raptor99 10 Geschrieben 3. März 2010 Melden Teilen Geschrieben 3. März 2010 Hi Leute, ich würde gerne eine Computer Policy über das ADS auf den lokalen Rechnern mit Admin-Rechten ausführen lassen. Es geht darum: Die Policy führt ein Logonscript aus (.cmd File). In diesem Script wird ein Programm aufgerufen, dass auf dem Rechner lokal aber Administrator-Rechte benötigt. Ideal wäre also, wenn das Logonscript und somit auch der Tochterprozess über die Policy mit Admin-Rechten läuft. Es gibt z.B. für MSI-Pakete eine Policy, dass zu installierende Pakete generell mit erhöhten Rechten ausgeführt werden. Sowas bräuchte ich hier auch, nur eben für Logonscripts. Vielleicht kennt jemand von euch so etwas bzw. hat eine Idee, das clever anders zu lösen. Danke für eure Hilfe. Mfg Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 3. März 2010 Melden Teilen Geschrieben 3. März 2010 Hi Raptor, nein, als Logonscript ist das in der Form nicht möglich. Ich lasse jetzt einmal bewußt Aktionen wie "Klartext Kennwort" oder "EXE-Datei mit Admin-Kennwort" raus. Was genau macht denn das Programm bzw. wozu werden Administrator Rechte im Logon-Script benötigt? Vielleicht läßt sich das Vorhaben ja auch anders lösen. Viele Grüße olc Zitieren Link zu diesem Kommentar
MichaStgt 10 Geschrieben 3. März 2010 Melden Teilen Geschrieben 3. März 2010 Hallo Raptor, mit Runas Password kannst du das umsetzten, du kannst das ganze verschlüsseln. Gruß Micha Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 3. März 2010 Melden Teilen Geschrieben 3. März 2010 ich würde gerne eine Computer Policy über das ADS auf den lokalen Rechnern mit Admin-Rechten ausführen lassen. Es geht darum: Die Policy führt ein Logonscript aus (.cmd File). In diesem Script wird ein Programm aufgerufen, dass auf dem Rechner lokal aber Administrator-Rechte benötigt. Ideal wäre also, wenn das Logonscript und somit auch der Tochterprozess über die Policy mit Admin-Rechten läuft. Wenn Du das Script als Computerstartupscript laufen lässt, hast Du alle Rechte im System. Eine Computer-GPO mit einem Benutzer-Loginscript wirst Du nicht zum laufen bekommen. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 3. März 2010 Melden Teilen Geschrieben 3. März 2010 Hi, mit Runas Password kannst du das umsetzten, du kannst das ganze verschlüsseln. Ich habe nicht umsonst geschrieben, daß *.exe Dateien o.ä. nicht "sinnvoll" sind bzw. ich es bewußt aus lasse. :wink2: Wenn ein Kennwort übergeben werden muß, muß es im Normalfall eine "zwei-Wege Verschlüsselung" sein - also kann ein Angreifer die Daten einer solchen Datei auch entschlüsseln. Aus Sicherheitsgründen ist von der Nutzung also abzuraten. Viele Grüße olc Zitieren Link zu diesem Kommentar
Wurstsalat 10 Geschrieben 4. März 2010 Melden Teilen Geschrieben 4. März 2010 du könntest per richtlinie einen geplanten task/aufgabe (der/die bei benutzeranmeldung startet), definier es so dass die aufgabe ein lokaler admin ausführt....sollte so keine probleme geben :) von dieser "passwort im skript" übergeben geschichte kann nur abgeraten werden! Zitieren Link zu diesem Kommentar
NilsK 2.795 Geschrieben 4. März 2010 Melden Teilen Geschrieben 4. März 2010 Moin, vielleicht könnten wir vor dem munteren Raten dann doch mal abwarten, welche konkrete Aufgabe denn der TO lösen möchte. Gruß, Nils Zitieren Link zu diesem Kommentar
raptor99 10 Geschrieben 4. März 2010 Autor Melden Teilen Geschrieben 4. März 2010 Danke für die zahlreichen Antworten. :) Es geht um eine in VB geschriebene App (.exe), die beim Start des PCs div. Informationen vom PC ausliest, z.B. die installierten Programme / Pfade etc. @Sunny61: Hmm, ich hatte das Skript unter Computer -> Windows Settings -> Scripts -> Startup eingetragen (und auch dort in den Default Pfad gelegt). Das heisst, alle Scripts dort haben automatisch Admin-Rechte? Da das Skript ja wie gesagt nur Computerinformationen sammelt, wäre es egal ob es beim Hochfahren dse PCs oder bei der Benutzeranmeldung läuft. Verstehe ich das richtig? Zitieren Link zu diesem Kommentar
NilsK 2.795 Geschrieben 4. März 2010 Melden Teilen Geschrieben 4. März 2010 Moin, zum Auslesen der genannten Informationen benötigt man keine Adminrechte. Gruß, Nils Zitieren Link zu diesem Kommentar
raptor99 10 Geschrieben 4. März 2010 Autor Melden Teilen Geschrieben 4. März 2010 Doch tut es, sorry. :-) Das Skript macht noch einiges mehr und benötigt dafür teilweise Admin-Rechte, en Detail kann ich das aber nicht sagen, da ich es nicht geschrieben habe. Bin nur für die Ausbringung verantwortlich. Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 4. März 2010 Melden Teilen Geschrieben 4. März 2010 [...] Das heisst, alle Scripts dort haben automatisch Admin-Rechte? Da das Skript ja wie gesagt nur Computerinformationen sammelt, wäre es egal ob es beim Hochfahren dse PCs oder bei der Benutzeranmeldung läuft. Verstehe ich das richtig? System Rechte, nicht Adminrechte, so viel ich weiss. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 4. März 2010 Melden Teilen Geschrieben 4. März 2010 Hi, ok - dann war der Begriff "Logonscript" von Dir nicht korrekt. Wie Sunny (indirekt :p) und Dukel schon richtig sagten, werden "Startup" Scripts, also Computer Startskripte, im Systemkontext ausgeführt. Damit solltest Du alle Berechtigungen haben, die Du benötigst. Viele Grüße olc Zitieren Link zu diesem Kommentar
NilsK 2.795 Geschrieben 4. März 2010 Melden Teilen Geschrieben 4. März 2010 Moin, Da das Skript ja wie gesagt nur Computerinformationen sammelt Das Skript macht noch einiges mehr und benötigt dafür teilweise Admin-Rechte es wäre nett, wenn du das nächste Mal deine Fragen genauer stellst und die nötigen Informationen dafür nachvollziehbar gibst. Sonst bringt das hier nix. Gruß, Nils Zitieren Link zu diesem Kommentar
raptor99 10 Geschrieben 8. März 2010 Autor Melden Teilen Geschrieben 8. März 2010 Sorry, ich werd's versuchen. :) Danke nochmal für eure Antworten! Habe das nun mal getestet, via Computer Start Up Script Policy. Anfangs funktionierte es einmal. Ich habe ein "Testscript" erstellt, dass eine Textdatei generiert in einem Verzeichnis, auf das ein normaler Benutzer keine Zugriffsrechte hat. Ab dem 2. PC-Boot allerdings wird das Skript nicht mehr ausgeführt, obwohl die Policy aktiv ist. Testweise habe ich eine neue Policy inkl. einem neuen Testscript erstellt... dassselbe Problem. GPresult /z sagt dazu folgendes: Angewendete Gruppenrichtlinienobjekte -------------------------------------- Startuptest (das ist die korrekte Test-Policy) Skripts zum Starten ------------------- Gruppenrichtlinienobjekt: Startuptest Name: startups.cmd Parameter: Zuletzt ausgeführt: Dieses Skript wurde noch nicht ausgeführt. Frage nun -> Warum führt er das Skript nicht aus? Die Berechtigungen auf die Datei scheinen zu stimmen, zumal es ja einmal lief. Ich habe bereits die Policy aktiviert, die das Synchrone Ausführen der Logon scripts erzwingt sowie das ScriptFenster anzeigen soll. Allerdings sehe ich es leider nicht. Hat jemand eine Idee dazu bzw. schonmal das selbe Problem gehabt? Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 8. März 2010 Melden Teilen Geschrieben 8. März 2010 Frage nun -> Warum führt er das Skript nicht aus? Die Berechtigungen auf die Datei scheinen zu stimmen, zumal es ja einmal lief. Ich habe bereits die Policy aktiviert, die das Synchrone Ausführen der Logon scripts erzwingt sowie das ScriptFenster anzeigen soll. Allerdings sehe ich es leider nicht. Nun setz dich mal hin und denk kurz nach. Du hast ein Computerstartupscript. Du aktivierst eine Einstellung, die auf Loginscripte für Benutzer wirkt. Richtig soweit? Wie soll die Einstellung für den Benutzer schon 20 Sekunden vorher auf den Computer wirken? Und ein Computer liest normalerweise keine Benutzereinstellungen. Loopbackverarbeitungsmodus mal davon ausgenommen. Du hast die erste Einstellung aus der GPO-FAQ No. 36 noch nicht gesetzt: FAQ-GPO Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.