6
Anmeldeskript im Sicherheitskontext des Admins
Hallo zusammen,
habe folgendes Problem:
Möchte gerne bei der Anmeldung an der Domäne (Windows 2000) auf jedem PC ein Batch-Skript laufen lassen.
Egal wo ich es jedoch jetzt im Active Directory eintrage, es wird ja immer im Sicherkontext des aktuellen Benutzers ausgeführt. Dieses Script verändert jedoch Einstellungen, bei den Admin-Rechte erfoderlich sind.
Bei meinem aktuellen Fall handelt es sich um ein Batch-Script von einem Software-Hersteller, welches entsprechende Korrekturen an den Client-Installationen vornehmen soll. Eine entsprechende Fehlerbehandlung in dem Script sieht vor, dass die Software eventuell nicht auf dem Client installiert ist bzw. das Script mehrfach ausgeführt wird. Deshalb wäre der zentrale Anmeldeprozess für die Ausführung des Scripts ideal.
Wie geht Ihr da vor?
Gruß
Sascha
habe folgendes Problem:
Möchte gerne bei der Anmeldung an der Domäne (Windows 2000) auf jedem PC ein Batch-Skript laufen lassen.
Egal wo ich es jedoch jetzt im Active Directory eintrage, es wird ja immer im Sicherkontext des aktuellen Benutzers ausgeführt. Dieses Script verändert jedoch Einstellungen, bei den Admin-Rechte erfoderlich sind.
Bei meinem aktuellen Fall handelt es sich um ein Batch-Script von einem Software-Hersteller, welches entsprechende Korrekturen an den Client-Installationen vornehmen soll. Eine entsprechende Fehlerbehandlung in dem Script sieht vor, dass die Software eventuell nicht auf dem Client installiert ist bzw. das Script mehrfach ausgeführt wird. Deshalb wäre der zentrale Anmeldeprozess für die Ausführung des Scripts ideal.
Wie geht Ihr da vor?
Gruß
Sascha
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 27881
Url: https://administrator.de/contentid/27881
Printed on: April 20, 2024 at 01:04 o'clock
6 Comments
Latest comment
Möchte gerne bei der Anmeldung an der Domäne (Windows 2000) auf jedem PC ein
Batch-Skript laufen lassen.
am besten als VBS-ScriptBatch-Skript laufen lassen.
Egal wo ich es jedoch jetzt im Active Directory eintrage, es wird ja immer im Sicherkontext
des aktuellen Benutzers ausgeführt.
Yo, liegt in der Natur der Sache, Anwender sollen das Windows nicht plätten, dass machen die admins dann schon.des aktuellen Benutzers ausgeführt.
Dieses Script verändert jedoch Einstellungen, bei den
Admin-Rechte erfoderlich sind.
Admin-Rechte erfoderlich sind.
vielleicht reicht es ja, wenn Du die "Domänenbenutzer Gruppe" der lokalen "Admininistratoren Gruppe" hinzufügst.
Allerdings halte ich das für sehr bedenklich.
Bei meinem aktuellen Fall handelt es sich um ein Batch-Script von einem Software-Hersteller,
welches entsprechende Korrekturen an den Client-Installationen vornehmen soll. Eine
entsprechende Fehlerbehandlung in dem Script sieht vor, dass die Software eventuell nicht
auf dem Client installiert ist bzw. das Script mehrfach ausgeführt wird. Deshalb wäre der
zentrale Anmeldeprozess für die Ausführung des Scripts ideal.
welches entsprechende Korrekturen an den Client-Installationen vornehmen soll. Eine
entsprechende Fehlerbehandlung in dem Script sieht vor, dass die Software eventuell nicht
auf dem Client installiert ist bzw. das Script mehrfach ausgeführt wird. Deshalb wäre der
zentrale Anmeldeprozess für die Ausführung des Scripts ideal.
Ja schon, aber das bedeutet dann auch, dass sich der Anwender jegliche Art von Software installieren kann.
Wie geht Ihr da vor?
In einem solchen Fall ist eine Softwareverteilung, da solche Programme als Dienst arbeiten.
Der Dienst installiert dann die Software, und der ist Domänenadmin.
Gruß
Peter
Hi sata,
vielleicht hilft es, diesen Teil des Scriptes in ein extra Script auszulagern und das beim Starten der Clients auszuführen (in der Gruppenrichtlinie, aber unter Computerkonfiguration / Windows-Einstellungen und nicht unter Benutzerkonfiguration). Das Script dort sollte als lokales System laufen und die Rechte haben.
Gruß,
Thomas
vielleicht hilft es, diesen Teil des Scriptes in ein extra Script auszulagern und das beim Starten der Clients auszuführen (in der Gruppenrichtlinie, aber unter Computerkonfiguration / Windows-Einstellungen und nicht unter Benutzerkonfiguration). Das Script dort sollte als lokales System laufen und die Rechte haben.
Gruß,
Thomas
Hallo Thomas,
bist du dir da sicher? Ich dachte die Skripte würden auch von dieser Stelle aus in dem Sicherheitskontext des angemeldeten Benutzers ausgeführt.
Vielen Dank für die Antworten!
Gruß
Sascha
bist du dir da sicher? Ich dachte die Skripte würden auch von dieser Stelle aus in dem Sicherheitskontext des angemeldeten Benutzers ausgeführt.
Vielen Dank für die Antworten!
Gruß
Sascha
Wir haben Updates schonmal in einer NT-Domäne mit AutoIt-Skripten gelöst.
Dazu wurde die Registry so geändert dass der Rechner neu startet und automatisch als Admin anmeldet. Gleichzeitig wurden Tastatur- und Mauseingaben deaktiviert und dann das Update durchgeführt. Anschließend Registryänderung wieder Rückgängig gemacht und ein Neustart durchgeführt.
AutoIt-Skripte kann man auch in eigenständig ausführbare .exe-Dateien kompilieren. Wie sicher darin ein enthaltenes Admin-Passwort ist kann ich jetzt nicht sagen.
Ist vielleicht keine saubere Lösung hat aber funktioniert.
Gruß,
Wolfgang
Dazu wurde die Registry so geändert dass der Rechner neu startet und automatisch als Admin anmeldet. Gleichzeitig wurden Tastatur- und Mauseingaben deaktiviert und dann das Update durchgeführt. Anschließend Registryänderung wieder Rückgängig gemacht und ein Neustart durchgeführt.
AutoIt-Skripte kann man auch in eigenständig ausführbare .exe-Dateien kompilieren. Wie sicher darin ein enthaltenes Admin-Passwort ist kann ich jetzt nicht sagen.
Ist vielleicht keine saubere Lösung hat aber funktioniert.
Gruß,
Wolfgang
Also erstmal besten Dank für alle Antworten. Will erstmal sehen, ob der Eintrag in der Gruppenrichtlinie wirklich im Sicherheitskontext des admins ausgeführt wird.
Falls nicht, gibt es da ein tool psexec von sysinternals. Habe ich mal getestet. Für Skripte echt klasse!
Gruß
Sascha
Falls nicht, gibt es da ein tool psexec von sysinternals. Habe ich mal getestet. Für Skripte echt klasse!
Gruß
Sascha
Hi sata,
natürlich wird nur das Script unter Computerknfiguration als System ausgeführt, nicht die bei Benutzerkonfiguration.
Der Rechner kann ja auch einfach nur laufen ohne dass wer angemeldet ist. Wenn man ihn dann so runterfährt (Anmeldemaske oder remote) dann muss das Script welches beim Herunterfahren (nicht Abmelden!!) ausgeführt werden soll ja auch laufen. Und unter welchem User dann wenn keiner Angemeldet ist?
Gruß,
Thomas
natürlich wird nur das Script unter Computerknfiguration als System ausgeführt, nicht die bei Benutzerkonfiguration.
Der Rechner kann ja auch einfach nur laufen ohne dass wer angemeldet ist. Wenn man ihn dann so runterfährt (Anmeldemaske oder remote) dann muss das Script welches beim Herunterfahren (nicht Abmelden!!) ausgeführt werden soll ja auch laufen. Und unter welchem User dann wenn keiner Angemeldet ist?
Gruß,
Thomas
