EmmKay 2 Posted November 12 Report Share Posted November 12 @ALL Per Aufgabenplanung möchte ich ein PowerShell-Skript ausführen, welches in der NETLOGON-Freigabe abgelegt und zusätzlich signiert ist. Die Aktion der Aufgabe habe ich ich wie folgt angegeben. C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoProfile -NoExit -ExecutionPolicy ByPass -File \\meine_domäne.de\netlogon\myscript.ps1 -Path \\server\freigabe (Parameter -NoExit NUR für Testzwecke) Die PowerShell-Konsole gibt mir folgende Sicherheitswarnung aus: Führen Sie ausschließlich vertrauenswürdige Skripts aus. Skripts aus dem Internet .... Wenn Sie diesem Skript vertrauen, lassen Sie mit dem CmdLet "Unblock-File" die .... Möchten Sie "\\meine_domäne.de\netlogon\myscript.ps1" ausführen? .... Unblock-File habe ich für das Skript ausgeführt. Get-Item myscript.ps1 -Stream 'zone.identifierr' -ErrorAction SilentlyContinue gibt mir auch nichts zurück. Die Auflistung der Ausführungsrichtlinien für die unterschiedlichen Bereiche sieht wie folgt aus: MachinePolicy -> Unrestricted UserPolicy -> Undefined Process -> ByPass CurrentUser -> Undefined LocalMachine -> RemoteSigned Die effektive Ausführungsrichtlinie wäre dem nach Unrestricted. Wie kann ich das Skript per Aufgabenplanung aus der NETLOGON-Freigabe ohne Bestätigungsaufforderung ausführen? Für eine Lösung wäre ich sehr dankbar. Quote Link to comment
Solution cj_berlin 1,327 Posted November 12 Solution Report Share Posted November 12 (edited) Moin, nein, LocalMachine überschreibt MachinePolicy, somit ist Deine resultierende Policy RemoteSigned, was Du auch lt. PowerShell-Ausgabe erlebst. Und hier beißt Dich etwas, was tatsächlich kontraintuitiv ist: Wenn Execution Policy über GPO gesetzt ist, kann sie nicht an der Kommandozeile übersteuert werden, auch wenn die GPO eine schwächere Einstellung hat als die resultierende Policy. Check mal, warum etwas, was aus einem UNC-Pfad aufgerufen wird, als "Remote" angesehen wird - by default sind UNC-Pfade Teil der Zone "Lokales Intranet". Vielleicht wurde das Skript bereits bei der Übertragung NACH NETLOGON als "Remote" markiert... vergiss es, habe es jetzt gelesen. Alternative wäre, das signierende Skript zu "Trusted Publishers" hinzuzufügen. EDIT: Das hinzufügen von "meine_domäne.de" zu der LocalIntranet-Zone scheint zu helfen. Edited November 12 by cj_berlin Quote Link to comment
EmmKay 2 Posted November 12 Author Report Share Posted November 12 vor 1 Stunde schrieb cj_berlin: nein, LocalMachine überschreibt MachinePolicy, somit ist Deine resultierende Policy RemoteSigned, was Du auch lt. PowerShell-Ausgabe erlebst. Und hier beißt Dich etwas, was tatsächlich kontraintuitiv ist: Wenn Execution Policy über GPO gesetzt ist, kann sie nicht an der Kommandozeile übersteuert werden, auch wenn die GPO eine schwächere Einstellung hat als die resultierende Policy. Ja. Das verwirrt mich immer wieder. Ich dachte immer, dass Get-ExecutionPolicy ohne Parameter die effektive Ausführungsrichtlinie anzeigt. vor einer Stunde schrieb cj_berlin: EDIT: Das hinzufügen von "meine_domäne.de" zu der LocalIntranet-Zone scheint zu helfen. Leider funktioniert es nicht. Die Domäne hatte ich bereits in der Zonenzuweisung eingetragen. Es ist doch richtig unter Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet-Explorer\Internetsystemsteuerung\Sicherheitsseite\Liste der Site zu Zonenzuweisungen Vielleicht sind die Einträge verkehrt? Dort steht: \\meine_domäne.de -> 1 file://meine_domäne.de -> 1 \\server -> 1 file://server -> 1 Danke schon mal. Quote Link to comment
cj_berlin 1,327 Posted November 12 Report Share Posted November 12 Versuch's nur mit dem Domänen-FQDN, ohne Protokoll. So hat's hier auf Anhieb funktioniert. Quote Link to comment
Sunny61 807 Posted November 12 Report Share Posted November 12 Prüf doch mal gem. diese Artikel: https://www.gruppenrichtlinien.de/artikel/konfiguration-der-internet-explorer-zonenzuweisung-internet-explorer-zonemapping https://www.gruppenrichtlinien.de/artikel/fehler-beim-anwenden-internet-explorer-zonemapping-liste-der-site-zu-zonenzuweisungen Quote Link to comment
daabm 1,360 Posted November 13 Report Share Posted November 13 vor 16 Stunden schrieb EmmKay: Vielleicht sind die Einträge verkehrt? Dort steht: \\meine_domäne.de -> 1 file://meine_domäne.de -> 1 \\server -> 1 file://server -> 1 Ja, sind verkehrt... Die 2 mit "file://" funktionieren, helfen hier aber nicht. Die zwei mit "\\" funktionieren nicht. https://evilgpo.blogspot.com/2016/03/internet-explorer-site-zu.html Und 1 ist auch falsch, das sollte 2 sein (lokales Intranet). Quote Link to comment
EmmKay 2 Posted November 13 Author Report Share Posted November 13 vor 22 Stunden schrieb cj_berlin: Versuch's nur mit dem Domänen-FQDN, ohne Protokoll. So hat's hier auf Anhieb funktioniert. vor 6 Stunden schrieb daabm: Ja, sind verkehrt... Die 2 mit "file://" funktionieren, helfen hier aber nicht. Die zwei mit "\\" funktionieren nicht. https://evilgpo.blogspot.com/2016/03/internet-explorer-site-zu.html Und 1 ist auch falsch, das sollte 2 sein (lokales Intranet). Bei funktioniert es leider nicht. FQDN der Domäne (meine_domäne.de) mit dem Wert 2 in die Gruppenrichtlinie eingetragen. Die Zonenzuweisung wurde erfolgreich auf dem Testsystem aktualisiert. Evtl. hilft dieser Eintrag aus dem Anwendungs- und Dienstprotokoll Microsoft/Windows/PowerShell weiter: Wo wurde festgelegt, dass das Skript nicht ausgeführt werden kann. Ist damit die Ausführungsrichtlinie gemeint? Vielen Dank. Quote Link to comment
cj_berlin 1,327 Posted November 13 Report Share Posted November 13 Wieso 2? Ich dachte, 1 wäre Local Intranet? Quote Link to comment
MurdocX 952 Posted November 13 Report Share Posted November 13 Behandeln von Fehlern bei der Internet Explorer-Zonemapping bei der Verarbeitung von Gruppenrichtlinien - Browsers | Microsoft Learn Zitat Die Richtlinie "Site to Zone Assignment List" Das Format der Richtlinie für die Website-Zu-Zonen-Zuweisungsliste wird in der Richtlinie beschrieben. Mit dieser Richtlinieneinstellung können Sie eine Liste von Websites verwalten, die Sie einer bestimmten Sicherheitszone zuordnen möchten. Diese Zonennummern weisen Sicherheitseinstellungen auf, die für alle Websites in der Zone gelten. Internet Explorer verfügt über vier Sicherheitszonen, die von dieser Richtlinieneinstellung verwendet werden, um Websites zonen zuzuordnen. Sie werden nummeriert 1 und 4 in absteigender Reihenfolge von am wenigsten vertrauenswürdig definiert: Zone "Lokales Intranet" Zone der vertrauenswürdigen Sites Zone „Internet“ Zone eingeschränkter Sites Als Hilfestellung. Quote Link to comment
EmmKay 2 Posted November 13 Author Report Share Posted November 13 vor 5 Minuten schrieb cj_berlin: Wieso 2? Ich dachte, 1 wäre Local Intranet? Lt. Hilfetext zum GPO-Einstellung Liste der Site zu Zonenzuweisungen ist Intranet die Zone 1. Aber auch damit funktioniert es nicht bei mir. Quote Link to comment
daabm 1,360 Posted November 13 Report Share Posted November 13 vor einer Stunde schrieb cj_berlin: Wieso 2? Ich dachte, 1 wäre Local Intranet? Bring ich ständig durcheinander, bitte hilf mir über die Straße vor 2 Stunden schrieb EmmKay: Die Zonenzuweisung wurde erfolgreich auf dem Testsystem aktualisiert. Und wirkt sie auch? Dazu Internet Explorer starten, eine beliebige Datei auf dem Share öffnen (txt oder Dummy-html) und in den Eigenschaften nachschauen, in welche Zone die einsortiert wurde. Ist der einfachste mir bekannte Weg... BTW: Applocker ist nicht zufällig auch noch beteiligt? Am 12.11.2024 um 14:52 schrieb EmmKay: Get-Item myscript.ps1 -Stream 'zone.identifierr' Das doppelte r hinten ist hoffentlich nur ein Tippfehler im Forum? Quote Link to comment
EmmKay 2 Posted November 14 Author Report Share Posted November 14 vor 15 Stunden schrieb daabm: vor 17 Stunden schrieb EmmKay: Die Zonenzuweisung wurde erfolgreich auf dem Testsystem aktualisiert. Und wirkt sie auch? Dazu Internet Explorer starten, eine beliebige Datei auf dem Share öffnen (txt oder Dummy-html) und in den Eigenschaften nachschauen, in welche Zone die einsortiert wurde. Ist der einfachste mir bekannte Weg... Die Werte unterhalb von HLM\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings werden entsprechend gesetzt. Zusätzlich habe ich in der Gruppenrichtlinie den Einstellung Sicherheitszonen: Nur Computereinstellungen verwenden aktiviert. (Der Wert Security_HKLM_only i.d. o.g Schlüssel wurde auf 1 gesetzt.) Leider alles ohne Erfolg. Die geöffnete Dummyhtmlseite von NETLOGON wurde der Zone Internet zugeordnet. Nachdem ich die Gruppenrichtlinie wieder deaktiviere habe, um die Domäne manuell zur Zone Lokales Intranet hinzufügen, wird das Skript anstandslos ausgeführt und die Dummyhtmlseite auch der Zone Lokales Intranet zugeordnet. vor 15 Stunden schrieb daabm: BTW: Applocker ist nicht zufällig auch noch beteiligt? Der Dienst Application Identity läuft nicht. vor 15 Stunden schrieb daabm: Das doppelte r hinten ist hoffentlich nur ein Tippfehler im Forum? Ja. Das war ein Tippfehler im Forum. Vielen Dank. Quote Link to comment
daabm 1,360 Posted November 14 Report Share Posted November 14 vor 2 Stunden schrieb EmmKay: Die Werte unterhalb von HLM\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings werden entsprechend gesetzt. Zusätzlich habe ich in der Gruppenrichtlinie den Einstellung Sicherheitszonen: Nur Computereinstellungen verwenden aktiviert. (Der Wert Security_HKLM_only i.d. o.g Schlüssel wurde auf 1 gesetzt.) Leider alles ohne Erfolg. Die geöffnete Dummyhtmlseite von NETLOGON wurde der Zone Internet zugeordnet. Nachdem ich die Gruppenrichtlinie wieder deaktiviere habe, um die Domäne manuell zur Zone Lokales Intranet hinzufügen, wird das Skript anstandslos ausgeführt und die Dummyhtmlseite auch der Zone Lokales Intranet zugeordnet. Dann ist wohl "irgendwas" in deinen Zonenzuordnungen nicht in Ordnung. Was, weiß ich nicht. Quote Link to comment
Sunny61 807 Posted November 14 Report Share Posted November 14 vor 3 Stunden schrieb EmmKay: Nachdem ich die Gruppenrichtlinie wieder deaktiviere habe, um die Domäne manuell zur Zone Lokales Intranet hinzufügen, wird das Skript anstandslos ausgeführt und die Dummyhtmlseite auch der Zone Lokales Intranet zugeordnet. Dann solltest Du jetzt in der Registy Details sehen und das so nachbauen können. Quote Link to comment
EmmKay 2 Posted November 14 Author Report Share Posted November 14 Peinlicherweise habe ich den Fehler gefunden; Internet Explorer Enhanced Security Configuration war aktiviert. Zum Deaktivieren von Internet Explorer ESC habe ich bisher keine Einstellung in den Gruppenrichtlinien gefunden. Es doch richtig, dass ich die entsprechende Registierungseinträge per GPP setzen muss? Danke nochmal für Eure Hilfe. Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.