anulu1
Goto Top

Nachrichten Alarmsystem selber basteln

Hallo,
wir wollen uns ein Nachrichten Alarm System in unserer 2008R2 Domäne mit Windows 7/8 Clients selber basteln. Anforderung ist es dass jeder Benutzer in der Startleiste ein Icon hat . Wenn er darauf klickt erscheint an jedem PC in der Domäne die Hilfe Nachricht. Das funktioniert im Test aber nur mit lokalen Admin Rechten und zwar jeder Benutzer auf jedem PC. Natürlich könnte man in der cmd Datei die die Nachricht schickt auch das Admin Paßwort hinterlegen aber das sollen die Benutzer ja nicht sehen. Also geht das nicht.

Meine Lösungsansätze:
Gibt es eine Policy die regelt wer Nachrichten senden darf?
Könnte man einen Serviceadmin der sich nicht am System anmelden darf verwenden?
Könnte man das Paßwort in der CMD Datei verschlüsseln bzw. auf eine andere CMD datei verweisen die die Benutzer nicht ansehen können?

Hat sonst noch jemand eine Idee?

Gruß,
Anulu

Content-Key: 257521

Url: https://administrator.de/contentid/257521

Ausgedruckt am: 19.03.2024 um 07:03 Uhr

Mitglied: 114757
114757 12.12.2014 aktualisiert um 16:56:44 Uhr
Goto Top
Moin,
lerne richtig programmieren, dann macht man das vernünftig mit Anwendungen via TCP/UDP Sockets.

Das Batch-Gebastel gibt 100% nichts vernünftiges.

Gruß jodel32
Mitglied: Pjordorf
Pjordorf 12.12.2014 um 17:54:21 Uhr
Goto Top
Hallo,

Zitat von @Anulu1:
Meine Lösungsansätze:
Du klärst erst mal womit die Nachrichten gesendet werden sollen
Du ermittelst mit welchen Rechten deine Nachrichten gesendet werden können bzw. Empfangen werden dürfen
Wenn deine Benutzer keine Admin Rechte besitzen, diese die Passwörter nicht wissen sollen dann prüfen ob es über einen geplanten Task möglich ist deine Nachrichten zu versenden (Ja, ein Benutzer kann ein Task anstoßen welches dann mit Admin rechten....)
Du ermittelst welche Firewall Richtlinien dein Nachrichtensystem benötigt.

Dann kannst du uns gerne gezielt fragen.

Net Send und MSG sind nicht umsonst Weltweit zu den gebannten verfrachtet worden....

Gibt es eine Policy die regelt wer Nachrichten senden darf?
Wenn du eine erstellt hast, ja.

Könnte man einen Serviceadmin der sich nicht am System anmelden darf verwenden?
?!?

Könnte man das Paßwort in der CMD Datei verschlüsseln bzw. auf eine andere CMD datei verweisen die die Benutzer nicht ansehen können?
Nein. Auch alle diese Augenwischereien tun es nicht wirklich, denn zum Ausführen muss das entpackt werden und dann steht alle wieder in Klartext in den Temporären....

Hat sonst noch jemand eine Idee?
Ja, liefere uns etwas mehr an Infos.

Gruß,
Peter
Mitglied: DerWoWusste
Lösung DerWoWusste 12.12.2014, aktualisiert am 15.12.2014 um 14:38:00 Uhr
Goto Top
Moin.

Ich knüpfe mal an LKS (Edit: ups, das war wohl eher Pjordorf... face-smile ) an. Du kannst das mit simplen Tasks und der msg.exe lösen. User wird berechtigt einen Task zu starten, der dann mit einem globalen Admin läuft und sendet. Vom Aufwand her nicht schwierig, auch per GPOs verteilbar das Ganze. Einziger Haken: das, was der Task startet, darf auf keinen Fall vom User modifizierbar sein, sonst schreibt der da ganz andere Dinge rein, und wird danach selbst Admin/globaler Admin.

Leg dieses Kommando also unbedingt auf einer Freigabe ab, die von Usern nicht beschreibbar ist - auf gar keinen Fall lokal ablegen!

Wie Du siehst, Sicherheitsbedenken sind bei der Sache nicht weit.

Edit: siehe auch http://blog.jonashaglund.com/2010/04/net-send-vs-msgexe.html für technische Details (Port 445 muss dafür auf...gar nicht gut - Ersatzweise 135, 137, 138, und 139 - auch nicht besser).
Mitglied: Anulu1
Anulu1 15.12.2014 um 14:38:54 Uhr
Goto Top
Danke DerWoWusste! Damit kann ich was anfangenface-smile
Mitglied: Pjordorf
Pjordorf 15.12.2014 um 14:50:22 Uhr
Goto Top
Hi DWW,

an LKS (Edit: ups, das war wohl eher Pjordorf... face-smile )
ich wünsche mir zu Weihnachten einige seiner (LKS) als meine auszugeben face-smile

Gruß,
Peter