Jump to content
Sign in to follow this  
Mag

Skripts unter Windows 7 mit UAC

Recommended Posts

Hallo Leute,

 

ich bin mir nicht sicher, wie man mit folgendem Problem umgehen sollte. Es geht natürlich um Skripte via bat (während dem Userlogon an einer Domäne 2008 R2) auf Windows 7 Clients, die bald ausgerollt werden sollen.

 

Lösung 1: UAC Abschalten.

Das wollen wir eigentlich nicht, UAC bringt ja denke ich ein wenig mehr Sicherheit mit sich.

 

Lösung 2: Netzlaufwerke per GPO verteilen

Wir waren sehr zufrieden mit unserem Modell, ein zentrales Batch File startet bei jeder Useranmeldung und springt bei veschiedenen Gruppenzugehörigkeiten in Sub-Skripts die dezentral gepflegt werden. Diese greifen dann auch immer, egal wo sich der User in der AD befindet. Bei unserem Modell wäre das bei GPOs nicht drin, da die tiefer in der Struktur ansetzen. Außerdem lässt sich dieses eine zentrale Skript super überklicken, wenn die Struktur etwas gewahrt bleibt.

 

Lösung 3: EnableLinkedConnections 1

Das war noch eine Lösung, allerdings weiß ich technisch nicht, was das alles bewirkt und hoffe da auf euer Wissen.

 

Allgemein bleibt die Frage, wie geht ihr mit dem Problem um, falls ihr es schon hattet?! Ich würde ganz gern bei dem Skript bleiben, es war schwer es überall zu etablieren.

 

Die Suche nach den 3-stelligen Begriffen uac net use bat gehen leider nicht so gut, bzw. sind manche Lösungen ja auch schon bekannt. Also sorry falls es die Frage schonmal gab.

Merci im voraus.

Share this post


Link to post

Ah, doch was vergessen. Mist :)

Die User sind teilweise Admin, das lässt sich nicht immer ausschließen, leider.

Ich habe irgendwo gelesen, dass das Problem nur als lokaler Admin auftaucht, beim Nachstellen gestern, war das aber nicht der Fall ?!

Share this post


Link to post

Danke für den Link, das ist ja genau die Lösung 3. Die habe ich gefunden, ich weiß nur nicht genau was das alles bewirkt.

Microsoft sagt ja selbst dazu in Ihrem KB:

 

"This ist not recommended, not supported and at your onw risk".... Nicht das ist deshalb nun ängstlich wäre, ich suche nur nach einer guten Lösung, die nicht alle Sicherheitsfeatures, die auch mit UAC einhergehen, wieder zu nichte machen.

 

Ich wäre also begeistert, wenn du mir sagen könntest, was genau das bewirkt :) positiv wie negativ.

Share this post


Link to post

"This ist not recommended, not supported and at your onw risk".... Nicht das ist deshalb nun ängstlich wäre, ich suche nur nach einer guten Lösung, die nicht alle Sicherheitsfeatures, die auch mit UAC einhergehen, wieder zu nichte machen.

 

Ich wäre also begeistert, wenn du mir sagen könntest, was genau das bewirkt :) positiv wie negativ.

 

Wenn Du UAC aktiviert hast und der Benutzer in der Gruppe der lokalen Admins ist, wird das Script als lokaler Admin ausgeführt. Der Benutzer sieht aber die verbundenen NW-Laufwerke nicht. Weitere Infos findest Du in diesen beiden Artikeln: faq-o-matic.net Benutzerkontensteuerung (UAC) richtig einsetzen und faq-o-matic.net Kompromisse zwischen Sicherheit und Bequemlichkeit? Das Beispiel UAC

Share this post


Link to post

Ich halte Lösung 2 dennoch für überdenkenswert! (bzw. statt GPO lieber GPP!)

 

Den Überblick bei deinem "zentralen" Script hast du ja eigentlich gerade durch die dezentralen Scripte nicht mehr! Es kann also recht schwierig sein, nachzuvollziehen, wann wer welches Laufwerk bekommt, wenn in den dezentralen Scripten die Laufwerksbuchastaben mehrfach verwendet werden.

 

Bei GPPs können die Laufwerke z.B. über die Zielgruppenadressierung auf bestimmte Gruppen eingeschränkt werden. Oder eine kpl. GPP kann über die Sicherheitsfilterung nur bestimmten Gruppen zugeodnet werden (entspräche dann in etwa den dezentralen Scripten)...

 

Man muss es nicht über OU's steuern.

Share this post


Link to post

Vielen Dank für die Anregungen. Ich werde das mit dem GPP nochmals überdenken.

 

Wir hatten uns damals beim Ausrollen neuer Drucker für die Skript Variante entschieden. Die Umstellung auf GPP würde auf jeden Fall nochmals einigen Aufwand und Erklärungsarbeit nach sich ziehen, aber das sollte natürlich nicht der Grund sein den Fortschritt auszusperren :)

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...