Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Abmeldeskript läuft bei Windows XP nicht komplett durch

Frage Microsoft Windows Server

Mitglied: mr-hanky

mr-hanky (Level 1) - Jetzt verbinden

15.02.2012 um 12:59 Uhr, 3199 Aufrufe, 6 Kommentare

Moin,

arbeite momentan an einer kleinen Schwierigkeit und bräuchte ein paar kreative ideen:

nach unseren IT-Sicherheitsrichtlinien sind an allen PC's die USB-Ports für Massenspeicher (USB-Sticks) geschlossen. Diese werden mit den Einstellungen einfach nicht erkannt; Drucker, Mäuse, Tastaturen, etc können trotzdem über USB genutzt werden.
Nun gibt es einige wenige Nutzer denen (via Ausnahmeregel) die Nutzung von USB-Massenspeichern erlaubt ist. Momentan sieht die Umsetzung so aus, dass bei diesen Nutzern die Ports freigeschalten werden. Das gilt dann aber für den ganzen Rechner, also auch für dritte Nutzer, die einen Windows-Zugang aber keine Freigabe für USB-Massenspeicher haben.
Dieses Problem möchte ich lösen, indem ich bei der Anmeldung der berechtigten Nutzer ein Anmeldeskript ausführe, dass in der Registry die entsprechenden Werte setzt und beim Abmelden über ein extra Abmeldeskript diese Einstellungen wieder zurück gesetzt werden (USB-Massenspeicher werden verweigert).
Meine Lösung sieht so aus:
1. Bei Nutzeranmeldung wird Anmeldeskript gestartet (.vbs)
2. Anmeldeskript startet über Skriptparameter ein weiteres Skript mit Administratorrechten (ebenfalls .vbs)
3. das zweite Skript schreibt via regedit.exe eine .reg-Datei silent in die Registry.

Das selbe auch zum Abmelden. Das ganze funktioniert wunderbar. Der Nutzer braucht keine erweiterten Rechte um Änderungen in der Registry durchzuführen. Sollte ein Nutzer den versteckten Pfad ($-Freigabe) "durchstöbern" und die Skripte finden, kann er dennoch nicht den Admin-Nutzer und das Passwort heraus bekommen, weil diese via Skriptparameter in der entsprechenden GPO übergeben werden (also innerhalb das AD).

Problem ist nun folgendes:
Bei der Abmeldung läuft der selbe Vorgang ab (nur das hier die Freigabe für USB-Massenspeicher wieder zurück gesetzt wird). Das Skript startet während des Abmeldevorgangs. Erkennbar daran, dass sich eine DOS-Konsole öffnet. Dennoch sind die USB-Ports nach erfolgreichem Logout für USB-Massenspeicher immer noch geöffnet.

Meine Vermutung ist, dass Windows seine Systemdienste teilweise schon beendet hat, bevor das Skript komplett ausgeführt wurde.

Was meint ihr? Kann man im AD ähnlich wie bei der Systemanmeldung auch bei der Abmeldung einstellen, dass erst alle Skripts komplett durchgelaufen sein müssen, bevor die Nutzerabmeldung abgeschlossen wird?

Systeminfos:
Windows Server 2003 Enterprise (AD-Server)
Windows XP Professional SP3 (Clients)
$-Freigabe kann von allen Nutzern gelesen werden
REG-Eintrag für USB-Massenspeicher OFFEN: \HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Service\USBSTOR\ -> Start 3, Type 1
REG-Eintrag für USB-Massenspeicher GESCHLOSSEN: \HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Service\USBSTOR\ -> Start 4, Type 4



Danke im Vorraus für eure Ideen...

greetz daniel
Mitglied: Skyemugen
15.02.2012 um 13:19 Uhr
Aloha,

hast du es auch schon einmal versucht, das CurrentControlSet statt dem ControlSet001 zu nutzen?

greetz André
Bitte warten ..
Mitglied: bastla
15.02.2012 um 13:26 Uhr
... und abgesehen davon ist VBS durchaus in der Lage, selbst in die Registry zu schreiben, sodass zumindest Schritt 3 entfallen könnte ...

Grüße
bastla
Bitte warten ..
Mitglied: mr-hanky
15.02.2012 um 13:54 Uhr
hast du es auch schon einmal versucht, das CurrentControlSet statt dem ControlSet001 zu nutzen?

Wäre eine Möglichkeit. Aber wenn ein Nutzer nicht das Recht hat, in die Registry zu schreiben, dann gibt es keinen Unterschied, wo ich die Werte manipuliere.

... und abgesehen davon ist VBS durchaus in der Lage, selbst
in die Registry zu schreiben, sodass zumindest Schritt 3
entfallen könnte ...

Ich hab mich Schritt für Schritt der Lösung genähert und deswegen denn extra/überflüssigen Schritt. Wenn die Einstellungen problemlos funktionieren würden, dann wäre eine Zusammenfassung eine gute Idee.


Kleine Aktualisierung:
Habe den dritten Schritt mit der .reg-Datei raus genommen. Jetzt wird über das erste Script ein zweites VB-Script als Administrator gestartet, dass die Änderungen in der Registry vornimmt. Zusätzlich habe ich die beiden VB-Scripts zum Freigeben und Schliessen der USB-Ports für Massenspeicher um ein paar Zeilen erweitert, so das diese einen Eintrag in eine Log-Datei ausführen, wenn die druchgelaufen sind oder aber einen entsprechenden Fehlercode ausgeben, sollte es zu einem kommen.
Beim Anmelden laufen beide Scripte (das eine zum Freigeben von USB-Massenspeicher ODER das zum Sperren von USB-Massenspeicher) fehlerfrei durch und erzeugen den Log-Eintrag. Beim Abmelden wird ger kein Log-Eintrag erstellt, obwohl das Script zum Starten als Administrator geladen wird.

Ergo: Wenn das erste VB-Script gestartet wird und eines der beiden folgenden mit Administrator-Rechten lädt, werden beide scheinbar vor der kompletten Ausführung beendet.
Bitte warten ..
Mitglied: DerWoWusste
20.02.2012 um 00:05 Uhr
Moin.
http://diaryproducts.net/about/operating_systems/windows/disable_usb_st ... sollte auf alles eingehen. Dort wird auch mit net stop usbstor gearbeitet, was Dir vermutlich fehlt.
Bitte warten ..
Mitglied: mr-hanky
21.02.2012 um 09:52 Uhr
sehr gute anleitung.

leider ist das für unsere umgebung eine eher alternative lösung, da ich meinen nutzern zusätzliche Schritte möglichst ersparen will.
Bitte warten ..
Mitglied: DerWoWusste
21.02.2012 um 10:52 Uhr
Hast Du denn verstanden, was ich meine mit "net stop usbstor gearbeitet, was Dir vermutlich fehlt."? Das musst Du einbauen. Du änderst bislang nur die Startart des Dienstes, stoppst ihn aber nicht.
Bitte warten ..
Ähnliche Inhalte
Windows 10
Windows 1703 Creators Update, Abmeldeskripte, HerunterfahrenSkripte, Bug
Frage von volker01Windows 1012 Kommentare

Hallo, seit dem Windows 10 Creators Upgrade, habe ich Probleme mit den Herunterfahren- oder Abmeldeskripte. Nach dem Upgrade sieht ...

Backup
Backup Programm für komplette Images von Windows 10, 7 und Xp Clients
Frage von CrashseriousBackup24 Kommentare

Hallo liebe Administratorgemeinde, Ich bin auf der Suche nach einem Programm welches in der Lage ist ein zuverlässiges Backup ...

Windows 10
Windows 10 Funktionsupdate komplett automatisieren
gelöst Frage von tRIACTIsWindows 102 Kommentare

Hallo zusammen, ich verzweifle grade an der Automatisierung des Fall Creators Update. Die Installation mit baramundi über WSUS funktioniert ...

Netzwerke
Shrew VPN mit Windows 8.1 läuft nicht
gelöst Frage von TomJonesNetzwerke14 Kommentare

Hallo zusammen, ich habe einen Client mit Windows 8.1 x64. Ich bekomme auf diesem die IPSec VPN Verbindung nicht ...

Neue Wissensbeiträge
Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 15 StundenViren und Trojaner1 Kommentar

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 19 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Heiß diskutierte Inhalte
Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Vmware
DOS 6.22 in VMWare mit CD-ROM
gelöst Frage von hesperVmware10 Kommentare

Hallo zusammen! Ich hab ein saublödes Problem. Es ist eine VMWare mit DOS 6.22 zu erstellen auf dem ein ...

Cloud-Dienste
PIM als SaaS Nutzungsgebühr
Frage von vanTastCloud-Dienste8 Kommentare

Moin, wir haben uns ein PIM (Product Information Management) nach unseren Ansprüchen für viel Geld als SaaS-Lösung bauen lassen. ...