Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Microsoft Windows Netzwerk

GELÖST

GPO LoginScript Benutzer

Mitglied: JOML

JOML (Level 1) - Jetzt verbinden

13.11.2007, aktualisiert 17.11.2007, 9460 Aufrufe, 6 Kommentare

Hallo allerseits,

Folgendes Problem:

Ich muss per GPO ein LoginScript verteilen, dass einen Update auf dem Client durchführt.

Frage:
Ist es möglich, das LoginScript mit Adminrechten laufen zu lassen und es soll NUR einmal ausgeführt werden.
(Sonst würde es ja bei jedem login durchlaufen).

Filecheck wird im Script abgearbeitet, doch wäre es Sinnvoll, wenn diese GPO nur einmal pro Client ausgeführt wird.

Vielen Dank

Gruss
JOML
Mitglied: TuXHunt3R
13.11.2007 um 21:06 Uhr
Falls das Ganze eine einmalige Sache ist (wenn du regelmässig solche Updates verteilen musst, musst du dir was besseres einfallen lassen):

Mit Adminrechten laufen lassen:
Erstell einen temporären Account ohne Passwort (möglichst einen nicht-schlüssigen Benutzernamen), welcher auf den Clients lokale Adminprivilegien hat. Bastel dir nachher eine Batchdatei, welche mit dem Befehl "runas" dein Script aufruft. Diese Batchdatei verteilst du dann per GPO. Sobald das Script auf allen Clients durchgelaufen ist, lösche diesen temporären Benutzer sofort wieder.

Warum einen Account ohne Passwort?
Klar, es ist unsicher, aber der Runas-Befehl erlaubt es nicht, das Passwort des Accounts mit zu geben. Jeder Benutzer müsste also das Passwort eingeben, was nicht gerade eine praktikable Lösung ist. Wenn der Account 2-3 Tage existiert, das Update dann auf allen Kisten drauf ist und du nicht gerade einen offensichtlichen Benutzernamen gewählt hast, sollte das schon gehen.


Update nur einmal ausführen:
Du kannst ein zentrales Logfile anlegen und den oben erwähnten Batch zuerst überprüfen lassen, ob das Update auf diesem PC schon durchgeführt wurde.
Deine Batch könnte dann z.B. so aussehen (nicht getestet):
01.
@ echo off 
02.
 
03.
::Herausfinden, ob der aktuelle Computername schon im Logfile existiert 
04.
::Wenn ja, springe ans Ende des Batchs 
05.
find /i "%computername%" <Pfad zu deinem zentralen Logfile> 
06.
if errorlevel 0 goto end 
07.
 
08.
::Aufruf des Scripts mit priviligiertem Account 
09.
runas ... 
10.
 
11.
::Aktuellen Computernamen ins Logfile schreiben 
12.
echo %computername% >><Pfad zu deinem zentralen Logfile> 
13.
 
14.
:end


Dies ist eine Bastellösung, die ich in der Form bisher einmal angewendet habe. Das war aber eine einmalige Sache und ich fand es damals eine schnelle Lösung für ein Netzwerk-weites Problem. Wie gesagt, wenn solche Updates regelmässig vorkommen, solltest du dir was besseres überlegen.

Vergiss vor allem nicht, den priviligierten Account sofort wieder zu löschen, wenn das Update überall drauf ist!!!!!!


Edit:

Eine andere Lösung wäre natürlich, das Update mit deinem Account (der wahrscheinlich dazu priviligiert ist) irgendwann in der Nacht per geplanten Task zu starten. Dann müssten aber sämtliche Clients entweder die ganze Nacht durchlaufen oder du müsstest Wake On Lan in deinem Netzwerk eingerichtet haben (so läufts bei uns im Betrieb)
Bitte warten ..
Mitglied: Dani
13.11.2007 um 21:26 Uhr
Abend JOML,
eine andere Lösung wäre ein Computerloginscript. Sprich es wird beim System hochfahren ausgeführt. Alles was dort drinne steht, wird unter dem Benutzer "System" ausgeführt und somit volle Administratorenrechte.
Somit brauchst du keine Accounts ohne Passwörter und der Aufwand ist gering.

Filecheck wird im Script abgearbeitet, doch wäre es Sinnvoll, wenn diese GPO nur einmal pro
Client ausgeführt wird.
Ich würde innerhalb der Batch nachdem 1. Ausführen einen Checkpoint auf dem Clients hinterlassen. In deinem Fall eine Textdatei mit dem Namen des Updates und darin das Ausführungsdatum. Ein Schritt mehr wäre es, einfach eine Freigabe (am Besten versteckt) einzurichten für alle Logdateien der Clients.

Beispiel:
01.
Freigabe Logfiles 
02.
  - Update x.x.x.2x 
03.
  - Update 32c.3x3.a3
Somit hättest du alles Griffbereit und sauber protokolliert.

Die Batchdatei dazu, würde so aussehen:
01.
@echo off 
02.
 
03.
set update=update_2xx.3xf34.3 
04.
 
05.
 
06.
if not exist "\\%server%\logs$\%update%\%computername%.txt" ( 
07.
 
08.
echo Start: %date% - %time% >> "\\%server%\logs$\%update%\%computername%.txt" 
09.
.... 
10.
UPDATE PROCESS 
11.
.... 
12.
echo Ende: %date% - %time% >> "\\%server%\logs$\%update%\%computername%.txt 
13.
)
Somit hast du die totale Kontrolle darüber und kannst mit dem einfachen Löschen der Textdatei den Updateprozess wieder anstoßen.
Die NTFS-Rechte auf die Freigabe kannst du bis auf alle CLIENT - Computerkonten, System und ADministrator eingrenzen. Diese brauchen aber alle Vollzugriff. Somit kommt ein normaler Benutzer nicht auf die Freigabe.


Grüße
Dani
Bitte warten ..
Mitglied: JOML
17.11.2007 um 02:29 Uhr
Hi Dani,

Das mit dem Logfile auslesen ist eine gute Idee. Vielen Dank
Hab ein Logfile auf dem Server der alle Compternamen enthält, die geupdated wurden.

Wie kann ich jetzt den inhalt der txt Datei nach diesem Namen abfragen.. so nach dem Prinzip:


If exist "\\%server%\logs$\%update%\Update.txt" (inhalt irgendwo %computernamen%)
goto :END


Gruss
JOML
Bitte warten ..
Mitglied: Dani
17.11.2007 um 11:31 Uhr
Hi JOML,
schau mal mein Beispiel nochmal an und dann Kommentar. Dann wirst du die Lösung sehen. *g*


Grüße
Dani
Bitte warten ..
Mitglied: JOML
17.11.2007 um 11:55 Uhr
Hi Dani,

Nö.. leider nicht.
Du suchst im Ordner %Update% nach einer Datei %Computernamen%.txt... oder?

Ich möchte aber in einer Datei"Update.txt" den Inhalt nach %Computernamen% durchsuchen.

Mein Favorit wäre da der Vorschlag von "TuXHunt3R"....

find /i "%computername%" \\server\Updates$\update.txt
if errorlevel 0 goto end

Oder sehe ich da was falsch... ?


Nice Weekend
JOML
Bitte warten ..
Mitglied: TuXHunt3R
17.11.2007 um 17:47 Uhr
Hallo JOML2005

So wie ich das sehe, erstellt das Script von Dani pro upgedateten Computer ein Logfile. Bei meiner Lösung werden alle Computernamen, die geupdatet wurden, in ein und das selbe Logfile geschrieben. Mit dem Find-Befehl überprüft das Script zuerst, ob der Computername in diesem Logfile bereits existiert. Wenn ja, bricht er das Script ab, d.h. er springt ans Ende des Scripts.

Wenn du alle Computernamen also in ein und das selbe Logfile schreibst, musst du meine Lösung mit dem find-Befehl nehmen.
Bitte warten ..
Ähnliche Inhalte
Microsoft
GPO wird nicht auf Domänen Benutzer angewendet
gelöst Frage von ResolvMicrosoft13 Kommentare

Hallo Leute, eine Frage an die Gruppenrichtlinien Spezialisten hier. Ich sitze seit 2 Stunden und versuche den Fehler zu ...

Windows Server
Lokaler Benutzer über GPO verteilen
Frage von staybbWindows Server4 Kommentare

Hallo, ich möchte auf einem Server 2012 mit AD DS Dienst und GPO-Richtlinien, eine neue GPO erstellen, welche einen ...

Windows Server
Benutzer GPO wird nicht angewendet
Frage von westberlinerWindows Server2 Kommentare

Hallo zusammen, ich habe auf dem 2012r2 in den Gruppenrichtlinien eine GPO erzeugt und diese in eine Unter-OU geschoben. ...

Windows Server
GPO einem Benutzer zuweisen
gelöst Frage von RaucherbeinWindows Server6 Kommentare

Hallo. Ich benötige mal bitte eure Hilfe bei folgendem Verständnisproblem. Ich habe eine virtuelle Testumgebung aufgebaut (siehe Bild). Nun ...

Neue Wissensbeiträge
Microsoft

Letzte Updates für Win10 und Server2016 müssen bei Bedarf über den Update catalogue in den WSUS importiert werden!

Tipp von DerWoWusste vor 4 StundenMicrosoft1 Kommentar

automatisch kommt da nichts an im WSUS und auch nicht im SCCM. Siehe Hinweise zum Bezug der jeweils neuesten ...

Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 3 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 3 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 3 TagenSicherheit13 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Heiß diskutierte Inhalte
Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen10 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...

SAN, NAS, DAS
Wer kennt sich mit QNAP und CISCO aus ?
gelöst Frage von MachelloSAN, NAS, DAS10 Kommentare

Hallo Zusammen hier im Forum, Ich habe ein QNas 451+ und dieses NAS hat zwei GBit Lan Adapter die ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk9 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...

Windows Netzwerk
Zugriff auf den Desktop Ordner eines anderen Rechners in der gleichen Domäne
gelöst Frage von JensNomaWindows Netzwerk6 Kommentare

Guten Abend, ich war neulich mit unserem Admin am Tisch gesessen. Er an seinem Notebook angemeldet mit dem Domänen-Admin, ...