sata
Goto Top

Anmeldeskript im Sicherheitskontext des Admins

Hallo zusammen,

habe folgendes Problem:
Möchte gerne bei der Anmeldung an der Domäne (Windows 2000) auf jedem PC ein Batch-Skript laufen lassen.

Egal wo ich es jedoch jetzt im Active Directory eintrage, es wird ja immer im Sicherkontext des aktuellen Benutzers ausgeführt. Dieses Script verändert jedoch Einstellungen, bei den Admin-Rechte erfoderlich sind.

Bei meinem aktuellen Fall handelt es sich um ein Batch-Script von einem Software-Hersteller, welches entsprechende Korrekturen an den Client-Installationen vornehmen soll. Eine entsprechende Fehlerbehandlung in dem Script sieht vor, dass die Software eventuell nicht auf dem Client installiert ist bzw. das Script mehrfach ausgeführt wird. Deshalb wäre der zentrale Anmeldeprozess für die Ausführung des Scripts ideal.

Wie geht Ihr da vor?


Gruß
Sascha

Content-ID: 27881

Url: https://administrator.de/forum/anmeldeskript-im-sicherheitskontext-des-admins-27881.html

Ausgedruckt am: 24.12.2024 um 01:12 Uhr

Jossele
Jossele 02.05.2006 um 22:25:58 Uhr
Goto Top
Möchte gerne bei der Anmeldung an der Domäne (Windows 2000) auf jedem PC ein
Batch-Skript laufen lassen.
am besten als VBS-Script

Egal wo ich es jedoch jetzt im Active Directory eintrage, es wird ja immer im Sicherkontext
des aktuellen Benutzers ausgeführt.
Yo, liegt in der Natur der Sache, Anwender sollen das Windows nicht plätten, dass machen die admins dann schon.

Dieses Script verändert jedoch Einstellungen, bei den
Admin-Rechte erfoderlich sind.

vielleicht reicht es ja, wenn Du die "Domänenbenutzer Gruppe" der lokalen "Admininistratoren Gruppe" hinzufügst.
Allerdings halte ich das für sehr bedenklich.


Bei meinem aktuellen Fall handelt es sich um ein Batch-Script von einem Software-Hersteller,
welches entsprechende Korrekturen an den Client-Installationen vornehmen soll. Eine
entsprechende Fehlerbehandlung in dem Script sieht vor, dass die Software eventuell nicht
auf dem Client installiert ist bzw. das Script mehrfach ausgeführt wird. Deshalb wäre der
zentrale Anmeldeprozess für die Ausführung des Scripts ideal.

Ja schon, aber das bedeutet dann auch, dass sich der Anwender jegliche Art von Software installieren kann.


Wie geht Ihr da vor?

In einem solchen Fall ist eine Softwareverteilung, da solche Programme als Dienst arbeiten.
Der Dienst installiert dann die Software, und der ist Domänenadmin.


Gruß

Peter
superboh
superboh 03.05.2006 um 03:03:42 Uhr
Goto Top
Hi sata,

vielleicht hilft es, diesen Teil des Scriptes in ein extra Script auszulagern und das beim Starten der Clients auszuführen (in der Gruppenrichtlinie, aber unter Computerkonfiguration / Windows-Einstellungen und nicht unter Benutzerkonfiguration). Das Script dort sollte als lokales System laufen und die Rechte haben.

Gruß,
Thomas
sata
sata 03.05.2006 um 07:26:01 Uhr
Goto Top
Hallo Thomas,

bist du dir da sicher? Ich dachte die Skripte würden auch von dieser Stelle aus in dem Sicherheitskontext des angemeldeten Benutzers ausgeführt.

Vielen Dank für die Antworten!


Gruß
Sascha
wollibn
wollibn 03.05.2006 um 12:07:00 Uhr
Goto Top
Wir haben Updates schonmal in einer NT-Domäne mit AutoIt-Skripten gelöst.
Dazu wurde die Registry so geändert dass der Rechner neu startet und automatisch als Admin anmeldet. Gleichzeitig wurden Tastatur- und Mauseingaben deaktiviert und dann das Update durchgeführt. Anschließend Registryänderung wieder Rückgängig gemacht und ein Neustart durchgeführt.

AutoIt-Skripte kann man auch in eigenständig ausführbare .exe-Dateien kompilieren. Wie sicher darin ein enthaltenes Admin-Passwort ist kann ich jetzt nicht sagen.

Ist vielleicht keine saubere Lösung hat aber funktioniert.

Gruß,
Wolfgang
sata
sata 03.05.2006 um 18:05:07 Uhr
Goto Top
Also erstmal besten Dank für alle Antworten. Will erstmal sehen, ob der Eintrag in der Gruppenrichtlinie wirklich im Sicherheitskontext des admins ausgeführt wird.

Falls nicht, gibt es da ein tool psexec von sysinternals. Habe ich mal getestet. Für Skripte echt klasse!

Gruß
Sascha
superboh
superboh 04.05.2006 um 04:01:33 Uhr
Goto Top
Hi sata,

natürlich wird nur das Script unter Computerknfiguration als System ausgeführt, nicht die bei Benutzerkonfiguration.

Der Rechner kann ja auch einfach nur laufen ohne dass wer angemeldet ist. Wenn man ihn dann so runterfährt (Anmeldemaske oder remote) dann muss das Script welches beim Herunterfahren (nicht Abmelden!!) ausgeführt werden soll ja auch laufen. Und unter welchem User dann wenn keiner Angemeldet ist?

Gruß,
Thomas