\Запретить использование коммандной строки\Запретить также обработку сценариев в коммандной строке
должно быть нет. Я как то на этом сел. »
что-то не нашёл. точно такой путь? зашел на computer setting - administrative templates - system
нету... »
Это политика пользователя а не машины

Присоединяюсь к amel27.

Для начала попробуйте regedit /s \\[сетевой путь]\regs\store\store_off.reg всю это хрень из файла store_off.reg запихнуть в один файл и не использовать никаких сетевых путей в сценариях. Или переписать на VBScript.

Вот к примеру отклюение флешек


On Error Resume Next

Set WshShell = CreateObject("WScript.Shell")

val = WshShell.RegRead ("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor\Start")

If val = 3 Then
WshShell.RegWrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor\Start", 4, "REG_DWORD"
End If


И не тулите сразу кучу скриптов а подкидывайте по одному.