EmmKay 2 Geschrieben 12. November 2024 Melden Geschrieben 12. November 2024 @ALL Per Aufgabenplanung möchte ich ein PowerShell-Skript ausführen, welches in der NETLOGON-Freigabe abgelegt und zusätzlich signiert ist. Die Aktion der Aufgabe habe ich ich wie folgt angegeben. C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoProfile -NoExit -ExecutionPolicy ByPass -File \\meine_domäne.de\netlogon\myscript.ps1 -Path \\server\freigabe (Parameter -NoExit NUR für Testzwecke) Die PowerShell-Konsole gibt mir folgende Sicherheitswarnung aus: Führen Sie ausschließlich vertrauenswürdige Skripts aus. Skripts aus dem Internet .... Wenn Sie diesem Skript vertrauen, lassen Sie mit dem CmdLet "Unblock-File" die .... Möchten Sie "\\meine_domäne.de\netlogon\myscript.ps1" ausführen? .... Unblock-File habe ich für das Skript ausgeführt. Get-Item myscript.ps1 -Stream 'zone.identifierr' -ErrorAction SilentlyContinue gibt mir auch nichts zurück. Die Auflistung der Ausführungsrichtlinien für die unterschiedlichen Bereiche sieht wie folgt aus: MachinePolicy -> Unrestricted UserPolicy -> Undefined Process -> ByPass CurrentUser -> Undefined LocalMachine -> RemoteSigned Die effektive Ausführungsrichtlinie wäre dem nach Unrestricted. Wie kann ich das Skript per Aufgabenplanung aus der NETLOGON-Freigabe ohne Bestätigungsaufforderung ausführen? Für eine Lösung wäre ich sehr dankbar. Zitieren
Beste Lösung cj_berlin 1.435 Geschrieben 12. November 2024 Beste Lösung Melden Geschrieben 12. November 2024 (bearbeitet) Moin, nein, LocalMachine überschreibt MachinePolicy, somit ist Deine resultierende Policy RemoteSigned, was Du auch lt. PowerShell-Ausgabe erlebst. Und hier beißt Dich etwas, was tatsächlich kontraintuitiv ist: Wenn Execution Policy über GPO gesetzt ist, kann sie nicht an der Kommandozeile übersteuert werden, auch wenn die GPO eine schwächere Einstellung hat als die resultierende Policy. Check mal, warum etwas, was aus einem UNC-Pfad aufgerufen wird, als "Remote" angesehen wird - by default sind UNC-Pfade Teil der Zone "Lokales Intranet". Vielleicht wurde das Skript bereits bei der Übertragung NACH NETLOGON als "Remote" markiert... vergiss es, habe es jetzt gelesen. Alternative wäre, das signierende Skript zu "Trusted Publishers" hinzuzufügen. EDIT: Das hinzufügen von "meine_domäne.de" zu der LocalIntranet-Zone scheint zu helfen. bearbeitet 12. November 2024 von cj_berlin Zitieren
EmmKay 2 Geschrieben 12. November 2024 Autor Melden Geschrieben 12. November 2024 Am 12.11.2024 um 14:15 schrieb cj_berlin: nein, LocalMachine überschreibt MachinePolicy, somit ist Deine resultierende Policy RemoteSigned, was Du auch lt. PowerShell-Ausgabe erlebst. Und hier beißt Dich etwas, was tatsächlich kontraintuitiv ist: Wenn Execution Policy über GPO gesetzt ist, kann sie nicht an der Kommandozeile übersteuert werden, auch wenn die GPO eine schwächere Einstellung hat als die resultierende Policy. Mehr Ja. Das verwirrt mich immer wieder. Ich dachte immer, dass Get-ExecutionPolicy ohne Parameter die effektive Ausführungsrichtlinie anzeigt. Am 12.11.2024 um 14:15 schrieb cj_berlin: EDIT: Das hinzufügen von "meine_domäne.de" zu der LocalIntranet-Zone scheint zu helfen. Mehr Leider funktioniert es nicht. Die Domäne hatte ich bereits in der Zonenzuweisung eingetragen. Es ist doch richtig unter Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet-Explorer\Internetsystemsteuerung\Sicherheitsseite\Liste der Site zu Zonenzuweisungen Vielleicht sind die Einträge verkehrt? Dort steht: \\meine_domäne.de -> 1 file://meine_domäne.de -> 1 \\server -> 1 file://server -> 1 Danke schon mal. Zitieren
cj_berlin 1.435 Geschrieben 12. November 2024 Melden Geschrieben 12. November 2024 Versuch's nur mit dem Domänen-FQDN, ohne Protokoll. So hat's hier auf Anhieb funktioniert. Zitieren
Sunny61 828 Geschrieben 12. November 2024 Melden Geschrieben 12. November 2024 Prüf doch mal gem. diese Artikel: https://www.gruppenrichtlinien.de/artikel/konfiguration-der-internet-explorer-zonenzuweisung-internet-explorer-zonemapping https://www.gruppenrichtlinien.de/artikel/fehler-beim-anwenden-internet-explorer-zonemapping-liste-der-site-zu-zonenzuweisungen Zitieren
daabm 1.402 Geschrieben 13. November 2024 Melden Geschrieben 13. November 2024 Am 12.11.2024 um 15:53 schrieb EmmKay: Vielleicht sind die Einträge verkehrt? Dort steht: \\meine_domäne.de -> 1 file://meine_domäne.de -> 1 \\server -> 1 file://server -> 1 Mehr Ja, sind verkehrt... Die 2 mit "file://" funktionieren, helfen hier aber nicht. Die zwei mit "\\" funktionieren nicht. https://evilgpo.blogspot.com/2016/03/internet-explorer-site-zu.html Und 1 ist auch falsch, das sollte 2 sein (lokales Intranet). Zitieren
EmmKay 2 Geschrieben 13. November 2024 Autor Melden Geschrieben 13. November 2024 Am 12.11.2024 um 16:03 schrieb cj_berlin: Versuch's nur mit dem Domänen-FQDN, ohne Protokoll. So hat's hier auf Anhieb funktioniert. Mehr Am 13.11.2024 um 08:01 schrieb daabm: Ja, sind verkehrt... Die 2 mit "file://" funktionieren, helfen hier aber nicht. Die zwei mit "\\" funktionieren nicht. https://evilgpo.blogspot.com/2016/03/internet-explorer-site-zu.html Und 1 ist auch falsch, das sollte 2 sein (lokales Intranet). Mehr Bei funktioniert es leider nicht. FQDN der Domäne (meine_domäne.de) mit dem Wert 2 in die Gruppenrichtlinie eingetragen. Die Zonenzuweisung wurde erfolgreich auf dem Testsystem aktualisiert. Evtl. hilft dieser Eintrag aus dem Anwendungs- und Dienstprotokoll Microsoft/Windows/PowerShell weiter: Wo wurde festgelegt, dass das Skript nicht ausgeführt werden kann. Ist damit die Ausführungsrichtlinie gemeint? Vielen Dank. Zitieren
cj_berlin 1.435 Geschrieben 13. November 2024 Melden Geschrieben 13. November 2024 Wieso 2? Ich dachte, 1 wäre Local Intranet? Zitieren
MurdocX 977 Geschrieben 13. November 2024 Melden Geschrieben 13. November 2024 Behandeln von Fehlern bei der Internet Explorer-Zonemapping bei der Verarbeitung von Gruppenrichtlinien - Browsers | Microsoft Learn Zitat Die Richtlinie "Site to Zone Assignment List" Das Format der Richtlinie für die Website-Zu-Zonen-Zuweisungsliste wird in der Richtlinie beschrieben. Mit dieser Richtlinieneinstellung können Sie eine Liste von Websites verwalten, die Sie einer bestimmten Sicherheitszone zuordnen möchten. Diese Zonennummern weisen Sicherheitseinstellungen auf, die für alle Websites in der Zone gelten. Internet Explorer verfügt über vier Sicherheitszonen, die von dieser Richtlinieneinstellung verwendet werden, um Websites zonen zuzuordnen. Sie werden nummeriert 1 und 4 in absteigender Reihenfolge von am wenigsten vertrauenswürdig definiert: Zone "Lokales Intranet" Zone der vertrauenswürdigen Sites Zone „Internet“ Zone eingeschränkter Sites Mehr Als Hilfestellung. Zitieren
EmmKay 2 Geschrieben 13. November 2024 Autor Melden Geschrieben 13. November 2024 Am 13.11.2024 um 15:16 schrieb cj_berlin: Wieso 2? Ich dachte, 1 wäre Local Intranet? Mehr Lt. Hilfetext zum GPO-Einstellung Liste der Site zu Zonenzuweisungen ist Intranet die Zone 1. Aber auch damit funktioniert es nicht bei mir. Zitieren
daabm 1.402 Geschrieben 13. November 2024 Melden Geschrieben 13. November 2024 Am 13.11.2024 um 15:16 schrieb cj_berlin: Wieso 2? Ich dachte, 1 wäre Local Intranet? Mehr Bring ich ständig durcheinander, bitte hilf mir über die Straße Am 13.11.2024 um 14:42 schrieb EmmKay: Die Zonenzuweisung wurde erfolgreich auf dem Testsystem aktualisiert. Mehr Und wirkt sie auch? Dazu Internet Explorer starten, eine beliebige Datei auf dem Share öffnen (txt oder Dummy-html) und in den Eigenschaften nachschauen, in welche Zone die einsortiert wurde. Ist der einfachste mir bekannte Weg... BTW: Applocker ist nicht zufällig auch noch beteiligt? Am 12.11.2024 um 13:52 schrieb EmmKay: Get-Item myscript.ps1 -Stream 'zone.identifierr' Mehr Das doppelte r hinten ist hoffentlich nur ein Tippfehler im Forum? Zitieren
EmmKay 2 Geschrieben 14. November 2024 Autor Melden Geschrieben 14. November 2024 Am 13.11.2024 um 16:46 schrieb daabm: Am 13.11.2024 um 14:42 schrieb EmmKay: Die Zonenzuweisung wurde erfolgreich auf dem Testsystem aktualisiert. Mehr Und wirkt sie auch? Dazu Internet Explorer starten, eine beliebige Datei auf dem Share öffnen (txt oder Dummy-html) und in den Eigenschaften nachschauen, in welche Zone die einsortiert wurde. Ist der einfachste mir bekannte Weg... Mehr Die Werte unterhalb von HLM\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings werden entsprechend gesetzt. Zusätzlich habe ich in der Gruppenrichtlinie den Einstellung Sicherheitszonen: Nur Computereinstellungen verwenden aktiviert. (Der Wert Security_HKLM_only i.d. o.g Schlüssel wurde auf 1 gesetzt.) Leider alles ohne Erfolg. Die geöffnete Dummyhtmlseite von NETLOGON wurde der Zone Internet zugeordnet. Nachdem ich die Gruppenrichtlinie wieder deaktiviere habe, um die Domäne manuell zur Zone Lokales Intranet hinzufügen, wird das Skript anstandslos ausgeführt und die Dummyhtmlseite auch der Zone Lokales Intranet zugeordnet. Am 13.11.2024 um 16:46 schrieb daabm: BTW: Applocker ist nicht zufällig auch noch beteiligt? Mehr Der Dienst Application Identity läuft nicht. Am 13.11.2024 um 16:46 schrieb daabm: Das doppelte r hinten ist hoffentlich nur ein Tippfehler im Forum? Mehr Ja. Das war ein Tippfehler im Forum. Vielen Dank. Zitieren
daabm 1.402 Geschrieben 14. November 2024 Melden Geschrieben 14. November 2024 Am 14.11.2024 um 08:45 schrieb EmmKay: Die Werte unterhalb von HLM\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings werden entsprechend gesetzt. Zusätzlich habe ich in der Gruppenrichtlinie den Einstellung Sicherheitszonen: Nur Computereinstellungen verwenden aktiviert. (Der Wert Security_HKLM_only i.d. o.g Schlüssel wurde auf 1 gesetzt.) Leider alles ohne Erfolg. Die geöffnete Dummyhtmlseite von NETLOGON wurde der Zone Internet zugeordnet. Nachdem ich die Gruppenrichtlinie wieder deaktiviere habe, um die Domäne manuell zur Zone Lokales Intranet hinzufügen, wird das Skript anstandslos ausgeführt und die Dummyhtmlseite auch der Zone Lokales Intranet zugeordnet. Mehr Dann ist wohl "irgendwas" in deinen Zonenzuordnungen nicht in Ordnung. Was, weiß ich nicht. Zitieren
Sunny61 828 Geschrieben 14. November 2024 Melden Geschrieben 14. November 2024 Am 14.11.2024 um 08:45 schrieb EmmKay: Nachdem ich die Gruppenrichtlinie wieder deaktiviere habe, um die Domäne manuell zur Zone Lokales Intranet hinzufügen, wird das Skript anstandslos ausgeführt und die Dummyhtmlseite auch der Zone Lokales Intranet zugeordnet. Mehr Dann solltest Du jetzt in der Registy Details sehen und das so nachbauen können. Zitieren
EmmKay 2 Geschrieben 14. November 2024 Autor Melden Geschrieben 14. November 2024 Peinlicherweise habe ich den Fehler gefunden; Internet Explorer Enhanced Security Configuration war aktiviert. Zum Deaktivieren von Internet Explorer ESC habe ich bisher keine Einstellung in den Gruppenrichtlinien gefunden. Es doch richtig, dass ich die entsprechende Registierungseinträge per GPP setzen muss? Danke nochmal für Eure Hilfe. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.