PS Confirm-SecureBootUEFI im Startup-Skript

[ineedhelp 12]

@All

 

Das Cmdlet Confirm-SecureBootUEFI benötigt administratrive Rechte. Es ist doch richtig, dass der SYSTEM-Benutzer administrative Rechte hat. Leider kommt bei der Ausführung von Confirm-SecureBootUEFI in dem Startup-Skript die Fehlermeldug, dass der Zugriff verweigert wurde.  Lässt sich der Secureboot Status auf eine andere Art ermitteln?

 

 

**********************
nStart der Windows PowerShell-Aufzeichnung
Startzeit: 20250601100000
Benutzername: LABDOM\SYSTEM
RunAs-Benutzer: LABDOM\SYSTEM
Konfigurationsname: 
Computer: LabPC-X (Microsoft Windows NT 10.0.19045.0)
Hostanwendung:  -ExecutionPolicy ByPass -File \\labdom.local\netlogon\Startups\Test-Win11.ps1 -OutCsv \\Lab-FS\Reports$\Windows11Compatibility\Compatibility.csv
Prozess-ID: 4711
PSVersion: 5.1.19041.5848
PSEdition: Desktop
PSCompatibleVersions: 1.0, 2.0, 3.0, 4.0, 5.0, 5.1.19041.5848
BuildVersion: 10.0.19041.5848
CLRVersion: 4.0.30319.42000
WSManStackVersion: 3.0
PSRemotingProtocolVersion: 2.3
SerializationVersion: 1.1.0.1
**********************
Die Aufzeichnung wurde gestartet. Die Ausgabedatei ist "\\Lab-FS\Transcripts$\LabPC-X.txt".
PS>TerminatingError(Confirm-SecureBootUEFI): "Es konnten keine ordnungsgemäßen Berechtigungen festgelegt werden. Zugriff verweigert."
Confirm-SecureBootUEFI : Es konnten keine ordnungsgemäßen Berechtigungen festgelegt werden. Zugriff verweigert.
In \\labdom.local\netlogon\Startups\Test-Win11.ps1:50 Zeichen:21
+ $secureBootStatus = Confirm-SecureBootUEFI
+                     ~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : PermissionDenied: (Microsoft.Secur...BootUefiCommand:ConfirmSecureBootUefiCommand) 
[Confirm-SecureBootUEFI], UnauthorizedAccessException
    + FullyQualifiedErrorId : SetPrivilegeFailed,Microsoft.SecureBoot.Commands.ConfirmSecureBootUefiCommand
Confirm-SecureBootUEFI : Es konnten keine ordnungsgemäßen Berechtigungen festgelegt werden. Zugriff verweigert.
In \\labdom.local\netlogon\Startups\Test-Win11.ps1:50 Zeichen:21
+ $secureBootStatus = Confirm-SecureBootUEFI
+                     ~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : PermissionDenied: (Microsoft.Secur...BootUefiCommand:ConfirmSecureBootUefiCommand) [Conf
   irm-SecureBootUEFI], UnauthorizedAccessException
    + FullyQualifiedErrorId : SetPrivilegeFailed,Microsoft.SecureBoot.Commands.ConfirmSecureBootUefiCommand

 

[testperson 1.956]

Hi,

 

liegt der Access Denied möglicherweise daran, dass das Computerkonto / die Computerkonten keinen Zugriff auf "\\Lab-FS\Reports$" haben?

 

Ansonsten lässt sich das per PsExec (PsExec - Sysinternals | Microsoft Learn) auch im Systemkontext troubleshooten.

\PsExec.exe -i -s powershell.exe

whoami
 -> nt authority\system

Confirm-SecureBootUEFI
 -> True 

 

Gruß

Jan

[cj_berlin 1.557]

Moin,

 

a. [spoiler] weist auf einen Cross-Post hin. Bitte Hinweis und Link.

b. wer ist LABDOM? Ist es der Name des Computers oder der Name der Domäne? Wie ist das Skript getriggert?

c. Registry: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\State --> UEFISecureBootEnabled (1 = ja, 0 = nein)

[ineedhelp 12]

vor 27 Minuten schrieb testperson:

liegt der Access Denied möglicherweise daran, dass das Computerkonto / die Computerkonten keinen Zugriff auf "\\Lab-FS\Reports$" haben?

Die Computerkonten haben Zugriff auf Freigabe.

 

vor 17 Minuten schrieb cj_berlin:

a. [spoiler] weist auf einen Cross-Post hin. Bitte Hinweis und Link.

Scheinbar wird der Spoiler-Tag von diesem Forum nicht unterstützt. 

vor 20 Minuten schrieb cj_berlin:

b. wer ist LABDOM? Ist es der Name des Computers oder der Name der Domäne? Wie ist das Skript getriggert?

LABDOM ist der Domänenname. Das Skript läuft als Anmeldeskript.

vor 21 Minuten schrieb cj_berlin:

c. Registry: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\State --> UEFISecureBootEnabled (1 = ja, 0 = nein)

Vielen Dank. Wenn Confirm-SecureBootUEFI weiterhin einen Fehler wirf, dann überprüfe ich diesen Registryeintrag.

[testperson 1.956]

vor 1 Stunde schrieb ineedhelp:

Leider kommt bei der Ausführung von Confirm-SecureBootUEFI in dem Startup-Skript die Fehlermeldug

 

vor 9 Minuten schrieb ineedhelp:

Das Skript läuft als Anmeldeskript.

 

Hier müsstest du nochmal prüfen, wo du das Script konfiguriert hast.

 

Wenn es als (Benutzer) Anmeldeskript läuft fehlen tatsächlich die Berechtigungen. Es muss zwingend als Startup-Skript laufen, damit es als "SYSTEM" ausgeführt wird.

[ineedhelp 12]

vor 40 Minuten schrieb testperson:

Das Skript läuft als Anmeldeskript.

Da war ich sehr ungenau. Es läuft als Startskript -> Computerkonfiguration/Richtlinien/Windows-Einstellungen/Skripts/Starten/Reiter PowerShell Skripts

[cj_berlin 1.557]

Moin,

 

ich habe es schnell nachgestellt. Selbes Verhalten wie bei Dir, obwohl der Check am Anfang meines Tests sagt. dass es mit erhöhten Rechten läuft.

Offensichtlich fehlt ihm seDebugPrivilege oder so etwas. Aber bevor ich anfange, das zu enablen, dann schon lieber Registry  

[Lian 2.800]

vor 10 Stunden schrieb ineedhelp:

Scheinbar wird der Spoiler-Tag von diesem Forum nicht unterstützt. 

Wir unterstützen nativ Quellcode, dazu bitte den Editor-Button "</>" benutzen...

[ineedhelp 12]

vor 12 Stunden schrieb cj_berlin:

ich habe es schnell nachgestellt. Selbes Verhalten wie bei Dir, obwohl der Check am Anfang meines Tests sagt. dass es mit erhöhten Rechten läuft.

Offensichtlich fehlt ihm seDebugPrivilege oder so etwas. Aber bevor ich anfange, das zu enablen, dann schon lieber Registry  

Vielen Dank, dass Du nocheinmal nachgestellt hast. Mein Skript habe ich schon erweitert, dass die Registry abgefragt wird..