TM OfficeScan 8 Vista-Berechtigungs-Probleme beim LogIn-Script

[sZone 10]

Hallo zusammen,

 

wir setzen seit geraumer zeit TrendMicro OfficeScan ein. Die Clients beziehen die Updates über ein LogIn Script. Damit wir auch Vista Clients mit OfficeScan bestücken können, haben ich auf die Version 8 gewechselt.

 

Leider klappt es bei den Vista Clients nicht mehr über das LogIn-Script, da dieser Vorgang nicht über genügend Berechtigung verfügt. Es erscheint Systemfehler 1314 bzw. es kommt die Meldung, dass nicht genügend Rechte vorhanden sind.

 

Gibt es unter Vista eine Möglichkeit, dieses Problem zu umgehen?!

 

Gruß

 

sZone

[zahni 521]

Wenn das richtig verstehe, braucht dieser "Updater" Adminrechte. Sonst würde die Meldung nicht kommen. Wie war das denn vorher bei XP ? Haben Eure User Adminrechte ?

 

ich kenne den Virenscanner weiter nicht. Ich kann mir aber nicht vorstellen, dass da keine Funktion gibt, die die Virensignaturen über einen zentralen Server verteilt, wober der User keine Adminrechte zu haben braucht.

 

-Zahni

[sZone 10]

Bei Windows XP Rechnern ist das kein Problem. Da werden bei der Workstationinstallation die User zum lokalen Admin gemacht. So funktioniert der Updater dann auch.

 

Bei Vista habe ich ich es auch so gemacht. Leider scheint bei Vista ein Admin nicht gleich über alle Berechtigungen zu verfügen.

 

Ich habe auch schon bei TrendMicro angerufen. Die haben auch keine Lösung...

[Drew 10]

Bei Vista arbeitet ein Admin standardmässig nur mit normalen Benutzerrechten, schalte die Benutzerkontosteuerung aus, dann hat er immer Admin Rechte.

 

Ich kenne das Produkt zwar nicht, aber alle User zum Admin machen scheint mir keine sehr sichere und gute Lösung zu sein.

[IThome 10]

... und schon gar nicht, wenn es um den ordnungsgemässen Betrieb eines Virenscanners geht :suspect: Ich habe auf meinem Vista-Notebook auch den 8er Client von Trendmicro drauf und benötige für das Update keine Administrationsrechte, da die Signaturen nicht via Loginskript verteilt werden ...

[Stephan Betken 43]

Ich kenne das Produkt zwar nicht, aber alle User zum Admin machen scheint mir keine sehr sichere und gute Lösung zu sein.

Off-Topic:

Das ist auch keine gute Lösung, aber es liegt nicht am Produkt.

Den Virenscanner kann man auch über eine Admin-Konsole installieren. Ob es in einem Computer-Startskript funktioniert, wäre jetzt noch die wichtigste Frage...

[Sunny61 773]

Bei Windows XP Rechnern ist das kein Problem. Da werden bei der Workstationinstallation die User zum lokalen Admin gemacht. So funktioniert der Updater dann auch.

 

Hmm, ich kann mir nicht vorstellen, daß so eine Konstellation Sinn macht. Nur beim Login die Signaturen updaten wäre/ist eigentlich in der heutigen Zeit ein absolutes NoGo.

 

Bei Vista habe ich ich es auch so gemacht. Leider scheint bei Vista ein Admin nicht gleich über alle Berechtigungen zu verfügen.

 

Informiere dich über die UAC: faq-o-matic.net Benutzerkontensteuerung (UAC) richtig einsetzen

 

Ich habe auch schon bei TrendMicro angerufen. Die haben auch keine Lösung...

 

Hast Du denn keine Adminkonsole für TrendMicro? Alternativ könnte man die Signaturen ja auch via Computerstartupscript verteilen, dann gibts kein Problem mit den Berechtigungen. Ist aber IMHO der selbe Unfug wie über ein Loginscript. Wird der Rechner nur einmal pro Woche gestartet, gibts nur einmal pro Woche neue Signaturen.

–

Bei Vista arbeitet ein Admin standardmässig nur mit normalen Benutzerrechten, schalte die Benutzerkontosteuerung aus, dann hat er immer Admin Rechte.

 

Das ist nicht zu empfehlen: faq-o-matic.net Benutzerkontensteuerung (UAC) richtig einsetzen

 

Ich kenne das Produkt zwar nicht, aber alle User zum Admin machen scheint mir keine sehr sichere und gute Lösung zu sein.

 

ACK.

[Stephan Betken 43]

Ist aber IMHO der selbe Unfug wie über ein Loginscript. Wird der Rechner nur einmal pro Woche gestartet, gibts nur einmal pro Woche neue Signaturen.

Nene,

die Signaturen gibt es doch schon regelmässig. Wenn der Client einmal installiert ist, dann ist das Ganze (wie Du bereits treffend bemerkt hast) Unfug. Und für die Installation gibt es viele Wege, wie z. B. auch die Admin-Konsole.

[Sunny61 773]

Nene,

die Signaturen gibt es doch schon regelmässig.

 

Ich zitiere mal aus dem OP:

Die Clients beziehen die Updates über ein LogIn Script.

 

Egal welche Updates damit gemeint sind, ob Signaturen oder Programmupdates, beies so upzudaten ist Unfug. ;)

 

Wenn der Client einmal installiert ist, dann ist das Ganze (wie Du bereits treffend bemerkt hast) Unfug. Und für die Installation gibt es viele Wege, wie z. B. auch die Admin-Konsole.

 

Ohne die man (ich) heute ganz bestimmt nicht mehr arbeiten möchte. ;)

[Stephan Betken 43]

Egal welche Updates damit gemeint sind, ob Signaturen oder Programmupdates, beies so upzudaten ist Unfug. ;)

Da möchte ich dir auch gar nicht widersprechen (ganz im Gegenteil!!! ;)). Aber der TrendMicro bezieht seine Updates trotzdem vom dem Server, wenn es nicht explizit abgeschaltet ist (auch, wenn der TO sich dessen vielleicht nicht bewusst ist).

[Sunny61 773]

Da möchte ich dir auch gar nicht widersprechen (ganz im Gegenteil!!! ;)).

 

Schön. :)

 

Aber der TrendMicro bezieht seine Updates trotzdem vom dem Server, wenn es nicht explizit abgeschaltet ist (auch, wenn der TO sich dessen vielleicht nicht bewusst ist).

 

Du sprichst jetzt vom Server, der im LAN die Signaturen und Updates bereithält? Wenn ja, dann braucht man doch IMHO kein Script dazu, oder etwa schon? Ich kenn den TrendMicro zwar nicht, kann mir aber gar nicht vorstellen, daß das bei TM so abläuft, wie vom TO beschrieben.

[Stephan Betken 43]

Du sprichst jetzt vom Server, der im LAN die Signaturen und Updates bereithält? Wenn ja, dann braucht man doch IMHO kein Script dazu, oder etwa schon? Ich kenn den TrendMicro zwar nicht, kann mir aber gar nicht vorstellen, daß das bei TM so abläuft, wie vom TO beschrieben.

1. Ja

2. Nein

3. Vielleicht. ;) Nein, das läuft nicht so ab. Die Clients holen sich die Updates regelmässig vom Server oder, je nach Einstellung, bei Nichterreichen auch direkt aus dem Internet. (Das mit dem Loginskript ist imho noch ein Relikt aus Windows 9x-Zeiten.)

[sZone 10]

Hallo zusammen,

 

hier ist ja richtig was los! :)

 

Vielleicht habe ich mein Anliegen ja unverständlich geschildert.

 

Die Workstations der User haben ein logIn-Script. In diesem Script steht neben diversen Netzlaufwerken auch ein Eintrag für den OfficeScan-Check.

 

"Und ich finde im Übrigen nicht, dass etwas gegen ein LogIn-Script spricht. Und nicht falsch verstehen, die Viren-Signatur wird selbstverständlich jederzeit aktualisiert..., nicht nur beim LogIn. ;)"

 

Dieser Eintrag ist ein Option von OfficeScan um zu überprüfen, ob überhaupt eine Virensoftware installiert ist (z.B. bei der Ersteinrichtung).

 

Stellt OfficeScan fest, dass keine Client vorhanden ist, wird eine Installationsroutine gestartet. Bei Windows XP klappt das auch ordnungsgemäß. Bei Vista startet die Installationsroutine auch, meckert aber über nicht genügend Berechtigung rum.

 

Meine Frage ist nun, warum macht Vista dies und wie kann ich es vermeiden!

 

Gruß

 

sZone

[Sunny61 773]

Die Workstations der User haben ein logIn-Script. In diesem Script steht neben diversen Netzlaufwerken auch ein Eintrag für den OfficeScan-Check.

 

Das hört sich schon mal anders an. ;)

 

"Und ich finde im Übrigen nicht, dass etwas gegen ein LogIn-Script spricht. Und nicht falsch verstehen, die Viren-Signatur wird selbstverständlich jederzeit aktualisiert..., nicht nur beim LogIn. ;)"

 

Das kam so im OP nicht rüber. ;)

 

Dieser Eintrag ist ein Option von OfficeScan um zu überprüfen, ob überhaupt eine Virensoftware installiert ist (z.B. bei der Ersteinrichtung).

 

Stellt OfficeScan fest, dass keine Client vorhanden ist, wird eine Installationsroutine gestartet. Bei Windows XP klappt das auch ordnungsgemäß.

 

Verlagere die Prüfung in ein Computerstartupscript. Dann klappts auch mit den Berechtigungen. Und nimm den Benutzern die Adminrechte. Dein Model ist grober Vorsatz.

 

Bei Vista startet die Installationsroutine auch, meckert aber über nicht genügend Berechtigung rum.

 

Meine Frage ist nun, warum macht Vista dies und wie kann ich es vermeiden!

 

Weil Du UAC nicht verstanden hast. Bitte lies ausführlich, vor allem den Teil mit den Anmeldescripten und Netzlaufwerken: faq-o-matic.net Benutzerkontensteuerung (UAC) richtig einsetzen

Das wirst Du so nicht zum laufen kriegen.

[Tobi72 10]

Stellt OfficeScan fest, dass keine Client vorhanden ist, wird eine Installationsroutine gestartet. Bei Windows XP klappt das auch ordnungsgemäß. Bei Vista startet die Installationsroutine auch, meckert aber über nicht genügend Berechtigung rum.

 

Das liegt in dem fall an Vista. Welchen Admin verwendest du für die Installation?

 

Wenn du die installation manuell ausführst, bekommst du ja auch ein Fensterchen, dass dich abfragt, ob du dies wirklich ausführen willst. Dies kommt auch versteckt, wenn du die das Script ausführst. Da dein Script die Abfrage allerdings nicht mit "Ja" beantworten oder umgehen kann, kommt die Meldung.

 

Du musst in dem Fall den Build-In Admin verwenden. Dann sollte das mit der Abfrage nicht kommen. Willst du diesen nicht aktivieren, bleibt dir nur eine alternative Installationsmethode... Gibt ja noch genug... Wobei Remote-Installation und TMVS auch den Build-In Admin aus dem selben Grund verlangt.

 

Hoffe das hilft dir.