Jump to content

Rechte bei Runonce Script


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo allerseits,

 

ich habe folgendes Problem. Es soll lokal versucht werden, eine Installation, in Abhängigkeit von einer bestimmten Gruppenzugehörigkeit durchzuführen. Diese Prüfung soll genau einmal, bei der ersten Anmeldung durchgeführt werden. Dazu habe ich mir folgendes kleine Script gebaut:

 

whoami /groups | find "Jeder">nul 2>&1 
if not errorlevel = 1 (GOTO RDPUSER)

:DEFAULT
echo Benutze ist NICHT in der Gruppe RDPUSER
pause
goto ENDE
 
:Jeder
echo Benutzer ist in der Gruppe RDPUSER
msiexec /i"C:\Install.msi" /quiet /qn /norestart /passive

:ENDE

Er führt das Script zawar ewinmalig bei jedem neuen user aus, aber das Script scheitert, aufgrund von Zugriffsbeschränkungen. Hat irgend jemand eine Iddee, wie man dieses Problem lösen kann, über eine Aufgabe habe ich es auch schon probiert, mit Schtasks /run, aber das selbe. Vielen Dank schon mal für Anregungen, ich weiss gäbe wahrscheinlich tolle Möglichkeiten dies wüber AD zu realisieren, aber leider steht diese Möglichkeit hier nicht zu Debatte.

 


Danke i.V.

 

lg

Link to comment

Hi,

 

um Software zu installieren müssten deine User ja lokale Administratoren sein. Das ist ein No-Go. Warum muss/soll die Software pro User installiert werden?

 

Ich würde ggfs. per Aufgabe im Computerkontext (System) und PowerShell installieren. Dann kann per PowerShell geprüft werden, ob das Paket bereits vorhanden ist oder eben installiert bzw. später ggfs. geupdated werden muss. Alternativ eben in Richtung WSUS + WPP oder "richtige" Softwareverteilung schauen.

 

Gruß

Jan

Link to comment

Weil nicht jeder Rechner einen User hat der in der Gruppe VPNUSER ist, und bei den anderen das nicht installiert werden soll. Per Aufgabe mit System hatte ich ja auch schon versucht, aber auch  da das Zugriffsproblem. Eine ständige Prüfung beim starten der Systeme halte ich für performance bedenklich, daran hatte ich selbstverständlich auch schon gedacht.

 

 

lg

Link to comment
vor 1 Minute schrieb stefan4711:

Weil nicht jeder Rechner einen User hat der in der Gruppe VPNUSER ist, und bei den anderen das nicht installiert werden soll.

Tja Henne und Ei. Nicht jeder Nutzer hat lokale Adminrechte und bei denen ohne kann es nicht installiert werden. Mal angenommen es ist eine "normale" Software, die sich nicht ins Userprofile installiert.

Link to comment
vor 32 Minuten schrieb stefan4711:

Eine ständige Prüfung beim starten der Systeme halte ich für performance bedenklich, daran hatte ich selbstverständlich auch schon gedacht.

Measure-Command { Get-Package }

Ist beim erstmaligen Ausführen bei ca. 2 Sekunden.

Measure-Command { Get-ItemProperty -Path "HKLM:\Software\WOW6432Node\Citrix\PluginPackages\XenAppSuite\ICA_Client\" }

Ist beim erstmaligen Ausführen bei ca. 2 Millisekunden.

 

P.S: Du müsstest allerdings auch in deiner Batch das "GOTO RDPUSER" in "GOTO Jeder" oder das ":Jeder" in ":RDPUSER" ändern. Ebenfalls halte ich "C:" für keinen geeigneten Ort zur Ablage von Dateien die in Scripts automatisiert ausgeführt werden. Bei sowas solltest du sehr penibel auf die entsprechenden Berechtigungen achten und diese soweit es geht einschränken.

Edited by testperson
Link to comment

So noch einmal ganz langsam,

 

ich möchte dass unser StandardWindowsImage, wo man vorher ja nicht weiss, welcher User den Rechner dann benutzen wird, und ob dieser in einer bestimmten Gruppe ist, einmalig beim ersten Anmelden eines jeden users getestet wird, ob dieser in einer bestimtmten AD Gruppe, in diesem Fale VPNUSER ist, ind dann, und nur dann ein VPN Client installiert wird, da muss es doch eine Möglichkeit geben? Hoffe hb mich jetzt deutlich ausgedrückt.

 

 

lg

Link to comment
vor 36 Minuten schrieb stefan4711:

ich möchte dass unser StandardWindowsImage, wo man vorher ja nicht weiss, welcher User den Rechner dann benutzen wird,

Um Dir das Leben und den Support zu erleichtern, könntest Du auch darüber nachdenken, die Software auf alle frisch installierten Rechner zu bringen. Benutzer, die VPNUSER - Mitglieder sind, können sie benutzen, andere eben nicht.

Unabhängig davon wäre ich bei @Dukel. Eine Software-Verteilung wäre die professionellste Lösung.

 

Um wieviele PCs geht es denn eigentlich?

Link to comment

Man kann Software auch per GPO oder Computer-Startup-Script installieren. Da sind auch Abfragen hinsichtlich Gruppenmitgliedschaften von Computer-Konten (!) möglich. 

Also ist  Computer-Konto  "X"  in Gruppe  "Software1", dann installiere Software. Zusätzlich braucht man im Script noch eine geeignete Abfrage, ob die jeweilige Software in der richtigen Version  schon installiert ist.

 

 

Link to comment

Ja, dann geht es halt lokal nicht, dann wurde dass hier eben noch mal bestätigt, dann werde ich unseren GPO Meister die Sache übergeben, hab dazu leider keine Rechte, dass dies sicher die professionelle Lösung ist, darüber bin ich mir im Klaren. Hatte halt vielleicht noch gedacht, dass man dass evtl noch mit lokalem Startscript machen könnte, da müssten Softwareinstalaltionen doch ausgeführt werden oder?

 

 

lg

 

 

 

Link to comment
vor einer Stunde schrieb stefan4711:

da müssten Softwareinstalaltionen doch ausgeführt werden oder?

Ein startskript läuft im Kontext des ausführenden Computers. ;) damit hast du denn den Zustand, zu dem alle geraten haben. Im logonscript hat man üblicherweise keine Rechte für die Installation von software.

Edited by NorbertFe
Link to comment
vor 4 Stunden schrieb stefan4711:

....  Hatte halt vielleicht noch gedacht, dass man dass evtl noch mit lokalem Startscript machen könnte, da müssten Softwareinstalaltionen doch ausgeführt werden oder?

Der Windows-Start durchläuft verschiedene Phasen. Im Start-Script laufen Sachen für den Computer (hier wären Installationen denkbar) und - wie Norbert schon schrieb - im Logon-Script laufen Sachen für den Benutzer (hier würden Installationen wegen der fehlenden Rechte scheitern), der sich grad anmeldet. Im Zweifel hilft sprachliche Präzision bei der Verständigung. ;-) 

Link to comment

Naja, da es eh schon wirr ist, hier noch ne ganz wirre Lösung:

Scheduled Task, Account "SYSTEM", Trigger "Bei einem Ereignis" Event-ID raussuchen für interaktive Benutzeranmeldung, Delay 15 Sekunden. Action dann ein Skript, das den angemeldeten User findet, dessen Gruppenmitgliedschaften auswertet und ggf. installiert. Besser wird's dadurch aber auch nicht :-)

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...