sarekhl
Goto Top

Verständnisfrage Batch-Rechte

Hallo zusammen,

ich habe mal eine Verständnisfrage zu Batch-Rechten.

Also, wenn ich in einer Gruppenrichtlinie den Benutzern einer OU als Anmeldescript die Batch-Datei \\server\SetupAssistent\init.bat aufrufe, die folgenden Inhalt hat:

net use i: \\server\SetupAssistent\content
call i:\install.bat

Mit welchen Rechten wir diese install.bat ausgeführt, wenn sich in der OU, auf die diese Gruppenrichtlinie wirkt, ein Benutzer befindet, der zur Gruppe der Domänen-Administratoren gehört und der sich dann anmeldet? Betriebssystem der Clients ist Windows 7, es gibt aber auch welche unter 8.1 und einige unter 10.


Danke im Voraus,
Sarek \\//_

Content-Key: 346227

Url: https://administrator.de/contentid/346227

Ausgedruckt am: 29.03.2024 um 10:03 Uhr

Mitglied: emeriks
Lösung emeriks 13.08.2017 um 22:16:31 Uhr
Goto Top
Hi,
ein Benutzeranmeldescript läuft im Kontext des Benutzers, welcher sich anmeldet, also mit dessen Berechtigungen. Jedoch ist zu beachten, dass ein Benutzeranmeldescript bei aktiviertem UAC nich voll eleviert ausgeführt wird. Erhöhte Rechte, welche durch Mitgliedschaft in der Gruppe der lokalen Administratoren geerbt werden, sind damit nicht verfübar.

E.
Mitglied: SarekHL
SarekHL 13.08.2017 um 22:23:01 Uhr
Goto Top
Zitat von @emeriks:

ein Benutzeranmeldescript läuft im Kontext des Benutzers, welcher sich anmeldet, also mit dessen Berechtigungen. Jedoch ist zu beachten, dass ein Benutzeranmeldescript bei aktiviertem UAC nich voll eleviert ausgeführt wird. Erhöhte Rechte, welche durch Mitgliedschaft in der Gruppe der lokalen Administratoren geerbt werden, sind damit nicht verfübar.

Und ist es möglich, ohne manuelles Zutun das Script eleviert auszuführen? Also zumindest das zweite Script, welches vom ersten ja mit Call aufgerufen wird?
Mitglied: emeriks
emeriks 13.08.2017 um 22:26:07 Uhr
Goto Top
Eine "install.bat" sollte man doch besser als Computer-Startupscripot laufen lassen, oder? Was macht diese Batch?
Startup-Scripte laufen immer voll eleviert. Beachte: Das Computer-Konto benötigt hier min. Lese-Zugriff auf die Quell-Dateien.
Mitglied: SarekHL
SarekHL 13.08.2017 aktualisiert um 22:40:28 Uhr
Goto Top
Zitat von @emeriks:

Eine "install.bat" sollte man doch besser als Computer-Startupscripot laufen lassen, oder?

Dann startet sie aber schon ohne, dass ein Benutzer angemeldet ist, oder? Und vor allem läuft sie "Silent". Manche der Setups, die aus dieser Batch heraus aufgerufen werden, haben aber keine Silent-Option und müssen "durchgeklickt" werden.

Was macht diese Batch?

Setups aufrufen:

REM --- DEINSTALLIEREN ---
WMIC /interactive:off product where 'name like "%%java%%" and (vendor like "%%oracle%%" or vendor like "%%sun%%")' call uninstall  
WMIC /interactive:off product where 'name like "%%reader%%" and (vendor like "%%adobe%%")' call uninstall  

REM --- JAVA ---
%~dp0Java.exe INSTALL_SILENT=1 AUTO_UPDATE=0 REBOOT=0 NOSTARTMENU=1 SPONSORS=0

REM --- FLASH unter anderen Versionen als 8.1 ---
VER | find "[Version 6.3" > nul   
IF %errorlevel% NEQ 0 %~dp0FlashPlayer -install

REM --- ADOBE READER ---
msiexec.exe /i "%~dp0AcrobatReader\AcroRead.msi" ALLUSERS=1 TRANSFORMS=%~dp0AcrobatReader\anpassungen.mst DISABLE_AIR_SHARE=YES DISABLE_ASIAN_FONTS=YES /qn /NORESTART   

REM --- FIREFOX ---
%~dp0Firefox /INI=%~dp0firefox.ini

REM --- Programme mit unterschiedlicher Version für 32/64-Bit --- 
IF EXIST "%PROGRAMFILES(X86)%" (GOTO 64BIT) ELSE (GOTO 32BIT)  

:64BIT
REM --- FLASH unter Windows 8.1 ---
VER | find "[Version 6.3" > nul   
IF %errorlevel% EQU 0 wusa.exe %~dp0Flash-for-Win81-64.msu /quiet /norestart
REM --- VLC ---
%~dp0VLC64.exe  /S /NCRC
REM --- Silverlight ---
PushD "%~dp0Silverlight\64"  
Call setup.bat
PopD
REM --- Java-Updater deaktivieren ---
reg DELETE HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run /V SunJavaUpdateSched /f

GOTO WEITER

:32BIT
REM --- FLASH unter Windows 8.1 ---
VER | find "[Version 6.3" > nul   
IF %errorlevel% EQU 0 wusa.exe %~dp0Flash-for-Win81-32.msu /quiet /norestart
REM --- VLC ---
%~dp0VLC32.exe  /S /NCRC
REM --- Silverlight ---
PushD "%~dp0Silverlight\32"  
Call setup.bat
PopD
REM --- Java-Updater deaktivieren ---
reg DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V SunJavaUpdateSched /f

:WEITER

REM --- MANUELLE PROGRAMME --- 
 %~dp0ActivInspireSuite.exe
Mitglied: emeriks
emeriks 14.08.2017 um 07:27:11 Uhr
Goto Top
Dann startet sie aber schon ohne, dass ein Benutzer angemeldet ist, oder?
Ja, logisch.
Und vor allem läuft sie "Silent".
Sinnvoll.
Manche der Setups, die aus dieser Batch heraus aufgerufen werden, haben aber keine Silent-Option und müssen "durchgeklickt" werden.
Irgendwie geht es immer. Da würde ich mal im Web nach Lösungen suchen.
Aber zumindest jene, welche keine Interaktion erfordern, kannst Du so verteilen.
Mitglied: SarekHL
SarekHL 14.08.2017 um 14:08:01 Uhr
Goto Top
Zitat von @emeriks:

Irgendwie geht es immer. Da würde ich mal im Web nach Lösungen suchen.

Meinst Du, das hätte ich nicht schon getan, bevor ich hier gefragt habe? Aber Google hat ein Problem: Es ist dumm! Es kann eine komplexe Frage nicht interpretieren, und wenn ich da nicht mit den richtigen Suchbegriffen komme, bekomme ich auch keine brauchbare Antwort. Daher finde ich ja auch die hier oft geposteten Links mit www.lmdfdg.com ziemlich überheblich. Aber das ist ein anderes Thema, ich habe jedenfalls keine brauchbare Lösung gefunden.
Mitglied: emeriks
emeriks 14.08.2017 aktualisiert um 14:29:26 Uhr
Goto Top
Falscher Schuh heute? face-wink
Dass Du im Web bereits gesucht hast, steht in Deiner Frage nicht drin. Auch nicht, was Du schon alles gefunden und ausprobiert hast. Woher sollen dann auch andere wissen, was sie Dir noch raten können, was Du noch versuchen könntest?
Um mal konkret bei der von Dir genannten Batch zu bleiben: Welche von den dort enthaltenen Installationskommandos sind Deiner Erfahrung nach nur mit manuellem Eingriff zu bewerkstelligen?

Oftmals kann man ein Programm auch schon allein dadurch ausrollen, dass man einfach alle (ausgepackten) Dateien kopiert und ggf. ein paar DLL's registriert und eine Verknüpfung erstellt.
Mitglied: SarekHL
SarekHL 14.08.2017 aktualisiert um 22:18:46 Uhr
Goto Top
Zitat von @emeriks:

Falscher Schuh heute? face-wink

Mag sein, sorry ... war nicht gegen Dich gerichtet. Aber es gibt hier so einige Spezialisten, die sehr überheblich reagieren, wenn sie meinen, dass man die Lösung selbst hätte finden können ...


Dass Du im Web bereits gesucht hast, steht in Deiner Frage nicht drin.

Weil ich das für selbstverständlich halte.

Um mal konkret bei der von Dir genannten Batch zu bleiben: Welche von den dort enthaltenen Installationskommandos sind Deiner Erfahrung nach nur mit manuellem Eingriff zu bewerkstelligen?

Definitiv die Installation des ActivInspire und der dazugehörigen Ressoucen und das MimioStudio (letztere beiden waren in der hier reinkopierten Batch noch nicht vorhanden gewesen), das Ende sieht jetzt so aus:

:ManuelleInstallationen

:AbfrageInspire
@ECHO ActivInspire installieren bzw. aktualisieren (j / n)
@SET /p wahl1=
@if '%wahl1%' == 'n' goto AbfrageMimio  
@if '%wahl1%' == 'j' goto InstallInspire  
@Goto AbfrageInspire
@:InstallInspire
%~dp0Tafeln\ActivInspireSuite-v2.10.66827.exe
@Echo Bitte starten und schließen Sie Inspire, bevor Sie mit dem Import der Ressourcenbibliothek fortfahren
@pause
start %~dp0Tafeln\Subjects_DEU.as4a

:AbfrageMimio
@ECHO MimioStudio installieren bzw. aktualisieren (j / n)
@SET /p wahl2=
@if '%wahl2%' == 'n' goto Ende  
@if '%wahl2%' == 'j' goto InstallMimio  
@Goto AbfrageMimio
:InstallMimio
msiexec.exe /i "%~dp0Tafeln\mimio-studio-11.53-intl.msi"  

Der Rest müsste so durchgehen. In der Vergangenheit hatte ich Schwierigkeiten mit VLC (trotz des Schalters /s), aber da habe ich jetzt bei Microsoft extra "silent installers" heruntergeladen.

Trotzdem ist mir wohler, wenn der Verlauf sichtbar ist ... denn sonst bekomme ich auch Fehler oder eventuelle Abbrüche nicht mit. Mit Errorleveln könnte man vielleicht was machen, aber ich weiß nicht, ob alle Installer etwas entsprechendes zurückmelden.
Mitglied: emeriks
emeriks 15.08.2017 um 08:30:14 Uhr
Goto Top
Trotzdem ist mir wohler, wenn der Verlauf sichtbar ist ... denn sonst bekomme ich auch Fehler oder eventuelle Abbrüche nicht mit. Mit Errorleveln könnte man vielleicht was machen, aber ich weiß nicht, ob alle Installer etwas entsprechendes zurückmelden.
Du kannst Dir eigene Prüfkriterien suchen. z.B. Ob eine Datei vorhanden ist, ein Registry-Eintrag, ein INI-Eintrag, eine Startmenü- oder Desktop-Verknüpfung.