cmdkey in Batch Skript: Funktioniert nicht bei Ausführung als Aufgabe oder als Anmeldeskript

[sg08234 10]

Meine Umgebung ist: Windows 10 Pro 64 Bit 21H2

 

Mein "Problem" ist: cmdkey scheint in einem Batch-Skript, das als Aufgabe oder als Anmeldeskript ausgeführt wird, nicht zu funktionieren: Z.B. ergibt

cmdkey /list:192.168.234.103

immer: "Momentan gespeicherte Anmeldeinformationen für 192.168.234.103: * KEINE *". Das gleiche Batch-Skript funktioniert bei einem interaktiven Aufruf unter dem gleichen Benutzer aber reibungslos (lieert das gespeicherte Credential).

 

Woran kann das liegen?

 

Vielen Dank - Michael

[testperson 1.529]

Hi,

 

was hast du denn generell vor, wo du jetzt auf das Problem mit "cmdkey" gestoßen bist? Bzw. was soll dein Script erledigen?

 

Gruß

Jan

[sg08234 10]

Hauptziel ist es, im Anmeldeskript (lokale GPO; die PCs sind nicht in einer Domäne) Freigaben meines Master-PCs auf den Satelliten-PCs per net use ohne Angabe von Nutzername und Kennwort zuzuordnen.

 

Danke - Michael

... und an einem der Satelliten-PCs scheitert das (es wird Nutzername und Kennwort erfragt).

 

Im Rahmen meine Fehlerursachen-"Forschung" habe ich dann festgestellt, dass ein im Anmeldeskript ausgeführtes "cmdkey /list" an keinem der beteiligten PCs die Credentails ausgibt, die aber nachweisbar vorhanden sind.

 

Das hat mich zum Schluss geführt, dass Skripte, die per Anmelde-GPO ausgeführt werden, Probleme mit dem Zugriff auf die Credentials haben. Also geht es im Kern nicht darum, dass "cmdkey /list" nicht funktioniert, sondern dass net use ohne Angabe von Nutzername und Kennwort nicht funktioniert.

 

Michael

[BOfH_666 568]

vor 28 Minuten schrieb sg08234:

dass net use ohne Angabe von Nutzername und Kennwort nicht funktioniert.

 

Nur so'ne Idee ... die Konten der zugreifenden PCs auf Deinem NAS zu berechtigen ist keine Option?

[testperson 1.529]

Hi,

 

das alles dürfte mit einem aktuellen Server OS samt Active Directory um Längen einfacher werden. Hier würde vermutlich schon ein Windows Server 2022 Essentials genügen.

 

Gruß

Jan

[sg08234 10]

... und an einem der Satelliten-PCs scheitert das (es wird Nutzername und Kennwort erfragt).

 

Im Rahmen meine Fehlerursachen-"Forschung" habe ich dann festgestellt, dass ein im Anmeldeskript ausgeführtes "cmdkey /list" an keinem der beteiligten PCs die Credentails ausgibt, die aber nachweisbar vorhanden sind.

 

Das hat mich zum Schluss geführt, dass Skripte, die per Anmelde-GPO ausgeführt werden, Probleme mit dem Zugriff auf die Credentials haben. Also geht es im Kern nicht darum, dass "cmdkey /list" nicht funktioniert, sondern dass net use ohne Angabe von Nutzername und Kennwort nicht funktioniert.

 

Michael

Aus Enegiespar-Gründen habe ich inzwischen weder NAS noch Server. Ich dachte/hoffte, dass eine solche Standard-Funktion wie Credentials auch auf einem Windows 10 Pro zuverlässig laufen sollte.

 

Ich werde mir an dem zickenden Satelliten-PC dann wohl weiterhin mit einem net use mit Nutzername und (im Klartext lesbaren) Kennwort behelfen müssen.

 

Danke - Michael

[mwiederkehr 351]

Evtl. ist beim Anmeldescript die Benutzersitzung noch nicht so weit aufgebaut, um Zugriff auf den verschlüsselten Speicher mit den Zugangsdaten zu gewährleisten? Hilft eine Pause von zehn Sekunden im Script?

 

Oder hat der Benutzer Adminrechte und das Script wird mit erhöhten Rechten ausgeführt (oder die Zugangsdaten wurden mit erhöhten Rechten eingetragen)? Bei UAC gibt es zwei verschiedene Kennwortspeicher, einen "normalen" und einen für Sitzungen mit erhöhten Rechten.

[sg08234 10]

Danke!

 

Pause von 30 Sekunden im Skript hat nicht geholfen.

 

Der Benutzer hat Admin-Rechte. Meines Wissens nach wird ein GOP-Anmeldeskript aber eh immer mit erhöhten Rechten ausgeführt, daher habe ich den Registry-Eintrag "EnableLinkedConnections" gesetzt. Und ein net use mit Nutzername und Kennwort funktioniert ja. Es muss m.E. also an der Abarbeitung der Credentials liegen.

 

Michael

[BOfH_666 568]

... und ... 

 

vor 11 Stunden schrieb BOfH_666:

... die Konten der zugreifenden PCs auf Deinem NAS zu berechtigen ist keine Option?

 

... dann brauchst Du auf den einzelnen PCs überhaupt nicht mit Credentials rumfummelm, sondern hast alles an einer Stelle - auf Deinem Nas!?   

[sg08234 10]

Ein NAS bringt zusätzliche Komplexität und Energiekosten in das "System" (keppt it simple) und eigentlich ist cmdkey ja keine abwegige Funktion und wird von Microsoft auch offiziell unterstützt.

 

Und an einer Stelle habe ich es auf meinem Master-PC auch.

 

Michael

[cj_berlin 1.137]

vor 18 Minuten schrieb sg08234:

Der Benutzer hat Admin-Rechte.

Und spätestens hier ist es dann vollkommen wurscht, welche vermeintlichen Sicherheitsmaßnahmen Du wo ergreifst. Leg einfach auf dem Master-PC gleichlautende Konten mit gleichen Kennwörtern an, sensibilisiere die User, dass sie die Kennwortänderungen 2x machen müssen, und vergiss den ganten CredMan-Kram.

[BOfH_666 568]

vor 1 Minute schrieb sg08234:

Ein NAS bringt zusätzliche Komplexität und Energiekosten in das "System"

 

Ooops ... dann hatte ich das falsch verstanden ... Sorry ... ich hatte im Hinterkopf, dass Du die Freigaben auf einem NAS zur Verfügung stellst.

 

vor 2 Minuten schrieb sg08234:

Und an einer Stelle habe ich es auf meinem Master-PC auch.

 

Na dann kannst Du doch dort die entsprechenden Konten berechtigen, oder?

[cj_berlin 1.137]

vor 20 Minuten schrieb sg08234:

Meines Wissens nach wird ein GOP-Anmeldeskript aber eh immer mit erhöhten Rechten ausgeführt

Hast Du da auch ne Quelle zu, aus der Dein Wissen stammt?

[sg08234 10]

Und spätestens hier ist es dann vollkommen wurscht, welche vermeintlichen Sicherheitsmaßnahmen Du wo ergreifst. Leg einfach auf dem Master-PC gleichlautende Konten mit gleichen Kennwörtern an, sensibilisiere die User, dass sie die Kennwortänderungen 2x machen müssen, und vergiss den ganten CredMan-Kram.
Danke - Genau das ist für den zickenden Client-PC nicht der Fall - Werde ich testen. Ich tue mich nur mit im Freitext lesbaren Kennworten schwer (ist aber vielleicht eh egal).

 

Na dann kannst Du doch dort die entsprechenden Konten berechtigen, oder?
Berechtigung für "alle" sind gesetzt (sonst würde net use mit Nutzername und Kennwort ja auch nicht funktionieren).
 

Meines Wissens nach wird ein GPO-Anmeldeskript aber eh immer mit erhöhten Rechten ausgeführt. Hast Du da auch ne Quelle zu, aus der Dein Wissen stammt?
Aus der Erinnerung und der Tatsachen, dass das Setzen des Registry-Eintrags "EnableLinkedConnections" im Anmelde-Sktipt funktioniert, welches ja erhöhte Rechte fordert. Ist das ein Trugschluss?

 

Danke an alle - Michael

[cj_berlin 1.137]

vor 6 Minuten schrieb sg08234:

Ich tue mich nur mit im Freitext lesbaren Kennworten schwer (ist aber vielleicht eh egal).

Das ehrt Dich - ist aber in diesem speziellen Fall vermutlich eh egal, denn wenn ich einen Deiner User phishe (hat Adminrechte, wir erinnern uns!), komme ich an CredMan aller lokaler Benutzer auf dieser Maschine so oder so ran.