Jump to content

Aufgabe mit Adminrechten remote eintragen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

vor 14 Minuten schrieb stefan4711:

Entweder eine Aufgabe mit Systemrechten fühhrt generell keien PS aus die auf Netzwerkfreigaben verweisen oder die Syntax der Zeile

 

 

Wenn eine Aufgabe mit System-Rechten eines Computers läuft, hat dieses Konto üblicherweise nirgends anders Berechtigungen, die es aber bräuchte, um z.B. auf einer Freigabe eine Datei zu speichern. Du müsstest also quasi den Computer auf dem Ziel als Schreibberechtigten konfigurieren.  ;-) 

 

Davon unabhängig: Nur vom groben Überfliegen des Skriptes - Du sammelst WAHNSINNIG viele Informationen ein, die - nach meiner Erfahrung - zu 95% schlicht und einfach nutzlos sind. Was willst Du denn mit  all den Infos anstellen? Sieht für mich ein wenig nach ner "Jäger und Sammler" Idee aus. Erstmal "Haben" - ob etwas damit anzufangen ist, prüft man später. Meine Empfehlung wäre, noch mal drüber nachzudenken, ob das so in dieser Art und in diesem Umfang wirklich nötig ist und auch den Mehrwert liefert, den man sich davon erhofft.

 

Ansonsten ist Jans Aussage quasi nix mehr hinzuzufügen. ;-) 

Link zu diesem Kommentar

Ich hab das Script auch nur zu Beginn überflogen. So etwas ähnliches, nur viel abgespeckter hatte ich vor vielen Jahren mittels VB-Script in eine SQL Server Datenbank schreiben lassen. Der dazugehörende Task wurde auch per SYSTEM ausgeführt. SYSTEM ist der Computer, Computer sind im AD in 'Authentifizierte Benutzer' enthalten, auch wenn man etwas anderes erwartet. Du kannst natürlich auf die Freigabe und in den NTFS-Berechtigungen die Gruppe der Domänen Computer mit Schreibrechten eintragen, danach sollte der Task als SYSTEM ausgeführt funktionieren.

Link zu diesem Kommentar
vor 48 Minuten schrieb stefan4711:

im wesentlichen kommt es mir auf die Softwareliste an.

 

Wow. Bitte nicht falsch verstehen ...  aber Dir ist schon klar, dass Du ein Skript mit über 1000 Code-Zeilen benutzt, obwohl es 3 oder 4 Zeilen auch tun würden, oder? Ich gehe davon aus, dass das Skript nicht von Dir ist. Bist Du Dir sicher, dass in dem Skript nix ist, was eventuell problematisch sein könnte?   ;-)

 

Habt ihr eine Software-Verteilungslösung im Einsatz?

Link zu diesem Kommentar

Hi,

 

zum möglichen Zugriff auf Netzwerkressourcen in der Domäne mit dem lokalen Systemaccount wurde der Hinweis ja schon gegeben (den Computerkonten die nötigen Schreibrechte auf der Freigabe erteilen).

 

Unabhängig davon mal eine gut gemeinte Anmerkung: Was du bisher versucht hast, ist sicherheitstechnisch ein No-go.

 

Du willst die Credentials eines (oder sogar des built-in Administrators der Domäne) auf unsicheren Clients speichern? Niemals!

Sich mit dem Domain-Admin auf unsicheren Clients anmelden? Nein!

Scripte auf Clients mit dem Domain-Admin laufen lassen? Nein!

 

Link zu diesem Kommentar
vor 15 Stunden schrieb stefan4711:

im wesentlichen kommt es mir auf die Softwareliste an.

 

Wenn es hauptsächlich auf die Softwareliste ankommt:

 

Get-Package

 

Jedenfalls sollte da nicht mit "Win32_Product" gearbeitet werden. Kannst ja mal in der Ereignisanzeige unter Anwendung nach Event 1035 vom MsiInstaller suchen nachdem due die Klasse abgefragt hast. 

Link zu diesem Kommentar

So vielen Dank erstmal für die vielen Erkenntnisse und Ratschläge, es funktioniert jetzt so wie es soll. Ich will auch keine Credentials auf unsicheren Clients speichern. Das Sript wurde mir hier im Forum unter einer anderem Posting, vorgeschlagen, dass muss man nicht mutmaßen, dass hatte ich geschrieben, mittlerweile habe ich das natürlich auch längst reduziert. Aber auch wenn ich jetzt nicht der PS Crack bin konnte ich dort nicht erkennen was da nun angeblich für schlimme Sachen gemacht werden, ausser ein paar Abfragen.

 

Das mit der Reparaturinstallation ist sicherlich ein interessanter Aspekt.

 

 

Danke noch mal

 

und schöne Woche

Link zu diesem Kommentar

Das mit den Scans stimmt tatsächlich, aber die Frage die sich mir jetzt stellt, ist folgende: Ist das jetzt wirklich schklimm? Zumindest bemerke ich davon beim Scan nichts als User, also ist auch die schlechte Performance beim Auslesen nicht so schlimm.

 

@MurdocX: An welcher Stelle werden denn hier genau Credentials gespeichert? Du meinst jetzt im Script? Ich gebe an keiner Stelle Credentials ein, weder im Script, noch bei der Aufgabenerstellung. Die sind ja dann schon vorher da, und haben mit dem Script hier nichts zu tun, oder?

 

 

lg

 

 

Stefan

Link zu diesem Kommentar
vor 26 Minuten schrieb stefan4711:

@MurdocX: An welcher Stelle werden denn hier genau Credentials gespeichert? Du meinst jetzt im Script? Ich gebe an keiner Stelle Credentials ein, weder im Script, noch bei der Aufgabenerstellung. Die sind ja dann schon vorher da, und haben mit dem Script hier nichts zu tun, oder?

Sie entstehen, sobald du dich mit Zugangsdaten an deinem Clients authentifizierst. Dann werden diese im Client in der Registry gespeichert und können ausgelesen werden. Hier geht es nicht um das Skript, sondern mit welchem User du die Verbindung zum Client aufbaust. Mehr gibt es hier auch nicht zu sagen. Zu vielen anderen Dingen wurde schon Stellung bezogen. Das muss ich dann auch nicht wiederholen. :-)

Link zu diesem Kommentar

Moin,

 

vor 11 Stunden schrieb daabm:

Wer weiß das schon, daß die dämliche Win32_Product Klasse da für jedes MSI-Paket ne Reparaturinstallation anschmeißt? (Außer Dir und mir...)

man hätte es schon vor zehn Jahren z.B. bei OBI lesen können. ;-)

 

[Cindy: WMI-Dokuskript für Windows-Rechner | faq-o-matic.net]
https://www.faq-o-matic.net/2011/01/24/cindy-wmi-dokuskript-fr-windows-rechner/

 

Gruß, Ni"so eine Vorlage lass ich doch nicht liegen"ls

 

Link zu diesem Kommentar

Ja aber ist doch klar, dass die user sich mit Name und Passwort anmelden, dass passiert doch in jedem Falle, ich denke wir reden an einander vorbei. Wie soll ich das denn auch verhindern. Aber da die Aufgabenstellung ja nun bekannt ist, lasse ich mich auch gerne von einem besseren Script überzeugen. Im wesentlichen geht es um die für jeden Rechner installierten Programme, schön wären natürlich auch noch so grundlegendes Sachen wie Speicher, Rechnername, CPU, Harddisk Freier Speicher..

 

Und noch mal, was ist schlimm an der Reparaturinstallation? Also ich bekomme davon nichts mit, macht MS da was schlimmes, ihr habt doch hoffentlich Vertrauen zu MS? Sonst müsste ich extrem kalte Füße bekommen lach (Also ich versteh unter einer Reparaturinstallation eine ziemlich langwierige Angelegenheit, bei der ich aufgefordert werde ein Installationmedium zu präsentieren, sowas ist bei mir nicht der Fall.)

 

lg

 

 

Stefan

bearbeitet von stefan4711
Link zu diesem Kommentar
vor 26 Minuten schrieb stefan4711:

Wie soll ich das denn auch verhindern.

In dem du dich nicht mit einem Domänen-Admin an einem Client anmeldest, um die Aufgabe auf dem Client zu erstellen. ;-) Ich möchte dich damit nicht piesacken, sondern nur unterstützen und den Hinweis geben, dass du das nächste Ransomware Opfer wirst, sobald ein User mal eine Mail anklickt, die er nicht hätte anklicken dürfen.

bearbeitet von MurdocX
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...