Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Anmeldeskript im Sicherheitskontext des Admins

Frage Microsoft Windows Server

Mitglied: sata

sata (Level 1) - Jetzt verbinden

02.05.2006, aktualisiert 04.05.2006, 5184 Aufrufe, 6 Kommentare

Hallo zusammen,

habe folgendes Problem:
Möchte gerne bei der Anmeldung an der Domäne (Windows 2000) auf jedem PC ein Batch-Skript laufen lassen.

Egal wo ich es jedoch jetzt im Active Directory eintrage, es wird ja immer im Sicherkontext des aktuellen Benutzers ausgeführt. Dieses Script verändert jedoch Einstellungen, bei den Admin-Rechte erfoderlich sind.

Bei meinem aktuellen Fall handelt es sich um ein Batch-Script von einem Software-Hersteller, welches entsprechende Korrekturen an den Client-Installationen vornehmen soll. Eine entsprechende Fehlerbehandlung in dem Script sieht vor, dass die Software eventuell nicht auf dem Client installiert ist bzw. das Script mehrfach ausgeführt wird. Deshalb wäre der zentrale Anmeldeprozess für die Ausführung des Scripts ideal.

Wie geht Ihr da vor?


Gruß
Sascha
Mitglied: Jossele
02.05.2006 um 22:25 Uhr
Möchte gerne bei der Anmeldung an der Domäne (Windows 2000) auf jedem PC ein
Batch-Skript laufen lassen.
am besten als VBS-Script

Egal wo ich es jedoch jetzt im Active Directory eintrage, es wird ja immer im Sicherkontext
des aktuellen Benutzers ausgeführt.
Yo, liegt in der Natur der Sache, Anwender sollen das Windows nicht plätten, dass machen die admins dann schon.

Dieses Script verändert jedoch Einstellungen, bei den
Admin-Rechte erfoderlich sind.

vielleicht reicht es ja, wenn Du die "Domänenbenutzer Gruppe" der lokalen "Admininistratoren Gruppe" hinzufügst.
Allerdings halte ich das für sehr bedenklich.


Bei meinem aktuellen Fall handelt es sich um ein Batch-Script von einem Software-Hersteller,
welches entsprechende Korrekturen an den Client-Installationen vornehmen soll. Eine
entsprechende Fehlerbehandlung in dem Script sieht vor, dass die Software eventuell nicht
auf dem Client installiert ist bzw. das Script mehrfach ausgeführt wird. Deshalb wäre der
zentrale Anmeldeprozess für die Ausführung des Scripts ideal.

Ja schon, aber das bedeutet dann auch, dass sich der Anwender jegliche Art von Software installieren kann.


Wie geht Ihr da vor?

In einem solchen Fall ist eine Softwareverteilung, da solche Programme als Dienst arbeiten.
Der Dienst installiert dann die Software, und der ist Domänenadmin.


Gruß

Peter
Bitte warten ..
Mitglied: superboh
03.05.2006 um 03:03 Uhr
Hi sata,

vielleicht hilft es, diesen Teil des Scriptes in ein extra Script auszulagern und das beim Starten der Clients auszuführen (in der Gruppenrichtlinie, aber unter Computerkonfiguration / Windows-Einstellungen und nicht unter Benutzerkonfiguration). Das Script dort sollte als lokales System laufen und die Rechte haben.

Gruß,
Thomas
Bitte warten ..
Mitglied: sata
03.05.2006 um 07:26 Uhr
Hallo Thomas,

bist du dir da sicher? Ich dachte die Skripte würden auch von dieser Stelle aus in dem Sicherheitskontext des angemeldeten Benutzers ausgeführt.

Vielen Dank für die Antworten!


Gruß
Sascha
Bitte warten ..
Mitglied: wollibn
03.05.2006 um 12:07 Uhr
Wir haben Updates schonmal in einer NT-Domäne mit AutoIt-Skripten gelöst.
Dazu wurde die Registry so geändert dass der Rechner neu startet und automatisch als Admin anmeldet. Gleichzeitig wurden Tastatur- und Mauseingaben deaktiviert und dann das Update durchgeführt. Anschließend Registryänderung wieder Rückgängig gemacht und ein Neustart durchgeführt.

AutoIt-Skripte kann man auch in eigenständig ausführbare .exe-Dateien kompilieren. Wie sicher darin ein enthaltenes Admin-Passwort ist kann ich jetzt nicht sagen.

Ist vielleicht keine saubere Lösung hat aber funktioniert.

Gruß,
Wolfgang
Bitte warten ..
Mitglied: sata
03.05.2006 um 18:05 Uhr
Also erstmal besten Dank für alle Antworten. Will erstmal sehen, ob der Eintrag in der Gruppenrichtlinie wirklich im Sicherheitskontext des admins ausgeführt wird.

Falls nicht, gibt es da ein tool psexec von sysinternals. Habe ich mal getestet. Für Skripte echt klasse!

Gruß
Sascha
Bitte warten ..
Mitglied: superboh
04.05.2006 um 04:01 Uhr
Hi sata,

natürlich wird nur das Script unter Computerknfiguration als System ausgeführt, nicht die bei Benutzerkonfiguration.

Der Rechner kann ja auch einfach nur laufen ohne dass wer angemeldet ist. Wenn man ihn dann so runterfährt (Anmeldemaske oder remote) dann muss das Script welches beim Herunterfahren (nicht Abmelden!!) ausgeführt werden soll ja auch laufen. Und unter welchem User dann wenn keiner Angemeldet ist?

Gruß,
Thomas
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Userverwaltung
AD Gruppe der Domänen-Admins überwachen (5)

Frage von ThorstenRay zum Thema Windows Userverwaltung ...

Windows Userverwaltung
gelöst Anmeldeskript fragt für das mappen nach einem User und Pw unterdrücken (9)

Frage von M.Marz zum Thema Windows Userverwaltung ...

Zusammenarbeit
Minimale Anzahl Admins? (6)

Frage von 1410640014 zum Thema Zusammenarbeit ...

Verschlüsselung & Zertifikate
Admins aufgepasst: SHA1-Zertifikate vor dem endgültigen Aus

Link von sabines zum Thema Verschlüsselung & Zertifikate ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

DSL, VDSL
DSL-Signal bewerten (14)

Frage von SarekHL zum Thema DSL, VDSL ...