Abmeldeskript läuft bei Windows XP nicht komplett durch
Moin,
arbeite momentan an einer kleinen Schwierigkeit und bräuchte ein paar kreative ideen:
nach unseren IT-Sicherheitsrichtlinien sind an allen PC's die USB-Ports für Massenspeicher (USB-Sticks) geschlossen. Diese werden mit den Einstellungen einfach nicht erkannt; Drucker, Mäuse, Tastaturen, etc können trotzdem über USB genutzt werden.
Nun gibt es einige wenige Nutzer denen (via Ausnahmeregel) die Nutzung von USB-Massenspeichern erlaubt ist. Momentan sieht die Umsetzung so aus, dass bei diesen Nutzern die Ports freigeschalten werden. Das gilt dann aber für den ganzen Rechner, also auch für dritte Nutzer, die einen Windows-Zugang aber keine Freigabe für USB-Massenspeicher haben.
Dieses Problem möchte ich lösen, indem ich bei der Anmeldung der berechtigten Nutzer ein Anmeldeskript ausführe, dass in der Registry die entsprechenden Werte setzt und beim Abmelden über ein extra Abmeldeskript diese Einstellungen wieder zurück gesetzt werden (USB-Massenspeicher werden verweigert).
Meine Lösung sieht so aus:
1. Bei Nutzeranmeldung wird Anmeldeskript gestartet (.vbs)
2. Anmeldeskript startet über Skriptparameter ein weiteres Skript mit Administratorrechten (ebenfalls .vbs)
3. das zweite Skript schreibt via regedit.exe eine .reg-Datei silent in die Registry.
Das selbe auch zum Abmelden. Das ganze funktioniert wunderbar. Der Nutzer braucht keine erweiterten Rechte um Änderungen in der Registry durchzuführen. Sollte ein Nutzer den versteckten Pfad ($-Freigabe) "durchstöbern" und die Skripte finden, kann er dennoch nicht den Admin-Nutzer und das Passwort heraus bekommen, weil diese via Skriptparameter in der entsprechenden GPO übergeben werden (also innerhalb das AD).
Problem ist nun folgendes:
Bei der Abmeldung läuft der selbe Vorgang ab (nur das hier die Freigabe für USB-Massenspeicher wieder zurück gesetzt wird). Das Skript startet während des Abmeldevorgangs. Erkennbar daran, dass sich eine DOS-Konsole öffnet. Dennoch sind die USB-Ports nach erfolgreichem Logout für USB-Massenspeicher immer noch geöffnet.
Meine Vermutung ist, dass Windows seine Systemdienste teilweise schon beendet hat, bevor das Skript komplett ausgeführt wurde.
Was meint ihr? Kann man im AD ähnlich wie bei der Systemanmeldung auch bei der Abmeldung einstellen, dass erst alle Skripts komplett durchgelaufen sein müssen, bevor die Nutzerabmeldung abgeschlossen wird?
Systeminfos:
Windows Server 2003 Enterprise (AD-Server)
Windows XP Professional SP3 (Clients)
$-Freigabe kann von allen Nutzern gelesen werden
REG-Eintrag für USB-Massenspeicher OFFEN: \HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Service\USBSTOR\ -> Start 3, Type 1
REG-Eintrag für USB-Massenspeicher GESCHLOSSEN: \HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Service\USBSTOR\ -> Start 4, Type 4
Danke im Vorraus für eure Ideen...
greetz daniel
arbeite momentan an einer kleinen Schwierigkeit und bräuchte ein paar kreative ideen:
nach unseren IT-Sicherheitsrichtlinien sind an allen PC's die USB-Ports für Massenspeicher (USB-Sticks) geschlossen. Diese werden mit den Einstellungen einfach nicht erkannt; Drucker, Mäuse, Tastaturen, etc können trotzdem über USB genutzt werden.
Nun gibt es einige wenige Nutzer denen (via Ausnahmeregel) die Nutzung von USB-Massenspeichern erlaubt ist. Momentan sieht die Umsetzung so aus, dass bei diesen Nutzern die Ports freigeschalten werden. Das gilt dann aber für den ganzen Rechner, also auch für dritte Nutzer, die einen Windows-Zugang aber keine Freigabe für USB-Massenspeicher haben.
Dieses Problem möchte ich lösen, indem ich bei der Anmeldung der berechtigten Nutzer ein Anmeldeskript ausführe, dass in der Registry die entsprechenden Werte setzt und beim Abmelden über ein extra Abmeldeskript diese Einstellungen wieder zurück gesetzt werden (USB-Massenspeicher werden verweigert).
Meine Lösung sieht so aus:
1. Bei Nutzeranmeldung wird Anmeldeskript gestartet (.vbs)
2. Anmeldeskript startet über Skriptparameter ein weiteres Skript mit Administratorrechten (ebenfalls .vbs)
3. das zweite Skript schreibt via regedit.exe eine .reg-Datei silent in die Registry.
Das selbe auch zum Abmelden. Das ganze funktioniert wunderbar. Der Nutzer braucht keine erweiterten Rechte um Änderungen in der Registry durchzuführen. Sollte ein Nutzer den versteckten Pfad ($-Freigabe) "durchstöbern" und die Skripte finden, kann er dennoch nicht den Admin-Nutzer und das Passwort heraus bekommen, weil diese via Skriptparameter in der entsprechenden GPO übergeben werden (also innerhalb das AD).
Problem ist nun folgendes:
Bei der Abmeldung läuft der selbe Vorgang ab (nur das hier die Freigabe für USB-Massenspeicher wieder zurück gesetzt wird). Das Skript startet während des Abmeldevorgangs. Erkennbar daran, dass sich eine DOS-Konsole öffnet. Dennoch sind die USB-Ports nach erfolgreichem Logout für USB-Massenspeicher immer noch geöffnet.
Meine Vermutung ist, dass Windows seine Systemdienste teilweise schon beendet hat, bevor das Skript komplett ausgeführt wurde.
Was meint ihr? Kann man im AD ähnlich wie bei der Systemanmeldung auch bei der Abmeldung einstellen, dass erst alle Skripts komplett durchgelaufen sein müssen, bevor die Nutzerabmeldung abgeschlossen wird?
Systeminfos:
Windows Server 2003 Enterprise (AD-Server)
Windows XP Professional SP3 (Clients)
$-Freigabe kann von allen Nutzern gelesen werden
REG-Eintrag für USB-Massenspeicher OFFEN: \HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Service\USBSTOR\ -> Start 3, Type 1
REG-Eintrag für USB-Massenspeicher GESCHLOSSEN: \HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Service\USBSTOR\ -> Start 4, Type 4
Danke im Vorraus für eure Ideen...
greetz daniel
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 180573
Url: https://administrator.de/forum/abmeldeskript-laeuft-bei-windows-xp-nicht-komplett-durch-180573.html
Ausgedruckt am: 24.12.2024 um 01:12 Uhr
6 Kommentare
Neuester Kommentar
... und abgesehen davon ist VBS durchaus in der Lage, selbst in die Registry zu schreiben, sodass zumindest Schritt 3 entfallen könnte ...
Grüße
bastla
Grüße
bastla
Moin.
http://diaryproducts.net/about/operating_systems/windows/disable_usb_st ... sollte auf alles eingehen. Dort wird auch mit net stop usbstor gearbeitet, was Dir vermutlich fehlt.
http://diaryproducts.net/about/operating_systems/windows/disable_usb_st ... sollte auf alles eingehen. Dort wird auch mit net stop usbstor gearbeitet, was Dir vermutlich fehlt.