Jump to content

cmdkey in Batch Skript: Funktioniert nicht bei Ausführung als Aufgabe oder als Anmeldeskript


Go to solution Solved by cj_berlin,

Recommended Posts

Meine Umgebung ist: Windows 10 Pro 64 Bit 21H2

 

Mein "Problem" ist: cmdkey scheint in einem Batch-Skript, das als Aufgabe oder als Anmeldeskript ausgeführt wird, nicht zu funktionieren: Z.B. ergibt

cmdkey /list:192.168.234.103

immer: "Momentan gespeicherte Anmeldeinformationen für 192.168.234.103: * KEINE *". Das gleiche Batch-Skript funktioniert bei einem interaktiven Aufruf unter dem gleichen Benutzer aber reibungslos (lieert das gespeicherte Credential).

 

Woran kann das liegen?

 

Vielen Dank - Michael

Link to comment

Hauptziel ist es, im Anmeldeskript (lokale GPO; die PCs sind nicht in einer Domäne) Freigaben meines Master-PCs auf den Satelliten-PCs per net use ohne Angabe von Nutzername und Kennwort zuzuordnen.

 

Danke - Michael

... und an einem der Satelliten-PCs scheitert das (es wird Nutzername und Kennwort erfragt).

 

Im Rahmen meine Fehlerursachen-"Forschung" habe ich dann festgestellt, dass ein im Anmeldeskript ausgeführtes "cmdkey /list" an keinem der beteiligten PCs die Credentails ausgibt, die aber nachweisbar vorhanden sind.

 

Das hat mich zum Schluss geführt, dass Skripte, die per Anmelde-GPO ausgeführt werden, Probleme mit dem Zugriff auf die Credentials haben. Also geht es im Kern nicht darum, dass "cmdkey /list" nicht funktioniert, sondern dass net use ohne Angabe von Nutzername und Kennwort nicht funktioniert.

 

Michael

Link to comment

... und an einem der Satelliten-PCs scheitert das (es wird Nutzername und Kennwort erfragt).

 

Im Rahmen meine Fehlerursachen-"Forschung" habe ich dann festgestellt, dass ein im Anmeldeskript ausgeführtes "cmdkey /list" an keinem der beteiligten PCs die Credentails ausgibt, die aber nachweisbar vorhanden sind.

 

Das hat mich zum Schluss geführt, dass Skripte, die per Anmelde-GPO ausgeführt werden, Probleme mit dem Zugriff auf die Credentials haben. Also geht es im Kern nicht darum, dass "cmdkey /list" nicht funktioniert, sondern dass net use ohne Angabe von Nutzername und Kennwort nicht funktioniert.

 

Michael

Aus Enegiespar-Gründen habe ich inzwischen weder NAS noch Server. Ich dachte/hoffte, dass eine solche Standard-Funktion wie Credentials auch auf einem Windows 10 Pro zuverlässig laufen sollte.

 

Ich werde mir an dem zickenden Satelliten-PC dann wohl weiterhin mit einem net use mit Nutzername und (im Klartext lesbaren) Kennwort behelfen müssen.

 

Danke - Michael

Link to comment

Evtl. ist beim Anmeldescript die Benutzersitzung noch nicht so weit aufgebaut, um Zugriff auf den verschlüsselten Speicher mit den Zugangsdaten zu gewährleisten? Hilft eine Pause von zehn Sekunden im Script?

 

Oder hat der Benutzer Adminrechte und das Script wird mit erhöhten Rechten ausgeführt (oder die Zugangsdaten wurden mit erhöhten Rechten eingetragen)? Bei UAC gibt es zwei verschiedene Kennwortspeicher, einen "normalen" und einen für Sitzungen mit erhöhten Rechten.

Link to comment

Danke!

 

Pause von 30 Sekunden im Skript hat nicht geholfen.

 

Der Benutzer hat Admin-Rechte. Meines Wissens nach wird ein GOP-Anmeldeskript aber eh immer mit erhöhten Rechten ausgeführt, daher habe ich den Registry-Eintrag "EnableLinkedConnections" gesetzt. Und ein net use mit Nutzername und Kennwort funktioniert ja. Es muss m.E. also an der Abarbeitung der Credentials liegen.

 

Michael

Link to comment
  • Solution
vor 18 Minuten schrieb sg08234:

Der Benutzer hat Admin-Rechte.

Und spätestens hier ist es dann vollkommen wurscht, welche vermeintlichen Sicherheitsmaßnahmen Du wo ergreifst. Leg einfach auf dem Master-PC gleichlautende Konten mit gleichen Kennwörtern an, sensibilisiere die User, dass sie die Kennwortänderungen 2x machen müssen, und vergiss den ganten CredMan-Kram.

  • Like 1
Link to comment
vor 1 Minute schrieb sg08234:

Ein NAS bringt zusätzliche Komplexität und Energiekosten in das "System"

 

Ooops ... dann hatte ich das falsch verstanden ... Sorry ... ich hatte im Hinterkopf, dass Du die Freigaben auf einem NAS zur Verfügung stellst.

 

vor 2 Minuten schrieb sg08234:

Und an einer Stelle habe ich es auf meinem Master-PC auch.

 

Na dann kannst Du doch dort die entsprechenden Konten berechtigen, oder?

Link to comment

Und spätestens hier ist es dann vollkommen wurscht, welche vermeintlichen Sicherheitsmaßnahmen Du wo ergreifst. Leg einfach auf dem Master-PC gleichlautende Konten mit gleichen Kennwörtern an, sensibilisiere die User, dass sie die Kennwortänderungen 2x machen müssen, und vergiss den ganten CredMan-Kram.
Danke - Genau das ist für den zickenden Client-PC nicht der Fall - Werde ich testen. Ich tue mich nur mit im Freitext lesbaren Kennworten schwer (ist aber vielleicht eh egal).

 

Na dann kannst Du doch dort die entsprechenden Konten berechtigen, oder?
Berechtigung für "alle" sind gesetzt (sonst würde net use mit Nutzername und Kennwort ja auch nicht funktionieren).
 

Meines Wissens nach wird ein GPO-Anmeldeskript aber eh immer mit erhöhten Rechten ausgeführt. Hast Du da auch ne Quelle zu, aus der Dein Wissen stammt?
Aus der Erinnerung und der Tatsachen, dass das Setzen des Registry-Eintrags "EnableLinkedConnections" im Anmelde-Sktipt funktioniert, welches ja erhöhte Rechte fordert. Ist das ein Trugschluss?

 

Danke an alle - Michael

Link to comment
vor 6 Minuten schrieb sg08234:

Ich tue mich nur mit im Freitext lesbaren Kennworten schwer (ist aber vielleicht eh egal).

Das ehrt Dich - ist aber in diesem speziellen Fall vermutlich eh egal, denn wenn ich einen Deiner User phishe (hat Adminrechte, wir erinnern uns!), komme ich an CredMan aller lokaler Benutzer auf dieser Maschine so oder so ran.

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...