41
Batch-Datei mit Admin-Rechten ausführen ohne das Passwort raus zu geben
Guten Tag,
ich bräuchte mal eine Idee:
Ich habe ein kleines Backup-Script als Batch:
Dummerweise braucht das Skript Admin-Rechte oder Systemrechte oder ä.
Der Dau-User hat keine Adminrechte..
Natürlich kann ich es mít RunAs machen. Nur wenn ich es mache und der fängt sich irgendwas ein, hat der V gleich die Admin-Credentials und das will ich nicht. Kann man das irgendwie in einer ps / cmd "verstecken", dass man die einmal eingibt und der user sieht nur noch Backup.xyz? Doppelklick und gut, Ohne Abfragen der Credentials.
Gerät anlassen und beim Starten oder runterfahren geht nicht. Geräte anlassen wegen Brandschutz. Die Geräte sind unregelmäßig an, als Time geht auch nicht. Und beim Hochfahren ist auch doof, weil es dann ewig dauert, bis der User arbeiten kann.
mfG
ratzehkahl
ich bräuchte mal eine Idee:
Ich habe ein kleines Backup-Script als Batch:
cd C:\Program Files\Backup\Agent\
echo "Starte Backup" >> backuplog.txt
VV-Backup.exe backup BMSystem /retention=Daily
echo "Backup durchgeführt" >> backuplog.txt Dummerweise braucht das Skript Admin-Rechte oder Systemrechte oder ä.
Der Dau-User hat keine Adminrechte..
Natürlich kann ich es mít RunAs machen. Nur wenn ich es mache und der fängt sich irgendwas ein, hat der V gleich die Admin-Credentials und das will ich nicht. Kann man das irgendwie in einer ps / cmd "verstecken", dass man die einmal eingibt und der user sieht nur noch Backup.xyz? Doppelklick und gut, Ohne Abfragen der Credentials.
Gerät anlassen und beim Starten oder runterfahren geht nicht. Geräte anlassen wegen Brandschutz. Die Geräte sind unregelmäßig an, als Time geht auch nicht. Und beim Hochfahren ist auch doof, weil es dann ewig dauert, bis der User arbeiten kann.
mfG
ratzehkahl
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672224
Url: https://administrator.de/forum/batch-datei-mit-admin-rechten-ausfuehren-ohne-das-passwort-raus-zu-geben-672224.html
Ausgedruckt am: 20.04.2025 um 18:04 Uhr
41 Kommentare
Neuester Kommentar
Moin,
Über den Aufgabenplaner als SYSTEM starten und als Trigger das Herunterfahren des Systems nehmen.
Gruß,
Avoton
Über den Aufgabenplaner als SYSTEM starten und als Trigger das Herunterfahren des Systems nehmen.
Gruß,
Avoton
du kannst folgendes machen um ein cmd Fenster unsichtbar laufen zu lassen:
Start.bat
Start.vbs
DeinScript.bat
Start.bat
Start.vbs
Dann starte dein script im hintergrund unsichtbar, vbs geht zu und die bat wo das vbs startet geht auch zu.
In dein Script kannst auch noch nen sleep von 10 Minuten einbauen damits nicht direkt nach dem boot startet...
Start.bat
Start.vbs
DeinScript.bat
Start.bat
cscript c:\Sript\start.vbsStart.vbs
On Error Resume Next
SetLocale("de-de")
Set objShell = WScript.CreateObject("WScript.Shell")
Set objFSO = CreateObject("Scripting.FileSystemObject")
CommandLine = "C:\script\DeinScript.bat"
objShell.run(CommandLine),0,false
Dann starte dein script im hintergrund unsichtbar, vbs geht zu und die bat wo das vbs startet geht auch zu.
In dein Script kannst auch noch nen sleep von 10 Minuten einbauen damits nicht direkt nach dem boot startet...
Hallo,
hups das war schnell.
@Avoton
Der Trigger geht wie geschrieben nicht.
@ThePinky777
Dann fragt der 1x nach den Credentials und startet das Scrippt dann generell mit Admin-Rechten?
Irgendwo gab es was mit Securestring. Das wäre uu auch eine Option.
In der Batch steht dann halt sowas wie
Dann habe ich einmal die EIngabe, das geht und dann nie wieder...
Gruß
ratzekahl
hups das war schnell.
@Avoton
Der Trigger geht wie geschrieben nicht.
@ThePinky777
Dann fragt der 1x nach den Credentials und startet das Scrippt dann generell mit Admin-Rechten?
Irgendwo gab es was mit Securestring. Das wäre uu auch eine Option.
In der Batch steht dann halt sowas wie
runas /noprofile /hvahsvfajvaajksvfv /savecred script.batDann habe ich einmal die EIngabe, das geht und dann nie wieder...
Gruß
ratzekahl
Backups sollten den Nutzer nicht stören, sprich: bevor die Datenträger-Auslastung auffällt, sollte man diese im Programm drosseln können. Kann dein Programm das nicht?
Wenn nein und es partout als Nutzer gestattet werden soll, nimm meine Lösung von hier:
https://www.experts-exchange.com/articles/33548/How-to-empower-restricte ...
Damit kannst du beliebige Skripte als Nutzer starten, die Adminrechte brauchen. Voraussetzung ist nur, dass die Skripte automatisch durchlaufen können, ohne Nachfragen.
Wenn nein und es partout als Nutzer gestattet werden soll, nimm meine Lösung von hier:
https://www.experts-exchange.com/articles/33548/How-to-empower-restricte ...
Damit kannst du beliebige Skripte als Nutzer starten, die Adminrechte brauchen. Voraussetzung ist nur, dass die Skripte automatisch durchlaufen können, ohne Nachfragen.
@DerWoWusste: Klingt interessant, Fehler bleibt. Irgendwo muss der noch mehr Rechte haben, wenn der sich als Admin anmeldet...
Habe es als system und als lokaler Admin ausführen probiert. Haken mit Höchsten Privilegien ist drin...
Habe es als system und als lokaler Admin ausführen probiert. Haken mit Höchsten Privilegien ist drin...
@ratzekahl1
Hi..
Warum braucht das Adminrechte? - Rein zur Information... ?
Was für ein Backup ist das und von welchem Hersteller.. wenn es KEIN Batch ist ?
Was sichert es ?
.. ansonsten kannst Du Dein System bequem via PS sichern und irgendwo in Deiner Farm ablegen..
.. Vielleicht habe ich auch was falsch verstanden...
Gruss Globe!
Hi..
Warum braucht das Adminrechte? - Rein zur Information... ?
Was für ein Backup ist das und von welchem Hersteller.. wenn es KEIN Batch ist ?
Was sichert es ?
.. ansonsten kannst Du Dein System bequem via PS sichern und irgendwo in Deiner Farm ablegen..
.. Vielleicht habe ich auch was falsch verstanden...
Gruss Globe!
Hi,
Warum startest du dein Programm nicht direkt im Task Scheduler?:
SChau dir doch ein paar der Aufgaben an im Taskscheduler wie das gemacht wird. Dann solltest du das schnell ohne Anleitung hinbekommen.
So wie unten funktioniert es natürlich nur, wenn nicht einzelne Benutzerdaten gesichert werden sondern das System an sich. Wenn Benutzerdaten gesichert werden stellt sich die Frage, warum ein Backup das unter dem User ausgeführt werden soll, administrative Rechte braucht. Wäre ja irgemdwie voller Nonsense.
Warum startest du dein Programm nicht direkt im Task Scheduler?:
VV-Backup.exe backup BMSystem /retention=DailySChau dir doch ein paar der Aufgaben an im Taskscheduler wie das gemacht wird. Dann solltest du das schnell ohne Anleitung hinbekommen.
So wie unten funktioniert es natürlich nur, wenn nicht einzelne Benutzerdaten gesichert werden sondern das System an sich. Wenn Benutzerdaten gesichert werden stellt sich die Frage, warum ein Backup das unter dem User ausgeführt werden soll, administrative Rechte braucht. Wäre ja irgemdwie voller Nonsense.
Fehler bleibt
Welcher Fehler?Von Fehlern schriebst du bislang doch noch gar nichts. Auch hast du dir bei deinem Skript, was ja eine undurchsichtige exe nutzt, nicht in die Karten schauen lassen. Helfen ist so nicht möglich. Wenn es an Rechten gelegen hätte, solltest du mit dem Systemkonto mit Gewissheit kein Problem haben.
Info: Mit Nirsoft kann mann CMD verstecken:
https://www.winhelponline.com/blog/run-bat-files-invisibly-without-displ ...
https://www.winhelponline.com/blog/run-bat-files-invisibly-without-displ ...
Verstecken ist in keiner Art sicher vor Missbrauch. Das Thema gab es doch schon zur Genüge um das gesichert sagen zu können.
Mal wieder eine typische Freitagsfrage.
Es fehlen Mal wieder relevante Informationen.
Und auf die Fragen nach dem Backupprogramm wird auch nicht geantwortet.
Gruss Penny.
Es fehlen Mal wieder relevante Informationen.
Und auf die Fragen nach dem Backupprogramm wird auch nicht geantwortet.
Gruss Penny.
Guten Morgen,
erstmal vielen Dank für die zahlreichen Anregungen.
Welches Backup-Programm ist doch erstmal irrelevant. Ob das Programm nun Bingo, Otto oder sonstwie heißt, ist doch nebensächlich. Um das Ganze nicht zu verwirren, hatte ich mich aufs wesentliche beschränkt.
Ein Programm, gut es ist der Terra Cloud Backup Agent, läuft als Admin/System problemlos durch. Als normaler User nicht. Trigger geht nicht, aus oben beschriebenen Gründen. Admin Rechte für den User ist auch nicht gut.
Ich suche eigentlich eine Möglichkeit ein Programm mit Admin-Rechten auszustatten, ohne das der User es jedesmal eingeben muss. Also einmal einrichten, Credentials werden gespeichert. Der normale eingeschränkte user braucht nur einen Doppelklick machen und das Programm läuft.
Und es scheint, dass da irgendwelche Berechtigungen oä fehlen. Die Aufgabe wird als Admin erstellt. Doppelklick und läuft (Anmeldung als Admin). Anmeldung als normaler User Doppelklick Zugriff verweigert.
Gruß ratzekahl
erstmal vielen Dank für die zahlreichen Anregungen.
Welches Backup-Programm ist doch erstmal irrelevant. Ob das Programm nun Bingo, Otto oder sonstwie heißt, ist doch nebensächlich. Um das Ganze nicht zu verwirren, hatte ich mich aufs wesentliche beschränkt.
Ein Programm, gut es ist der Terra Cloud Backup Agent, läuft als Admin/System problemlos durch. Als normaler User nicht. Trigger geht nicht, aus oben beschriebenen Gründen. Admin Rechte für den User ist auch nicht gut.
Ich suche eigentlich eine Möglichkeit ein Programm mit Admin-Rechten auszustatten, ohne das der User es jedesmal eingeben muss. Also einmal einrichten, Credentials werden gespeichert. Der normale eingeschränkte user braucht nur einen Doppelklick machen und das Programm läuft.
Und es scheint, dass da irgendwelche Berechtigungen oä fehlen. Die Aufgabe wird als Admin erstellt. Doppelklick und läuft (Anmeldung als Admin). Anmeldung als normaler User Doppelklick Zugriff verweigert.
Gruß ratzekahl
Ich kennen das Programm nicht, mir ist das erst mal egal, aber du musst folgendes unterscheiden:
Bitte lass uns doch wissen ob du Benutzerdaten sicherst oder nicht und ob du wo hin sicherst, wo ein Benuzuer eventuell keinen Zugriff hat.
Und schau dir mein Posting oben an bzgl. Aufgabenplanung.
Grüße!
- als SYSTEM ausführen bedeutet als "Benutzer im SYSTEM-Kontext" auszuführen. Alle Pfade usw. Sind dann noch bekannt.
- führst du SYSTEM direkt aus, gibt es kein Benutzerprofil und demnach auch keine bekannten Pfade, außer die, die Windows generell bekannt sind.
- werden Daten gesichert die einem Benutzer gehören? Dann ist es klar, dass es funkt sobald du das Script mit deinem Benutzer ausführst
- muss das Programm ganz sicher als SYSTEM ausgeführt werden?
Bitte lass uns doch wissen ob du Benutzerdaten sicherst oder nicht und ob du wo hin sicherst, wo ein Benuzuer eventuell keinen Zugriff hat.
Und schau dir mein Posting oben an bzgl. Aufgabenplanung.
Grüße!
Es ist eine Bmr Sicherung. Also alle Daten.
Bitte lass uns doch wissen ob du Benutzerdaten sicherst oder nicht und ob du wo hin sicherst, wo ein Benuzuer eventuell keinen Zugriff hat.
Wenn's der Cloud Backup Agent ist wird es eine Image Sicherung des Gesamtsystems über VSS sein. Daher die benötigten Admin Rechte.
Trigger geht nicht, aus oben beschriebenen Gründen
Das mit dem "Computer dürfen nicht angelassen werden" finde ich immer noch Quatsch. Sie bleiben ja nicht an. User triggert den Shutdown -> Backup Agent macht das Backup -> Computer geht aus.
Falls das wirklich überhaupt gar nicht gewollt ist, sollte die Methode von @DerWoWusste der richtige Weg sein.
Gruß,
Avoton
Moin,
hier hat mal wieder die Glaskugel zugeschlagen.
Falls ja:
Und wenn das so ist, dann scheint da eher etwas falsch installiert zu sein. Ich kenne das Produkt nicht. Aber nach der Doku ist es ein lokal installierter Agent, zu dem ein Dienst installiert wird, der dann die Verbindung zum Cloudportal aufbaut, von dort eine Config beziehen kann und dahin sichert. Der Dienst läuft unter SYSTEM oder einem eigenen Dienst-Account. Eine Notwendigkeit, den manuell über Doppelklick oder Skript zu starten, besteht nicht. Das wird zentral über das Portal gesteuert. Dann entfallen alle Deine Probleme.
Wenn doch skriptbasiert: dann hier, wie im Wiki beschrieben, vorgehen: wiki.terracloud.de/index.php/Backup#Agent_Skripting. Idealerweise in der Variante mit den von Agent aufgerufenen Powershell-Skripten, also wiederum kein manuelles Starten.
Und wenn es doch Dein Vorgehen sein soll: überprüfe die Installation, v.a. ob der Agent sauber installiert ist. Der Account, unter dem er läuft, benötigt:
The account for running Agent services must:
• belong to the Backup Operators group
• have the “Log on as a service” right
• have the “Replace a process level token” right
To back up files and folders locally, the account must have read/write access to files and
folders on the system.
To back up files and folders in UNC locations, the account must have read/write permissions
to the UNC locations, including security streams. Security streams might not work in some
places unless the account is an Admin equivalent.
If you are using Encrypting File System (EFS), additional permissions are required. After
installing the Agent, you must change local security settings or the default domain policy. The
service account must have the “Act as part of the operating system” right and the “Log on as
a service” right. If the service account does not have the correct permissions, the service is
denied access. ACLs for all subsequent files might not be backed up and error messages might
appear in the log.
Note: When you install, modify, repair or upgrade an Agent, the Agent installation kit sets or
resets permissions on the Agent folder and all child items to full access for the Administrators
and Backup Operators groups. Using the Modify option, the user can install Agent services
under a local system account or another account that is created manually or automatically.
For non-local system accounts, the created account is modified to be part of the
Administrators group. If a user requires access to Agent services, the user should be included
in the Administrators or Backup Operators group.
Die Dokumentation erklärt auch, welche Rechte im Dateisystem für den Installationsordner gesetzt werden und vorhanden sein müssen.
Und zur Konfiguration:
einfach beim Herunterfahren aktivieren, siehe wiki.terracloud.de/index.php/Backup#Zeitplan.
Selbst bei Unseranmeldung ist das möglich, denn natürlich unterstützt das System Bandwith Trottling (Manual, Kapitel 4.4), so dass ein Weiterarbeiten in den allermeisten Fällen ganz problemlos möglich ist.
Gruß
DivideByZero
hier hat mal wieder die Glaskugel zugeschlagen.
Welches Backup-Programm ist doch erstmal irrelevant. Ob das Programm nun Bingo, Otto oder sonstwie heißt, ist doch nebensächlich. Um das Ganze nicht zu verwirren, hatte ich mich aufs wesentliche beschränkt.
Das siehst Du so, die, die helfen wollen/sollen, sehen das anders. Und Du siehst das auch falsch.Ein Programm, gut es ist der Terra Cloud Backup Agent, läuft als Admin/System problemlos durch. Als
Jetzt mal ans Eingemachte: ist das das Wortmann Programm TERRA Cloud Backup mit deren Agent?Falls ja:
- Wiki unter wiki.terracloud.de/index.php/Backup
- Manual Agent unter drive.terracloud.de/getlink/fiLpZboTGRPeqzW1cqwS6yin
Und wenn das so ist, dann scheint da eher etwas falsch installiert zu sein. Ich kenne das Produkt nicht. Aber nach der Doku ist es ein lokal installierter Agent, zu dem ein Dienst installiert wird, der dann die Verbindung zum Cloudportal aufbaut, von dort eine Config beziehen kann und dahin sichert. Der Dienst läuft unter SYSTEM oder einem eigenen Dienst-Account. Eine Notwendigkeit, den manuell über Doppelklick oder Skript zu starten, besteht nicht. Das wird zentral über das Portal gesteuert. Dann entfallen alle Deine Probleme.
Wenn doch skriptbasiert: dann hier, wie im Wiki beschrieben, vorgehen: wiki.terracloud.de/index.php/Backup#Agent_Skripting. Idealerweise in der Variante mit den von Agent aufgerufenen Powershell-Skripten, also wiederum kein manuelles Starten.
Und wenn es doch Dein Vorgehen sein soll: überprüfe die Installation, v.a. ob der Agent sauber installiert ist. Der Account, unter dem er läuft, benötigt:
The account for running Agent services must:
• belong to the Backup Operators group
• have the “Log on as a service” right
• have the “Replace a process level token” right
To back up files and folders locally, the account must have read/write access to files and
folders on the system.
To back up files and folders in UNC locations, the account must have read/write permissions
to the UNC locations, including security streams. Security streams might not work in some
places unless the account is an Admin equivalent.
If you are using Encrypting File System (EFS), additional permissions are required. After
installing the Agent, you must change local security settings or the default domain policy. The
service account must have the “Act as part of the operating system” right and the “Log on as
a service” right. If the service account does not have the correct permissions, the service is
denied access. ACLs for all subsequent files might not be backed up and error messages might
appear in the log.
Note: When you install, modify, repair or upgrade an Agent, the Agent installation kit sets or
resets permissions on the Agent folder and all child items to full access for the Administrators
and Backup Operators groups. Using the Modify option, the user can install Agent services
under a local system account or another account that is created manually or automatically.
For non-local system accounts, the created account is modified to be part of the
Administrators group. If a user requires access to Agent services, the user should be included
in the Administrators or Backup Operators group.
Die Dokumentation erklärt auch, welche Rechte im Dateisystem für den Installationsordner gesetzt werden und vorhanden sein müssen.
Ich suche eigentlich eine Möglichkeit ein Programm mit Admin-Rechten auszustatten, ohne das der User es jedesmal eingeben muss. Also einmal einrichten, Credentials werden gespeichert. Der normale eingeschränkte user braucht nur einen Doppelklick machen und das Programm läuft.
Das ist doch gar nicht notwendig, einfach den Agent so konfigurieren, dass die Backups automatisch laufen.Und es scheint, dass da irgendwelche Berechtigungen oä fehlen.
Ggf. einfach mal den Agent komplett runterschmeißen und gemäß Dokumentation sauber neu installieren und fernkonfigurieren.Und zur Konfiguration:
einfach beim Herunterfahren aktivieren, siehe wiki.terracloud.de/index.php/Backup#Zeitplan.
Selbst bei Unseranmeldung ist das möglich, denn natürlich unterstützt das System Bandwith Trottling (Manual, Kapitel 4.4), so dass ein Weiterarbeiten in den allermeisten Fällen ganz problemlos möglich ist.
Gruß
DivideByZero
Das ist doch gar nicht notwendig, einfach den Agent so konfigurieren, dass die Backups automatisch laufen.
Automatisch geht laut seiner Aussage ja nicht, weil die Systeme so unregelmäßig an sind.
Ich würde, wie schon beschrieben, auch den Trigger beim Start oder Herunterfahren nehmen. Das kann der Agent sogar ohne Aufgabenplanung selbst.
Gruß,
Avoton
Trigger-gestützt ist für mich auch automatisch im Gegensatz zu "User klickt auf Icon".
Moin,
+1 für den Trigger: beim Herunterfahren laufen lassen.
Wenn es sich allerdings um Laptops handelt, die die User mitnehmen, wird auch das spannend. Die wollen dann mitunter keine 1h warten, bis das Backup durch ist.
Zitat von @DivideByZero:
Trigger-gestützt ist für mich auch automatisch im Gegensatz zu "User klickt auf Icon".
Sehe ich auch so. Zudem „vergessen“ User solche Aktionen gerne mal und beschweren sich bei einem Vorfall dan, warum das letzte Backup vor 4 Monaten erstellt wurde.Trigger-gestützt ist für mich auch automatisch im Gegensatz zu "User klickt auf Icon".
+1 für den Trigger: beim Herunterfahren laufen lassen.
Wenn es sich allerdings um Laptops handelt, die die User mitnehmen, wird auch das spannend. Die wollen dann mitunter keine 1h warten, bis das Backup durch ist.
Die wollen dann mitunter keine 1h warten, bis das Backup durch ist.
Wenn die Backups täglich laufen und es normale Arbeitsplätze sind dauert das ein paar Minuten, da die BMR Sicherungen beim Terra Cloud Backup nur geänderte Blöcke sichern.
Gruß,
Avoton
Dieses Tool ist alt, aber oft für solche Fälle super:
https://robotronic.net/runasrobde.html
--> Man kann Zugangsdaten für den Aufruf eines Programms in eine Cryp-Datei packen, die dann auch nur für dieses Programm funktionieren.
https://robotronic.net/runasrobde.html
--> Man kann Zugangsdaten für den Aufruf eines Programms in eine Cryp-Datei packen, die dann auch nur für dieses Programm funktionieren.
Zitat von @ratzekahl1:
@ThePinky777
Dann fragt der 1x nach den Credentials und startet das Scrippt dann generell mit Admin-Rechten?
Irgendwo gab es was mit Securestring. Das wäre uu auch eine Option.
In der Batch steht dann halt sowas wie
@ThePinky777
Dann fragt der 1x nach den Credentials und startet das Scrippt dann generell mit Admin-Rechten?
Irgendwo gab es was mit Securestring. Das wäre uu auch eine Option.
In der Batch steht dann halt sowas wie
runas /noprofile /hvahsvfajvaajksvfv /savecred script.batalso scripte mit adminrechte starten von user kontext aus ist per scripting eigentlich immer zum scheitern verurteilt.
Dazu braucht man wenn kompilierte selbstgeschriebene .exe (mit XOR Funktion) und selbst das kann geknackt werden.
Das liegt einfach daran das im script das Passwort zu einem bestimmten punkt übermittelt werden muss, und es ist in einer variablen gespeichert dann, ein Böser Hacker kann dann einfach die Variable an entsprechender stelle ausgeben und hat das PW.
Man kann dann vielleicht noch was tricksten mit Verezeichnisrechten usw... aber sicher ist alles nicht.
Daher bleiben nur standard lösungen Aufgaben Planer.
Oder GPO.
Ob du nun mit meiner Methode das beim Start des PCs ausführen lässt, mit nem Sleep Timer, und dann wartet das script einfach im hintergrund oder ob du mehr einfallsreichtum einbaust:
- Sleep im Hintergrund und checke IDLE Time, wenn grösser X Minuten dann starte Backup.
- Oder warte bis 12 Uhr weil dann der User eh immer in Pause geht.
Oder was dir halt spass macht.
@devidebyzero
Danke für die Ausführungen. Das weiß ich alles. Das Backup läuft automatisch problemlos durch.
Aber es geht halt nicht. Das Scipt habe ich durch. Deswegen habe ich nachgefragt. Das funktioniert so nicht.
Computer anlassen, ob das Quatsch ist oder nicht, ist egal. Anweisung vom Kunden. Backup starten, Rechner runterfahren und Büro abschließen, heißt für mich Compuer wird unbeaufsichtigt laufen gelassen.
Timer geht nicht, weil die User keine regelmäßigen Pausen haben und keine regelmäßigen Nutzungszeiten. Und es dauert länger als ein paar Minuten.
---
Ob und warum und wieso ist nicht die Frage gewesen. Auch keine philosofische Frage. Das sind die Vorgaben. Ich habe ein Tool, welches mit Admin-Rechten gestartet werden soll. Meine Frage war, ob ich dem Tool irgendwie Adminrechte mitgeben kann ohne den User das Passwort zu geben oder dem User Adminrechte zu geben. Genau, weil öfters solche Diskussionen aufkommen, hatte ich den Programmanmen erstmal nicht genannt. Ich frage nach Hilfe, ja. Aber nicht um eine Diskussion zu entfachen, ob das so und so nicht besser ist.
Ob der user dann klickt oder oder nicht, ist sein Problem, er wll es so.
Wenn ich auf der Straße frage, wie komme ich am besten nach Hamburg, möchte ich einen Tipp haben, wie ich nach Hamburg komme und nicht, fahr lieber nach Köln, ist viel shöner und viel näher. ;)
Eine Idee war noch einen User einzurichten, der minimale Rechte hat. Also was weiß ich Backup-User. Der hat dann nur rw-Zugriff auf dieses Programm und r auf den Rest.
Die Aufgabensteuerung von werwusste, läuft grundsätzlich. Muss es nur noch mit dem Icon hinkriegen, dass der User wirklich nur klicken muss.
Gruß
ratzekahl.
Danke für die Ausführungen. Das weiß ich alles. Das Backup läuft automatisch problemlos durch.
Aber es geht halt nicht. Das Scipt habe ich durch. Deswegen habe ich nachgefragt. Das funktioniert so nicht.
Computer anlassen, ob das Quatsch ist oder nicht, ist egal. Anweisung vom Kunden. Backup starten, Rechner runterfahren und Büro abschließen, heißt für mich Compuer wird unbeaufsichtigt laufen gelassen.
Timer geht nicht, weil die User keine regelmäßigen Pausen haben und keine regelmäßigen Nutzungszeiten. Und es dauert länger als ein paar Minuten.
---
Ob und warum und wieso ist nicht die Frage gewesen. Auch keine philosofische Frage. Das sind die Vorgaben. Ich habe ein Tool, welches mit Admin-Rechten gestartet werden soll. Meine Frage war, ob ich dem Tool irgendwie Adminrechte mitgeben kann ohne den User das Passwort zu geben oder dem User Adminrechte zu geben. Genau, weil öfters solche Diskussionen aufkommen, hatte ich den Programmanmen erstmal nicht genannt. Ich frage nach Hilfe, ja. Aber nicht um eine Diskussion zu entfachen, ob das so und so nicht besser ist.
Ob der user dann klickt oder oder nicht, ist sein Problem, er wll es so.
Wenn ich auf der Straße frage, wie komme ich am besten nach Hamburg, möchte ich einen Tipp haben, wie ich nach Hamburg komme und nicht, fahr lieber nach Köln, ist viel shöner und viel näher. ;)
Eine Idee war noch einen User einzurichten, der minimale Rechte hat. Also was weiß ich Backup-User. Der hat dann nur rw-Zugriff auf dieses Programm und r auf den Rest.
Die Aufgabensteuerung von werwusste, läuft grundsätzlich. Muss es nur noch mit dem Icon hinkriegen, dass der User wirklich nur klicken muss.
Gruß
ratzekahl.
Was spricht denn dagegen, dass der Rechner beim Herunterfahren automatisch gesichert wird?
Entweder als GPO in den Start/Stop-Scripten hinterlegen oder als geplante Aufgabe, User „System“ und Trigger „beim Herunterfahren“!
Entweder als GPO in den Start/Stop-Scripten hinterlegen oder als geplante Aufgabe, User „System“ und Trigger „beim Herunterfahren“!
Wenn ich das richtig verstanden habe, will er da? doch nicht. Obwohl die geeignete methode wäre.
Die Aufgabensteuerung von werwusste, läuft grundsätzlich. Muss es nur noch mit dem Icon hinkriegen, dass der User wirklich nur klicken muss.
Ach, auf einmal läuft das? Und das schreibst Du dann so beiläufig ein paar Tage später später.Nun gut, dann hast Du eine Lösung. Was Du mit dem Icon für Probleme hast, kannst Du ja bei Zeiten erläutern.
@DerWoWusste. Missverständnis. Es läuft, wenn ich die Aufgabenplanung als Administrator starte. Nicht, als normaler User. => Zugriff verweigert.
Backup starten, Rechner runterfahren und Büro abschließen, heißt für mich Compuer wird unbeaufsichtigt laufen gelassen.
Jetzt widersprichst du dir aber selbst. Wenn die Leute den Rechner doch eh stehen lassen und gehen, während das Backup läuft, was spricht dann gegen das Sichern beim Herunterfahren? Da musst du überhaupt nichts mit Skript oder Aufgabenplanung basteln, dass kann das Terra Cloud Backup Out of the Box.
Gruß,
Avoton
Hallo zusammen,
ich habe nun versucht den Fehler einzugrenzen.
EInfach mal eine neue Aufgabe erstellt, Höchte Privilegien und um ganz simple die cmd mit Admin Rechten zu straten.
Dann unter Windows ausführen C:\Windows\System32\schtasks.exe /Run /TN "Komando" versucht die AUfgabe zu starten.
Irgendwas rattert durch, aber kein Fenster. Das Ganze aus einer normalen cmd gestartet, um die Ausgabe zu sehen.
=> Zugriff verweigert...
ich habe nun versucht den Fehler einzugrenzen.
EInfach mal eine neue Aufgabe erstellt, Höchte Privilegien und um ganz simple die cmd mit Admin Rechten zu straten.
Dann unter Windows ausführen C:\Windows\System32\schtasks.exe /Run /TN "Komando" versucht die AUfgabe zu starten.
Irgendwas rattert durch, aber kein Fenster. Das Ganze aus einer normalen cmd gestartet, um die Ausgabe zu sehen.
=> Zugriff verweigert...
Mal einfach gefragt: Ist der Benutzer / Admin auch in der Gruppe der "Sicherungs-Operatoren"?
Weil Standardmäßig ist in der Gruppe keiner Mitglied.
Schon mal daran gedacht und damit versucht?
Gruss Penny.
Weil Standardmäßig ist in der Gruppe keiner Mitglied.
Schon mal daran gedacht und damit versucht?
Gruss Penny.
Missverständnis. Es läuft, wenn ich die Aufgabenplanung als Administrator starte. Nicht, als normaler User. => Zugriff verweigert.
Der normale Nutzer wird den Task doch noch nicht einmal sehen können. Insofern: was meinst Du nun mit "Zugriff verweigert" wenn als normaler Nutzer?Der Weg aus dem von mir verlinkten HowTo ist doch von dir so ausgeführt worden mit allen Schikanen, oder nicht? Dann würde der Taskplaner vom Nutzer per Doppelkick auf die Batch getriggert und würde mit hohen Rechten arbeiten. Wir nutzen sowas ja selbst und Nutzer können damit problemlos ohne Adminrechte Vollbackups Ihrer Systeme starten.
Ganz verrückte Idee: lade dir einfach die kostenlosen VEEAM Backup Agent. Da musste dich um nix weiter kümmern, als Admin den Job anlegen und nach bedarf sichern.
@DerWoWusste: Einfach mal in einem normalen CMD-Fenster gestartet um irgendeine Ausgabe zu sehen.
Da kommt Zuriff verweigert.
Auch mit Argument >> test.txt
In dem HowTo von Dir passiert nichts. EIn Fenster flackert auf und das wars.
Ok, die Anleitung nochmal neu gemacht. Bat-Datei usw.
Meldung in der cmd
Cmdlet Write-EventLog an der Befehlspipelineposition 1
Geben Sie Werte für die folgenden Parameter an:
EventId:
Obwohl im Trigger die EventId 999 angegeben ist. Gebe ich die 999 ein, fragt er nach der Message...
C:\Windows\System32\schtasks.exe /Run /TN "Komando" Auch mit Argument >> test.txt
In dem HowTo von Dir passiert nichts. EIn Fenster flackert auf und das wars.
Ok, die Anleitung nochmal neu gemacht. Bat-Datei usw.
Meldung in der cmd
Cmdlet Write-EventLog an der Befehlspipelineposition 1
Geben Sie Werte für die folgenden Parameter an:
EventId:
Obwohl im Trigger die EventId 999 angegeben ist. Gebe ich die 999 ein, fragt er nach der Message...
Natürlich kommt da Zugriff verweigert, wenn Du das so machst. Hast Du das HowTo nur "quer gelesen"? Der Zweck des gebauten Triggers besteht doch gerade darin, dieses Zugriffsproblem zu umschiffen.
In dem HowTo von Dir passiert nichts
Was? Nee, in meinem HowTo passiert auch nichts, da wird ein Task mit Systemrechten angetriggert durch eine aufflackernde Batch und der läuft dann unsichtbar im Hintergrund, da Systemprozesse nicht interaktiv für den schwachen Nutzer laufen - völlig normal. Du musst einfach mal prüfen, ob der Task geleaufen ist (als Admin kannst Du ja die Taskhistorie im Aufgabenplaner lesen, da würde dann stehen, ob der Task durch Eventtrigger gestartet worden ist, oder nicht). Ob dann auch das Skript gearbeitet hat, ist die nächste Frage - gestartet worden ist es mit Sicherheit, wenn Du das HowTo befolgt hast. Wenn Du in Deinem Skript Logging nutzen kannst, dann tu das bitte, dann kommen wir weiter.
Also nochmal die Batch aufs Desktop gelegt. Die Meldung mit der Event-Id ist weg. Aber da läuft nichts an. Kein Backup.
Doppelklick auf die Bat. In der Aufgabensteuerung steht. Der Vorgang wurde erfolgreich beendet. Im Verlauf sehe ich aber keine Ereignis-ID 999
powershell Write-EventLog -LogName Application -Source "Application" -EventId 999 -message 'This event was created by %username% for the sole purpose to launch the task VVBackup' Doppelklick auf die Bat. In der Aufgabensteuerung steht. Der Vorgang wurde erfolgreich beendet. Im Verlauf sehe ich aber keine Ereignis-ID 999
Im Verlauf :
Die Aufgabenplanung hat die Instanz "{bb67f02c-1c91-4970-bbc3-f35342b2e42d}" der Aufgabe "\VVBAckup" für den Benutzer "Lionfish\support" erfolgreich fertig gestellt. Aber mit der Ereignis-ID 102, nicht 999
Die Aufgabenplanung hat die Instanz "{bb67f02c-1c91-4970-bbc3-f35342b2e42d}" der Aufgabe "\VVBAckup" für den Benutzer "Lionfish\support" erfolgreich fertig gestellt. Aber mit der Ereignis-ID 102, nicht 999
Aber mit der Ereignis-ID 102, nicht 999
Die 999 ist ja auch nicht das Ergebnis des Jobs sondern wird so ins Applikation Log geschrieben. Da kannst du im Taskplaner lange nach suchen.
Gut, der Task läuft also an. Wenn er kein Backup produziert, dann lass dein Skript nach Möglichkeit alles protokollieren, was passiert.
Wichtig zu wissen wäre auch, was die Syntax überhaupt tut. Wenn ich das richtig sehe, wird ein Profil "bmsystem" gestartet. Und in diesem Profil sind vermutlich die Anmeldeinfos für den Cloud-Speicher drin, oder? Wahrscheinlich ist das Problem, dass dieses Profil bmsystem nur von dem Nutzer zugreifbar ist, der es eingerichtet hat.
Vermutliche Lösung wäre dann, dein Backupprogramm, in dem die Profile angelegt werden, ebenfalls einmalig als Systemkonto zu starten und dort dann das Profil bmsystem importieren oder neu anlegen. Das ginge auf einer elevated command line so:
psexec.exe -si Backupprogramm.exe
(Psexec lädt man von Microsoft runter)
Vermutliche Lösung wäre dann, dein Backupprogramm, in dem die Profile angelegt werden, ebenfalls einmalig als Systemkonto zu starten und dort dann das Profil bmsystem importieren oder neu anlegen. Das ginge auf einer elevated command line so:
psexec.exe -si Backupprogramm.exe
(Psexec lädt man von Microsoft runter)
Ob und warum und wieso ist nicht die Frage gewesen. Auch keine philosofische Frage. Das sind die Vorgaben. Ich habe ein Tool, welches mit Admin-Rechten gestartet werden soll. Meine Frage war, ob ich dem Tool irgendwie Adminrechte mitgeben kann ohne den User das Passwort zu geben oder dem User Adminrechte zu geben. Genau, weil öfters solche Diskussionen aufkommen, hatte ich den Programmanmen erstmal nicht genannt. Ich frage nach Hilfe, ja. Aber nicht um eine Diskussion zu entfachen, ob das so und so nicht besser ist.
Da verstehst Du so einiges falsch. Du fragst nach Hilfe, wir investieren unsere Zeit, um Dir eine Lösung zu eröffnen.
Dazu gehört, dass Du Deine Umgebung beschreibst. Und dazu gehört dann auch, dass eine Lösung für das Problem - User ohne passende Rechte soll Backup erstellen können - genannt werden kann, die funktioniert.
Das ist z.B. das Backup beim Herunterfahren. Willst Du nicht, gut. Die Argumente Deines Kunden sind allesamt vorgeschoben, Brandschutz kann da kein Thema sein. Sonst müssten die Geräte auch vom Strom getrennt sein und kontrolliert werden, ob sie einwandfrei heruntergefahren sind (so lange warten, machen in der Praxis nie 100% aller User). Egal, soll es nicht sein.
Die Lösung beim Hochfahren bzw. hier Anmelden eines Users (Trigger) hast Du verworfen, weil dann nicht gearbeitet werden könne. Das ist falsch. Dein Backupprogramm kann die genutzte Bandbreite beschränken, damit ist ein Arbeiten möglich.
Hilft das Klicken auf ein Icon? Nein, denn der User muss dann solange die Arbeit einstellen (macht er ja nicht, daher ja beim Anmelden nicht gewünscht) oder es laufen lassen, wenn er nach Hause geht. Passiert auch nicht. Ergo: 100% aller User werden nicht manuell das Backup zuverlässig laufen lassen.
Unabhängig davon zu Deinem Skript: Du hast ein Rechteproblem. Die Lösung von DerWoWusste ist super, durchdacht und funktioniert. Also kümmere Dich erst einmal ohne Aufgabenplaner um das saubere Ausführen. Sind die Voraussetzungen laut Doku gegeben, der User in den erforderlichen Gruppen, die passenden Rechte im System gesetzt?
Und schlussendlich: wenn Du, auf welchem Weg auch immer, gestartet hast und, wie zuletzt über die Aufgabenplanung, nichts passiert, was steht denn in den Logfiles (XLOG, unter C:\Program Files\TERRA Cloud Backup\Agent\XXXX\*.XLOG)?
Zitat von @DerWoWusste:
Wichtig zu wissen wäre auch, was die Syntax überhaupt tut. Wenn ich das richtig sehe, wird ein Profil "bmsystem" gestartet. Und in diesem Profil sind vermutlich die Anmeldeinfos für den Cloud-Speicher drin, oder? Wahrscheinlich ist das Problem, dass dieses Profil bmsystem nur von dem Nutzer zugreifbar ist, der es eingerichtet hat.
Wichtig zu wissen wäre auch, was die Syntax überhaupt tut. Wenn ich das richtig sehe, wird ein Profil "bmsystem" gestartet. Und in diesem Profil sind vermutlich die Anmeldeinfos für den Cloud-Speicher drin, oder? Wahrscheinlich ist das Problem, dass dieses Profil bmsystem nur von dem Nutzer zugreifbar ist, der es eingerichtet hat.
Ich verstehe die Dokumentation so, dass das Profil im Backend in der Cloud ist, nicht lokal. Das Rechteproblem müsste daher woanders liegen.
