GPO Computerstartscript UAC blockiert
Hallo,
ich möchte per Computerstartscript Bitlocker aktivieren. Leider funkt die UAC dazwischen.
Das Script sieht so aus (whoami um sicherzustellen, dass es als System läuft):
In der bitlockerlog.txt steht dann folgendes:
Wie kann man das trotzdem ausführen? Ich dachte eigentlich, mit Systemrechten darf man alles, trotz UAC.
Und die Ursache ist auch wirklich UAC. Schalte ich es aus, wird Bitlocker aktiviert.
Danke
Martin
ich möchte per Computerstartscript Bitlocker aktivieren. Leider funkt die UAC dazwischen.
Das Script sieht so aus (whoami um sicherzustellen, dass es als System läuft):
whoami > c:\temp\bitlockerlog.txt
manage-bde -on c: -rp >> c:\temp\bitlockerlog.txt
In der bitlockerlog.txt steht dann folgendes:
nt-autorit„t\system
Der Vorgang wurde erfolgreich beendet.
BitLocker-Laufwerkverschlsselung: Konfigurationstool, Version 10.0.22621
Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten.
Volume "C:" [Windows]
[Betriebssystemvolume]
Hinzugefgte Schlsselschutzvorrichtungen:
Numerisches Kennwort:
ID: {98AF9466-46A8-4A9A-AFB4-19890EB43F52}
Kennwort:
399025-700744-565510-592845-404734-284537-253627-667161
FEHLER: Ein Fehler ist aufgetreten (Code 0x80070522):
Dem Client fehlt ein erforderliches Recht.
Wie kann man das trotzdem ausführen? Ich dachte eigentlich, mit Systemrechten darf man alles, trotz UAC.
Und die Ursache ist auch wirklich UAC. Schalte ich es aus, wird Bitlocker aktiviert.
Danke
Martin
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 81569872744
Url: https://administrator.de/forum/gpo-computerstartscript-uac-blockiert-81569872744.html
Ausgedruckt am: 26.12.2024 um 08:12 Uhr
5 Kommentare
Neuester Kommentar
Moin.
Meine Stirn runzelt sich "hörbar". Ich habe das (Bitlocker) schon mit Startskripten gemacht, trotz aktiver UAC, insofern ist es schwer zu glauben. Das Systemkonto wird NIE eine UAC-Abfrage sehen, da, genau wie für das eingebaute Konto "Administrator", die UAC nicht für dieses Konto greift; sprich: alles läuft automatisch elevated.
Mach bitte auf einem PC mit aktiver UAC folgendes:
lade die pstools von Microsoft und extrahiere daraus psexec.exe
Öffne ein elevated command prompt und dort:
psexec -si cmd
->eine Shell mit Systemrechten öffnet sich. Nun nutze das Skript/den Befehl von dort erneut.
Meine Stirn runzelt sich "hörbar". Ich habe das (Bitlocker) schon mit Startskripten gemacht, trotz aktiver UAC, insofern ist es schwer zu glauben. Das Systemkonto wird NIE eine UAC-Abfrage sehen, da, genau wie für das eingebaute Konto "Administrator", die UAC nicht für dieses Konto greift; sprich: alles läuft automatisch elevated.
Mach bitte auf einem PC mit aktiver UAC folgendes:
lade die pstools von Microsoft und extrahiere daraus psexec.exe
Öffne ein elevated command prompt und dort:
psexec -si cmd
->eine Shell mit Systemrechten öffnet sich. Nun nutze das Skript/den Befehl von dort erneut.
Hab's nachvollzogen auf Win10 22H2 - selbe "Privilegiendifferenz" auch hier.
Ich möchte dir nahe legen, die Aktivierung von Bitlocker mit einem Scheduled Task zu machen, siehe mein Artikel hier:
https://www.experts-exchange.com/articles/33771/We-have-bitlocker-so-we- ...
(PowerShell-Skript in der Mitte) - das Skript müsste leicht abgewandelt werden, da du ja keine PIN willst.
Ich möchte dir nahe legen, die Aktivierung von Bitlocker mit einem Scheduled Task zu machen, siehe mein Artikel hier:
https://www.experts-exchange.com/articles/33771/We-have-bitlocker-so-we- ...
(PowerShell-Skript in der Mitte) - das Skript müsste leicht abgewandelt werden, da du ja keine PIN willst.