Xaviers 10 Geschrieben 29. Juli 2009 Melden Teilen Geschrieben 29. Juli 2009 Hallo *, Ich möchte mittels psexec.exe automatisiert durch ein Perl u. Batch Script ein weiteres Script auf einem fremden Server starten lassen. Leider habe ich dabei aktuell folgendes Problem: psexec Aufruf ohne Paramter -u und -p - impersonating Mode - keine Kerberos Tickets zur Verfügung psexec Aufruf mit Parameter -u und -p - Kerberos Tickets zur Verfügung - -u und -p muss ich im Klartext angeben, da aufrufendes Script Perl u. Batch Ich möchte psexec verwenden, ohne irgendwie Username und Passwort im Klartext hinterlegen zu müssen. Hat dazu jemand einen guten Vorschlag?? Bzw. wer lässt psexec automatisiert arbeiten? Danke Gruß Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 29. Juli 2009 Melden Teilen Geschrieben 29. Juli 2009 Moin, üblicherweise startet man solche psexec-Jobs im Kontext eines Kontos, das auf den Zielmaschinen die nötigen Rechte hat. Beispielsweise hinterlegt man im Taskplaner die nötigen Anmeldedaten direkt beim Task. Gruß, Nils Zitieren Link zu diesem Kommentar
Xaviers 10 Geschrieben 29. Juli 2009 Autor Melden Teilen Geschrieben 29. Juli 2009 Hallo, Danke für den Hinweis. Aber der Taskplaner ist mir hierfür einfach ein wenig zu "dumm". Das Script welches psexec startet ist mehr oder weniger ein Art "QueueRunner". Es startet psexec wenn beispielsweise ein bestimmtes Event am jeweiligen Server auftritt. Zusätzlich ist der Remoteserver nicht immer der selbe, sondern je nach Event einer von 500. Die Returncodes des psexec brauche ich auch unbedingt. <- Das lässt sich leider nicht alle in einen geplanten Task frickeln... Ein Aufruf mit Parameter -S bringt mich hier ein Stückchen weiter, allerdings genügen mir hier nicht die Rechte des LocalSystem Accounts. Gruß Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 29. Juli 2009 Melden Teilen Geschrieben 29. Juli 2009 Moin, gibt es denn einen Account, über den der Task auf allen Rechnern arbeiten kann? Dann starte dein Skript mit diesem Account. Gibt es so ein Konto nicht, dann wirst du aus meiner Sicht nicht umhinkommen, die Credentials pro Server im Skript oder einer separaten Quelle zu speichern, die du dann natürlich ausreichend absichern musst. Gruß, Nils Zitieren Link zu diesem Kommentar
Xaviers 10 Geschrieben 29. Juli 2009 Autor Melden Teilen Geschrieben 29. Juli 2009 Ja es gibt einen Account der alle diese Recht hat. Mit diesem Account starte ich auch mein Script, allerdings muss ich dann in meinem Script psexec folgend aufrufen: psexec \\server -u domain\admin -p passwort C:\Script2 Ein "psexec \\server C:\Script2" langt leider aufgrund des Kerberosproblems nicht. Gibt es denn ein Möglichkeit dem psexec zu sagen "Verbinde dich mit den Credentials mit denen du aufgerufen wirst, und stelle auf dem Remoteserver Kerberos Tickets aus" ? Zitieren Link zu diesem Kommentar
s.weinschenck 10 Geschrieben 30. Juli 2009 Melden Teilen Geschrieben 30. Juli 2009 Und wenn du die Batchdatei in eine exe wandelst mit battoexe? Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 30. Juli 2009 Melden Teilen Geschrieben 30. Juli 2009 Moin, Und wenn du die Batchdatei in eine exe wandelst mit battoexe? wozu genau sollte das gut sein? Gruß, Nils Zitieren Link zu diesem Kommentar
s.weinschenck 10 Geschrieben 30. Juli 2009 Melden Teilen Geschrieben 30. Juli 2009 ...dann ist der Inhalt inkl. Passwort nicht mehr sichtbar. Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 30. Juli 2009 Melden Teilen Geschrieben 30. Juli 2009 Moin, ...dann ist der Inhalt inkl. Passwort nicht mehr sichtbar. er ist nicht mehr direkt sichtbar, durch einen Ressourceneditor aber ohne Weiteres anzuzeigen. Das nennt man "Snake Oil" - scheinbare Sicherheit, die in Wirklichkeit ein Sicherheitsproblem erzeugt. Also keine gute Idee und im Übrigen auch sonst überhaupt keine Lösung für das Problem des TO. Gruß, Nils Zitieren Link zu diesem Kommentar
s.weinschenck 10 Geschrieben 30. Juli 2009 Melden Teilen Geschrieben 30. Juli 2009 Hallo NILSK, das mit dem Ressourceneditor war mir nicht bewußt. Aber im eröffnungspost stand: Ich möchte psexec verwenden, ohne irgendwie Username und Passwort im Klartext hinterlegen zu müssen. oder verstehe ich etwas nicht richtig? Gruß Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 30. Juli 2009 Melden Teilen Geschrieben 30. Juli 2009 Moin, nein, das verstehst du schon richtig. Aber ein einfaches Kompilieren à la bat2exe oder so belässt kennwörter faktisch im Klartext. Sie sind nur mit einem normalen Texteditor nicht mehr lesbar, aber sie sind eben nicht verschlüsselt. Und wenn du dir den Thread mal durchliest, wirst du darüber hinaus feststellen, dass die Situation noch eine Ecke komplexer ist. Gruß, Nils Zitieren Link zu diesem Kommentar
Xaviers 10 Geschrieben 4. August 2009 Autor Melden Teilen Geschrieben 4. August 2009 Hi, Ok dann ist es nicht im "Klartext" hinterlegt... aber dennoch unsicher "hinterlegt". Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 4. August 2009 Melden Teilen Geschrieben 4. August 2009 Hi, ist vielleicht auch nicht die perfekte Lösung, aber wenn Du den Aufruf (oder das gesamte Script) als PowerShell Script implementierst, könnte Dir die Funktion ConvertTo-SecureString weiterhelfen. Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.