Ich versuche, das Microsoft Application Compatibility Toolkit 5.6 (Version 5.6.7320.0) zum Laufen zu bringen, aber ich schaffe es nicht, dass die Datensammler in die ACT-Protokollfreigabe schreiben.
Die Konfiguration ist wie folgt.
Maschine: ACT-Server
Domäne: meinedomäne.beispiel.com
Betriebssystem: Windows 7 Enterprise 64-Bit Edition
Windows-Firewall-Konfiguration: Datei- und Druckerfreigabe (SMB-In) ist für öffentliche, Domänen- und private Netzwerke aktiviert ACT-Protokollfreigabe: ACT-
Freigabeberechtigungen*:
Gruppen-/Benutzernamen Berechtigungen zulassen ------------------------------------------ Jeder hat volle Kontrolle Vollständiger Administratorzugriff Domänenadministratoren – Vollzugriff Administratoren Vollzugriff Anonyme Anmeldung Vollzugriff
Ordnerberechtigungen*:
Gruppen-/Benutzername Berechtigungen zulassen Anwenden auf
-------------------------------------------------
ANONYME ANMELDUNG Lesen, schreiben und ausführen Dieser Ordner, Unterordner und Dateien
Domänenadministratoren Vollzugriff Dieser Ordner, Unterordner und Dateien
Jeder kann diesen Ordner, Unterordner und Dateien lesen, schreiben und ausführen
Administratoren Vollzugriff Dieser Ordner, Unterordner und Dateien
CREATOR OWNER Volle Kontrolle Unterordner und Dateien
SYSTEM Vollzugriff Dieser Ordner, Unterordner und Dateien
INTERAKTIV Ordner durchsuchen / Dieser Ordner, Unterordner und Dateien
Datei ausführen,
Ordner auflisten / Daten lesen,
Attribute lesen,
Erweiterte Attribute lesen,
Dateien erstellen / Daten schreiben,
Ordner anlegen / Daten anhängen,
Attribute schreiben,
Schreiben Sie erweiterte Attribute,
Unterordner und Dateien löschen,
Lösch- und Leseberechtigungen
SERVICE (dasselbe wie INTERAKTIV)
BATCH (dasselbe wie INTERACTIVE)
*Mir ist völlig bewusst, dass diese Berechtigungen überzogen sind, aber das ist nicht der Punkt dieser Frage.
Einige der Clients, auf denen der Data Collector läuft, sind Domänenmitglieder, andere nicht. Ich gehe davon aus, dass es sich hier um ein Problem mit den Dateifreigabeberechtigungen von Windows oder mit der Netzwerkzugriffsrichtlinie handelt, aber ich könnte mich natürlich irren.
Meines Wissens läuft der Datensammler im Sicherheitskontext des SYSTEM-Kontos, das für Domänenmitglieder im Netzwerk als MYDOMAIN\machineaccount angezeigt wird. Aus der Lektüre zahlreicher Dokumentationen weiß ich außerdem, dass das Festlegen der ANONYMOUS LOGON-Berechtigungen wie oben beschrieben diesen Computerkonten und nicht zur Domäne gehörenden Computern den Zugriff auf die Freigabe ermöglichen sollte.
Um die Konnektivität zu testen, habe ich die virtuelle Maschine (VM) im Windows XP-Modus auf ACT-Server eingerichtet. In der VM habe ich eine Eingabeaufforderung geöffnet, die als SYSTEM ausgeführt wird (mit dem alten „at“-Befehlstrick). Ich habe diese Eingabeaufforderung verwendet, um explorer.exe auszuführen. In dieser Windows Explorer-Instanz habe ich \ACT-Server\ACT in die Adressleiste eingegeben und wurde dann zur Eingabe der Anmeldeinformationen aufgefordert. Das Ziel war jedoch, nicht dazu aufgefordert zu werden. Ich habe auch den Befehl „net use /delete“ im Eingabeaufforderungsfenster verwendet, um Verbindungen zur ACT-Server\IPC$-Freigabe jedes Mal zu löschen, wenn mein Verbindungsversuch fehlschlug.
Ich habe dafür gesorgt, dass die entsprechenden Ausnahmen
Da ACT-Server ein Domänenmitglied ist, ist die Sicherheitsrichtlinie „Netzwerkzugriff: Freigabe- und Sicherheitsmodell für lokale Konten“ auf „Klassisch – lokale Benutzer authentifizieren sich als sie selbst“ eingestellt. Trotzdem habe ich versucht, das Gastkonto zu aktivieren und ihm Berechtigungen für die Freigabe hinzuzufügen, ohne Erfolg.
Was übersehe ich hier? Wie erlaube ich anonyme Anmeldungen bei einem freigegebenen Ordner, um meine ACT-Datensammler dazu zu bringen, ihre Daten korrekt abzulegen? Bin ich überhaupt auf dem richtigen Weg oder liegt das Problem woanders?
Antwort1
Fügen Sie in den Sicherheitsoptionen der lokalen Sicherheitsrichtlinie des Servers den Namen der ACT-Protokollfreigabe zur Richtlinie „Netzwerkzugriff: Freigaben, auf die anonym zugegriffen werden kann“ hinzu. In diesem Fall wäre das einfach „ACT“ (ohne Anführungszeichen).
Antwort2
Folgefrage. In meiner \AppCompat\-Freigabe befinden sich viele Dateien von vielen verschiedenen Rechnern, aber der einzige Computer, der im „Microsoft Application Compatibility Manager“ angezeigt wird, ist der einzige Computer, auf dem ich es manuell ausgeführt habe. Ich habe es erfolgreich über GPO herausgeschoben und wie gesagt befinden sich in der \AppCompat\-Freigabe Unmengen von Dateien von vielen verschiedenen Rechnern. Aber nur 1 PC wird im „Data Collection Manager“ angezeigt, also habe ich nur Daten von einem Rechner.
Hier beantwortet: Anwendungskompatibilitätsclients werden nicht in der MSSQL-Datenbank angezeigt, jedoch in \AppCompat\