Jump to content

AD Script in der Domain mit administrativen Rechten ausführen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich habe eine Win2k8R2 Domain. Ich fuehre mehrere Script beim Anmelden aus (GPO Anmeldescripte fuer User und Computer). Es gibt allerdings einige, die "administrative" Berechtigungen benötigen. Laufen solche Script bzw. Befehl denn in den GPOs nicht von Haus auf mit administrativen Berechtigungen? Wenn nein, wie könnte man es anstellen solche Script mit höheren Berechtigungen laufen zu lassen.

Beispiel:

"C:\windows\system32\cscript.exe" läuft nicht, auch nicht, wenn ich es unter den GPOs der "Computerkonfiguration" als Startscript hinzufüge.

Link zu diesem Kommentar

Moin,

 

benutzerbezogene Skripte laufen (selbstverständlich) im Kontext des Users ab, der sich anmeldet bzw. angemeldet ist. Wenn du für GPO-Skripte höhere Rechte brauchst, musst du sie als Computerskript laufen lassen. Vorsicht aber: Die laufen als "Local System", sind also unbeschränkt. Die Skripte sollten also gut getestet und kontrolliert sein. Denke dabei auch daran, den Speicherort der Skripte per Berechtigung so einzuschränken, dass nur Admins sie ändern können, sonst jubelt dir schnell jemand was unter.

 

VBScripts kannst du auch direkt als Skripte einbinden, den Aufruf von cscript.exe kannst du dir dann sparen. (Wobei es mir seltsam vorkommt, dass cscript Adminrechte brauchen sollte ...)

 

Gruß, Nils

Link zu diesem Kommentar

...doch, es spuckt eine Hilfe aus :cool:

 

BTW: Anmeldeskripts bei Benutzern mit Adminstrator-Zugehörigkeit laufen mit dem elevated Token, also tatsächlich als Admin. Ist auch immer wieder ein lustiger "Nicht-Fehler", wenn der Admin per Anmeldeskript Netzlaufwerke verbinden will und von EnableLinkedConnections noch nichts gehört hat.

 

Aber das gehört jetzt nicht hierher, wir bewegen uns momentan noch auf einer anderen Ebene.

Link zu diesem Kommentar

Hallo,

ich habe im ersten Thread aus Versehen die Zeile nicht verfollständigt. Hier der komplette Aufruf des Scriptes, welcher nicht läuft (Nach Analyse läuft das Script wie erwähnt nicht in den GPOs der Benutzerkonfiguration\Windows-Einstellungen\Scripts(Anmelden) wegen eingeschränkten Berechtigungen. Ich war mir eben nicht ganz sicher, unter welchem Kontext die Script in dieser GPO laufen. Betrifft das  Ausführen von Scripten im Kontext des Users auch das Anmeldescript im Active Directory Profil des Benutzers? Somit hätte ich wohl wirklich nur die "Computerkonfiguration" als Ausweg.

@echo off

:OSPP
reg query HKLM\Software\Microsoft\Office\14.0\Common\OSPPREARM
if %errorlevel%==1 (goto RUN) else (goto END)

:RUN
set ProgramFilesPath=%ProgramFiles%
"%ProgramFilesPath%\Common Files\microsoft shared\OfficeSoftwareProtectionPlatform\OSPPREARM.EXE"
C:\Windows\system32\cscript.exe "%ProgramFilesPath%\Microsoft Office\Office14\ospp.vbs" /act
set ProgramFilesPath=%ProgramFiles(x86)%
"%ProgramFilesPath%\Common Files\microsoft shared\OfficeSoftwareProtectionPlatform\OSPPREARM.EXE"
C:\Windows\system32\cscript.exe "%ProgramFilesPath%\Microsoft Office\Office14\ospp.vbs" /act
REG ADD "HKLM\Software\Microsoft\Office\14.0\Common\OSPPREARM"

:END
Exit
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...