Jump to content

Aufgabe mit Adminrechten remote eintragen


Recommended Posts

vor 14 Minuten schrieb stefan4711:

Entweder eine Aufgabe mit Systemrechten fühhrt generell keien PS aus die auf Netzwerkfreigaben verweisen oder die Syntax der Zeile

 

 

Wenn eine Aufgabe mit System-Rechten eines Computers läuft, hat dieses Konto üblicherweise nirgends anders Berechtigungen, die es aber bräuchte, um z.B. auf einer Freigabe eine Datei zu speichern. Du müsstest also quasi den Computer auf dem Ziel als Schreibberechtigten konfigurieren.  ;-) 

 

Davon unabhängig: Nur vom groben Überfliegen des Skriptes - Du sammelst WAHNSINNIG viele Informationen ein, die - nach meiner Erfahrung - zu 95% schlicht und einfach nutzlos sind. Was willst Du denn mit  all den Infos anstellen? Sieht für mich ein wenig nach ner "Jäger und Sammler" Idee aus. Erstmal "Haben" - ob etwas damit anzufangen ist, prüft man später. Meine Empfehlung wäre, noch mal drüber nachzudenken, ob das so in dieser Art und in diesem Umfang wirklich nötig ist und auch den Mehrwert liefert, den man sich davon erhofft.

 

Ansonsten ist Jans Aussage quasi nix mehr hinzuzufügen. ;-) 

Link to post

Ich hab das Script auch nur zu Beginn überflogen. So etwas ähnliches, nur viel abgespeckter hatte ich vor vielen Jahren mittels VB-Script in eine SQL Server Datenbank schreiben lassen. Der dazugehörende Task wurde auch per SYSTEM ausgeführt. SYSTEM ist der Computer, Computer sind im AD in 'Authentifizierte Benutzer' enthalten, auch wenn man etwas anderes erwartet. Du kannst natürlich auf die Freigabe und in den NTFS-Berechtigungen die Gruppe der Domänen Computer mit Schreibrechten eintragen, danach sollte der Task als SYSTEM ausgeführt funktionieren.

Link to post

Ok, danke erst mal, klingt einleuchtend, werrde ich mal probieren mit den Rechten. @BofH. Du hast sicher recht, so viel Infos brauche ich nicht, werde das ganze natürlich noch abspecken, im wesentlichen kommt es mir auf die Softwareliste an.

 

 

schönes WE noch und danke

 

lg

 

 

Stefan

Link to post
vor 48 Minuten schrieb stefan4711:

im wesentlichen kommt es mir auf die Softwareliste an.

 

Wow. Bitte nicht falsch verstehen ...  aber Dir ist schon klar, dass Du ein Skript mit über 1000 Code-Zeilen benutzt, obwohl es 3 oder 4 Zeilen auch tun würden, oder? Ich gehe davon aus, dass das Skript nicht von Dir ist. Bist Du Dir sicher, dass in dem Skript nix ist, was eventuell problematisch sein könnte?   ;-)

 

Habt ihr eine Software-Verteilungslösung im Einsatz?

Link to post

Hi,

 

zum möglichen Zugriff auf Netzwerkressourcen in der Domäne mit dem lokalen Systemaccount wurde der Hinweis ja schon gegeben (den Computerkonten die nötigen Schreibrechte auf der Freigabe erteilen).

 

Unabhängig davon mal eine gut gemeinte Anmerkung: Was du bisher versucht hast, ist sicherheitstechnisch ein No-go.

 

Du willst die Credentials eines (oder sogar des built-in Administrators der Domäne) auf unsicheren Clients speichern? Niemals!

Sich mit dem Domain-Admin auf unsicheren Clients anmelden? Nein!

Scripte auf Clients mit dem Domain-Admin laufen lassen? Nein!

 

  • Like 1
Link to post
vor 15 Stunden schrieb stefan4711:

im wesentlichen kommt es mir auf die Softwareliste an.

 

Wenn es hauptsächlich auf die Softwareliste ankommt:

 

Get-Package

 

Jedenfalls sollte da nicht mit "Win32_Product" gearbeitet werden. Kannst ja mal in der Ereignisanzeige unter Anwendung nach Event 1035 vom MsiInstaller suchen nachdem due die Klasse abgefragt hast. 

Link to post
vor 9 Stunden schrieb testperson:

Kannst ja mal in der Ereignisanzeige unter Anwendung nach Event 1035 vom MsiInstaller suchen nachdem due die Klasse abgefragt hast. 

 

Wer weiß das schon, daß die dämliche Win32_Product Klasse da für jedes MSI-Paket ne Reparaturinstallation anschmeißt? (Außer Dir und mir...)

Link to post
vor 6 Stunden schrieb daabm:

Wer weiß das schon, daß die dämliche Win32_Product Klasse da für jedes MSI-Paket ne Reparaturinstallation anschmeißt? (Außer Dir und mir...)

Ggfs. die Ungeduldigen, die sich gefragt haben, warum die Win32_Product Klasse so langsam ist. :) Wobei "Get-Package" auch nicht schnell ist.. ;)

Link to post

So vielen Dank erstmal für die vielen Erkenntnisse und Ratschläge, es funktioniert jetzt so wie es soll. Ich will auch keine Credentials auf unsicheren Clients speichern. Das Sript wurde mir hier im Forum unter einer anderem Posting, vorgeschlagen, dass muss man nicht mutmaßen, dass hatte ich geschrieben, mittlerweile habe ich das natürlich auch längst reduziert. Aber auch wenn ich jetzt nicht der PS Crack bin konnte ich dort nicht erkennen was da nun angeblich für schlimme Sachen gemacht werden, ausser ein paar Abfragen.

 

Das mit der Reparaturinstallation ist sicherlich ein interessanter Aspekt.

 

 

Danke noch mal

 

und schöne Woche

Link to post
vor 3 Stunden schrieb stefan4711:

erkennen was da nun angeblich für schlimme Sachen gemacht werden, ausser ein paar Abfragen.

Das schlimmste sind "Cached-Credentials eines Domänen-Admins auf einem Client"  

Einige große Firmen merken das auch gerade... ;-)

Link to post

Das mit den Scans stimmt tatsächlich, aber die Frage die sich mir jetzt stellt, ist folgende: Ist das jetzt wirklich schklimm? Zumindest bemerke ich davon beim Scan nichts als User, also ist auch die schlechte Performance beim Auslesen nicht so schlimm.

 

@MurdocX: An welcher Stelle werden denn hier genau Credentials gespeichert? Du meinst jetzt im Script? Ich gebe an keiner Stelle Credentials ein, weder im Script, noch bei der Aufgabenerstellung. Die sind ja dann schon vorher da, und haben mit dem Script hier nichts zu tun, oder?

 

 

lg

 

 

Stefan

Link to post
vor 26 Minuten schrieb stefan4711:

@MurdocX: An welcher Stelle werden denn hier genau Credentials gespeichert? Du meinst jetzt im Script? Ich gebe an keiner Stelle Credentials ein, weder im Script, noch bei der Aufgabenerstellung. Die sind ja dann schon vorher da, und haben mit dem Script hier nichts zu tun, oder?

Sie entstehen, sobald du dich mit Zugangsdaten an deinem Clients authentifizierst. Dann werden diese im Client in der Registry gespeichert und können ausgelesen werden. Hier geht es nicht um das Skript, sondern mit welchem User du die Verbindung zum Client aufbaust. Mehr gibt es hier auch nicht zu sagen. Zu vielen anderen Dingen wurde schon Stellung bezogen. Das muss ich dann auch nicht wiederholen. :-)

Link to post

Moin,

 

vor 11 Stunden schrieb daabm:

Wer weiß das schon, daß die dämliche Win32_Product Klasse da für jedes MSI-Paket ne Reparaturinstallation anschmeißt? (Außer Dir und mir...)

man hätte es schon vor zehn Jahren z.B. bei OBI lesen können. ;-)

 

[Cindy: WMI-Dokuskript für Windows-Rechner | faq-o-matic.net]
https://www.faq-o-matic.net/2011/01/24/cindy-wmi-dokuskript-fr-windows-rechner/

 

Gruß, Ni"so eine Vorlage lass ich doch nicht liegen"ls

 

Link to post
Posted (edited)

Ja aber ist doch klar, dass die user sich mit Name und Passwort anmelden, dass passiert doch in jedem Falle, ich denke wir reden an einander vorbei. Wie soll ich das denn auch verhindern. Aber da die Aufgabenstellung ja nun bekannt ist, lasse ich mich auch gerne von einem besseren Script überzeugen. Im wesentlichen geht es um die für jeden Rechner installierten Programme, schön wären natürlich auch noch so grundlegendes Sachen wie Speicher, Rechnername, CPU, Harddisk Freier Speicher..

 

Und noch mal, was ist schlimm an der Reparaturinstallation? Also ich bekomme davon nichts mit, macht MS da was schlimmes, ihr habt doch hoffentlich Vertrauen zu MS? Sonst müsste ich extrem kalte Füße bekommen lach (Also ich versteh unter einer Reparaturinstallation eine ziemlich langwierige Angelegenheit, bei der ich aufgefordert werde ein Installationmedium zu präsentieren, sowas ist bei mir nicht der Fall.)

 

lg

 

 

Stefan

Edited by stefan4711
Link to post
vor 26 Minuten schrieb stefan4711:

Wie soll ich das denn auch verhindern.

In dem du dich nicht mit einem Domänen-Admin an einem Client anmeldest, um die Aufgabe auf dem Client zu erstellen. ;-) Ich möchte dich damit nicht piesacken, sondern nur unterstützen und den Hinweis geben, dass du das nächste Ransomware Opfer wirst, sobald ein User mal eine Mail anklickt, die er nicht hätte anklicken dürfen.

Edited by MurdocX
Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...