Jump to content
Xeeon

W10 Debloater Remote auf Systemen ausführen

Recommended Posts

Hallo zusammen,

ich versuche das Script Windows10SysPrepDebloater.ps1 mit den Parametern -Sysprep -Debloat -Privacy auf Remote Computern auszuführen.

Kann mir da jemand helfen ich hab jetzt 5 Stunden rum Probiert mit Enter-PSSession / Invoke-Command aber ich bekomme es nicht hin.

Es wäre mir egal wenn ich am Schluss den Code 100mal kopieren müsste und den clientnamen ändern aber Hauptsache man muss nicht an jedem pc das ganze einzel ausführen

 

Es wäre echt toll wenn jemand ne idee für mich hat.

Vielen Dank

Share this post


Link to post
Share on other sites

Hi,

 

was hast du denn alles versucht. Es ist irgendwie nicht zielführend hier jetzt etwas vorzuschlagen und dann kommt als Antwort, dass das bereits versucht wurde. ;)

 

Sofern es hier um eine Windows Domäne geht:

  1. WinRM / Firewall konfigurieren: https://4sysops.com/wiki/enable-powershell-remoting/#remotely-with-group-policy
  2. Benutzer mit passenden Rechten anlegen / nutzen
  3. Script auf Share ablegen oder ggfs Script auf alle PCs kopieren
  4. Mit Get-ADComputer die passenden PCs auslesen (https://docs.microsoft.com/en-us/powershell/module/addsadministration/get-adcomputer?view=win10-ps)
  5. Mit Foreach die PCs nach und nach abarbeiten (https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.core/about/about_foreach?view=powershell-6)
  6. Mit Invoke-Command zum PC verbinden (https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.core/invoke-command?view=powershell-6)
  7. Mit Start-Process das Script vom Share / vom lokalen Pfad starten (https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.management/start-process?view=powershell-6)

Gruß

Jan

Share this post


Link to post
Share on other sites

Hallo Jan,

 

vielen dank.

Schön das ich nicht ganz so b***d bin weil punkt 1 2 3 hab ich gemacht

das auslesen noch nicht das ist für mich aber auch der advanced step.

Mit Enter-PSSession komme ich auf das REmote system sprich die verbindung geht. Was mir glaub gefehlt hat ist start-process das werd ich mal testen und die ergebnisse mitteilen.

 

Danke schonmal

 

So nachdem ich die antwort nicht abgesendet habe hier nun auch schon der nächste status:

 

Ich habe nun mal folgendes versucht:

PS C:\Temp> Invoke-Command SA-PC02 -scriptblock {Start-Process -FilePath "\\XEEON-SA-DC\Tausch\DB\Windows10SysPrepDebloater.ps1 -Sysprep -Debloat -Privacy" } 
Zugriff verweigert
    + CategoryInfo          : NotSpecified: (:) [Start-Process], UnauthorizedAccessException
    + FullyQualifiedErrorId : System.UnauthorizedAccessException,Microsoft.PowerShell.Commands.Sta 
   rtProcessCommand
    + PSComputerName        : SA-PC02
 

Dann hab ich das versucht:

PS C:\Temp> Invoke-Command SA-PC02 -scriptblock {Start-Process -FilePath "c:\Temp\Windows10SysPrepDebloater.ps1 -Sysprep -Debloat -Privacy" } 

Dieser Befehl kann aufgrund des folgenden Fehlers nicht ausgeführt werden: Das System kann die 
angegebene Datei nicht finden.
    + CategoryInfo          : InvalidOperation: (:) [Start-Process], InvalidOperationException
    + FullyQualifiedErrorId : InvalidOperationException,Microsoft.PowerShell.Commands.StartProcess 
   Command
    + PSComputerName        : SA-PC02

 

Und als letztes: 

PS C:\Temp> Invoke-Command SA-PC02 -scriptblock {Start-Process -FilePath "\\sa-pc02\C$\Temp\Windows10SysPrepDebloater.ps1 -Sysprep -Debloat -Privacy" } 

Dieser Befehl kann aufgrund des folgenden Fehlers nicht ausgeführt werden: Das System kann die 
angegebene Datei nicht finden.
    + CategoryInfo          : InvalidOperation: (:) [Start-Process], InvalidOperationException
    + FullyQualifiedErrorId : InvalidOperationException,Microsoft.PowerShell.Commands.StartProcess 
   Command
    + PSComputerName        : SA-PC02

 

Die Datei liegt aber 100% an beiden plätzen.

 

Hat jemand dazu eine Idee

Share this post


Link to post
Share on other sites

Hallo MurdocX,

 

also ich muss sagen das ich langsam über mein Powershell knowhow raus komme was bissel schade ist :-/ Da das script echt wichtig bzw. auch sinnvoll wäre zu haben.

 

Zum CredSSP:

Ich bewegemich in einer Domäne mit lokalen admin rechten muss ich das dann trotzdem tun?

 

Danke für deinen Tip

 

 

Meine Vermutung war eher die Execution Policy könnte das sein?

Share this post


Link to post
Share on other sites

Vielleicht machst Du's Dir ein bissl einfacher, wenn Du das zu startende Script erstmal auf die jeweiligen Maschinen bringst (entsprechende Berechtigungen scheinen ja vorhanden zu sein), so dass Du es dann "lokal" starten kannst und kein CredSSP brauchst. ;-)

Edited by BOfH_666

Share this post


Link to post
Share on other sites
vor 38 Minuten schrieb Xeeon:

Ich bewegemich in einer Domäne mit lokalen admin rechten muss ich das dann trotzdem tun?

Und seit wann darf ein „lokaler Benutzer“ auf eine Freigabe zugreifen? Der hat doch im Netzwerk keine Berechtigung  ;-) 

 

Lese dich ich mal in das Thema ein. 

Share this post


Link to post
Share on other sites

Also ist es einen Domänen-Benutzer... und kein lokaler. Die Begrifflichkeiten sollten schon passen. ;-) Ob du einen Domänen-Admin delegieren möchtest... Hier geht es jetzt um Deine Sicherheit.

 

Kopier das Skript lieber auf den Client und führe es da aus. Das ist das Sicherste in deinem Szenario.

Share this post


Link to post
Share on other sites

es geht lediglich darum 1 mal das Script auszuführen da hab ich sicherheitstechnisch nicht viel angst....

 

Ich bin jetzt mit einem Workaaround weiter gekommen ich hab ne gpo mit einem login script gebaut was dann das Powershell script aufruft das scheint zu gehen

Share this post


Link to post
Share on other sites

Mit Start-Process solltest du auch die "powershell.exe" starten. Die dann mit "-ArgumentList -ExecutionPolicy Bypass -NoProfile -File <Pfad zum Script>.ps1" aufrufen.

vor 46 Minuten schrieb Xeeon:

Ich bin jetzt mit einem Workaaround weiter gekommen ich hab ne gpo mit einem login script gebaut was dann das Powershell script aufruft das scheint zu gehen

Wenn das als Login-Script läuft, dann haben deine User zu viele Rechte. Ein StartUp-Script wäre hier wohl besser.

 

BTW.: Ein einmalig angewendetes GPO bzw. StartUp-Script dürfte hier die bessere Option sein.

Edited by testperson

Share this post


Link to post
Share on other sites

Danke für die Infos es ist jedoch wie fogt:

 

120PCs wurden neu installiert und im Nachgang sollen diese bereinigt werden. Das Script wird nun 1 mal per gpo ausgeführt und dann ist gut. das darf dann auch der admin sein. danach wird die gpo wieder die Verknüpfung entfernt.

 

Aber dein Hinweis mit dem Start Process werd ich mal noch testen vielen dank dafür. Kann ich dann aber  hinter .ps1 noch parameter hängen ohne das er das als parameter des "start-process" sieht?

Share this post


Link to post
Share on other sites

@testperson Ich habs mal versucht mit dem was du gesagt hast aber das funktioniert auch nicht wirklich kann aber an einem syntaktischen Fehler bei mir liegen

 

Werde mal noch sehen ob ich noch was hin bekomm für das konkrete problem hab ich ja jetzt ne lösung

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...