4
WSUS mit NT Domäne
Wie verteile ich am geschicktesten den Reg Eintrag für Wsus bei den Clients?
Hi,
folgende Ausgangssituation:
NT 4.0 Domäne
W2003 Memberserver (Wsus installiert)
Clients: XP und W2K
Logon Script geschrieben der wie folgt aussieht:
@ echo off
runas /user:wsus\wsus \\192.168.10.23\netlogon\wsus.bat
exit
Die wsus.bat hat folgenden Inhalt:
@ echo off
regedit.exe /s \\192.168.10.23\netlogon\wsus.reg
exit
(Ich hätte alles auch in eine Datei schreiben können, aber das hat sich dann so ergeben und ist auch erstmal vorläufig
)
Der Punkt ist:
Um den Reg Eintrag durchzuführen sind Admin-Rechte erforderlich, diese haben Domänen User im normal Fall nicht. Also mache ich dies mit dem runas Befehl. Allerdings wird nach dem Passwort von dem wsus user (Gruppe der Domänen Admins) gefragt. (Zu Testzwecken habe ich keines hinterlegt) -> Daraus ergibt sich aber folgende Überlegung - Siehe unten:
Frage:
Kann man mit einem Befehl das "Bestätigen des Passwortes" in dem Fall einfach nur "Enter" ausführen lassen? (Das Script läuft minimiert ab und auch so schnell, dass man sowieso nichts mitbekommt, ich weiß, dass es eine unsaubere Lösung ist...)
Oder gibt es sogar noch einen ganz anderen Lösungsansatz, den ihr mir vorschlagen könntet?
MfG
Andy
folgende Ausgangssituation:
NT 4.0 Domäne
W2003 Memberserver (Wsus installiert)
Clients: XP und W2K
Logon Script geschrieben der wie folgt aussieht:
@ echo off
runas /user:wsus\wsus \\192.168.10.23\netlogon\wsus.bat
exit
Die wsus.bat hat folgenden Inhalt:
@ echo off
regedit.exe /s \\192.168.10.23\netlogon\wsus.reg
exit
(Ich hätte alles auch in eine Datei schreiben können, aber das hat sich dann so ergeben und ist auch erstmal vorläufig
)Der Punkt ist:
Um den Reg Eintrag durchzuführen sind Admin-Rechte erforderlich, diese haben Domänen User im normal Fall nicht. Also mache ich dies mit dem runas Befehl. Allerdings wird nach dem Passwort von dem wsus user (Gruppe der Domänen Admins) gefragt. (Zu Testzwecken habe ich keines hinterlegt) -> Daraus ergibt sich aber folgende Überlegung - Siehe unten:
Frage:
Kann man mit einem Befehl das "Bestätigen des Passwortes" in dem Fall einfach nur "Enter" ausführen lassen? (Das Script läuft minimiert ab und auch so schnell, dass man sowieso nichts mitbekommt, ich weiß, dass es eine unsaubere Lösung ist...)
Oder gibt es sogar noch einen ganz anderen Lösungsansatz, den ihr mir vorschlagen könntet?
MfG
Andy
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 16526
Url: https://administrator.de/contentid/16526
Printed on: April 20, 2024 at 02:04 o'clock
4 Comments
Latest comment
hi
also was mir spontan eingefallen ist: kixtart
ist eine recht einfach zu lernende scriptsprache speziell für login scripts bzw scripts aller art
es ist auch möglich registry einträge zu ändern
soweit ich weiß auch ohne adminrechte weil das script so gesehen zwischen anmelden und eigentlichen systemstart abläuft.. also kann der benutzer nicht dazwischen funken
www.kixtart.org offizielle page
http://www.scriptlogic.com/kixtart/htmlhelp/default.asp alle befehle im überblick
andere lösung die mir eingefallen ist:
pcwelt hat mal ne abart von runas programmiert da wird das pwd verschlüsselt übergeben und sone art verknüpfung angelegt (glaub ich .. is lange her)
in der verknüpfung wird ebenfalls definiert was du vor hast.. in deinem fall die registrierung zu verändern
zudem gibt es viele andere programme die runas nutzen und dann ne art "send key -> enter" dranpacken.. also einfach mal googeln
das von pc welt heißt übrigens
PcwRunAs0205.z.exe
dann gibt es noch
runasspcadmin.exe is sowas ähnliches
gruß daniel
also was mir spontan eingefallen ist: kixtart
ist eine recht einfach zu lernende scriptsprache speziell für login scripts bzw scripts aller art
es ist auch möglich registry einträge zu ändern
soweit ich weiß auch ohne adminrechte weil das script so gesehen zwischen anmelden und eigentlichen systemstart abläuft.. also kann der benutzer nicht dazwischen funken
www.kixtart.org offizielle page
http://www.scriptlogic.com/kixtart/htmlhelp/default.asp alle befehle im überblick
andere lösung die mir eingefallen ist:
pcwelt hat mal ne abart von runas programmiert da wird das pwd verschlüsselt übergeben und sone art verknüpfung angelegt (glaub ich .. is lange her)
in der verknüpfung wird ebenfalls definiert was du vor hast.. in deinem fall die registrierung zu verändern
zudem gibt es viele andere programme die runas nutzen und dann ne art "send key -> enter" dranpacken.. also einfach mal googeln
das von pc welt heißt übrigens
PcwRunAs0205.z.exe
dann gibt es noch
runasspcadmin.exe is sowas ähnliches
gruß daniel
erstmal danke für die schnell antwort!
ich hatte vergessen zu erwähnen, dass 3. Anwender Software eher unerwünscht ist (Chef beschwert sich sonst, weil es für Freeware kaum Support gibt etc... :rolleyes: )
mit dem sendkey befehl habe ich es schon ausprobiert, aber entweder geht das nicht oder ich bin zu bresig, das vernünftig einzugeben...
vielleicht schaut sich das mal einer an:
@ echo off
runas /user:wsus\wsus \\192.168.10.23\netlogon\wsus.bat
sendkeys "{enter}"
pause
Ein bischen Erläuterung:
wsus = Domäne
wsus = User in Domänen Admin Gruppe ohne Passwort
wsus\wsus sieht evtl. ein bishen verwirrend aus ;)
Nach diesem befehl "runas /user:wsus\wsus" kommt die abfrage nach dem Passwort. Den Sendkey Befehl habe ich schon hier nach eingeführt, aber dann bekomme ich Fehlermeldungen...
ich hatte vergessen zu erwähnen, dass 3. Anwender Software eher unerwünscht ist (Chef beschwert sich sonst, weil es für Freeware kaum Support gibt etc... :rolleyes: )
mit dem sendkey befehl habe ich es schon ausprobiert, aber entweder geht das nicht oder ich bin zu bresig, das vernünftig einzugeben...
vielleicht schaut sich das mal einer an:
@ echo off
runas /user:wsus\wsus \\192.168.10.23\netlogon\wsus.bat
sendkeys "{enter}"
pause
Ein bischen Erläuterung:
wsus = Domäne
wsus = User in Domänen Admin Gruppe ohne Passwort
wsus\wsus sieht evtl. ein bishen verwirrend aus ;)
Nach diesem befehl "runas /user:wsus\wsus" kommt die abfrage nach dem Passwort. Den Sendkey Befehl habe ich schon hier nach eingeführt, aber dann bekomme ich Fehlermeldungen...
also sendkeys einfach unter "DOS" geht auch nicht
da brauchst du schon ein tool
aber nochmal zu kixtart (weil das einfach die sauberste lösung ist)
drittanbietersoftware ist schon fast zu viel gesagt.
du hast deinen "compiler" ca 240kb der ist im netlogon verzeichnis und dein script... nicht mehr nicht weniger
das kann man halt so explizit programmieren das der benutzer nichts sieht keinen zugriff hat und auch sonst nichts mitbekommt....
das ideale werkzeug
wir haben hier alles damit gemacht.. anmeldung laufwerke mappen drucker zuweisen registry veränderungen usw
wenn du willst schick ich dir auch n ausschnitt aus nem script wie die sache aussehen könnte
bis dahin daniel
da brauchst du schon ein tool
aber nochmal zu kixtart (weil das einfach die sauberste lösung ist)
drittanbietersoftware ist schon fast zu viel gesagt.
du hast deinen "compiler" ca 240kb der ist im netlogon verzeichnis und dein script... nicht mehr nicht weniger
das kann man halt so explizit programmieren das der benutzer nichts sieht keinen zugriff hat und auch sonst nichts mitbekommt....
das ideale werkzeug
wir haben hier alles damit gemacht.. anmeldung laufwerke mappen drucker zuweisen registry veränderungen usw
wenn du willst schick ich dir auch n ausschnitt aus nem script wie die sache aussehen könnte
bis dahin daniel
Hi Daniel,
ja das wäre geil, wenn du mir nen Ausschnitt vom Skript und ne kleine How To Anleitung von Kixtart schicken könntest :D
ich bin im skripten/programmieren mehr als ein dau *g*
EDIT:
Falls es jemanden interessiert, hier die Lösung meines Problems:
ich hab ein kleines Tool (EBRunas 28KB groß) gefunden, wo man das PW im runas Befehl hinterlegen kann.
Die Befehlszeile sieht dann so aus:
\\192.168.10.23\netlogon\ebrunas.exe /U:administrator /D:wsus.de /P:admin /W:1 /A:"'\\192.168.10.23\netlogon\wsus.bat'"
Ist zwar doof, dass das PW in Klartext steht, aber wenn man einen temporären Admin mit komischen Usernamen nimmt und als PW * geht das schon als Lösung.
ja das wäre geil, wenn du mir nen Ausschnitt vom Skript und ne kleine How To Anleitung von Kixtart schicken könntest :D
ich bin im skripten/programmieren mehr als ein dau *g*
EDIT:
Falls es jemanden interessiert, hier die Lösung meines Problems:
ich hab ein kleines Tool (EBRunas 28KB groß) gefunden, wo man das PW im runas Befehl hinterlegen kann.
Die Befehlszeile sieht dann so aus:
\\192.168.10.23\netlogon\ebrunas.exe /U:administrator /D:wsus.de /P:admin /W:1 /A:"'\\192.168.10.23\netlogon\wsus.bat'"
Ist zwar doof, dass das PW in Klartext steht, aber wenn man einen temporären Admin mit komischen Usernamen nimmt und als PW * geht das schon als Lösung.
