bodenseehost
Goto Top

Logonscript mit Adminrecht benötigt

Zunächst mal das Umfeld:
Win2k3R2-Server, XP-SP2 Clients, KIS: Siemens Medicos, Logonscript über kix, aktuell kein startscript

Für unser Krankenhausinformationssystem medico
s muss bei PC-Start ein "medicoreg" durchgeführt werden, um einzelne Parameter zu setzen und bestätigen. Dummerweise muss dieses Script zwingend mit Adminrecht ausgeführt werden, und muss ebenfalls zwingend von einem gemappten Netzlaufwerk (H: ) gestartet werden. Und da liegt auch der Hund begraben...

Über ein RUNAS-Tool (runnas bietet auch die Möglichkeit einen Programmaufruf mit user und Passwort in ein Token zu verpacken... naja) könnte ich mir Adminrechte verschaffen, dabei verliere ich aber ja den Zugriff auf das bereits gemappte H: Laufwerk und RuNNas oder auch testweise RUNAS meldet, dass der Pfad nicht gefunden werden kann (logisch).

Gebe ich den Weg zum medicoreg aber per unc ein, scheitert medicoreg an der Prüfung selbigen Punktes. Startscript fällt auch flach, da ja dann die Laufwerke ebenfalls noch nicht gemappt sind und auch vorab nötige Variablen nicht für den User gesetz werden.

Soviel mal zur Erklärung... Faktisch brauche ich also [Adminrecht für das Logonscript] / [temporäres Adminrecht für den User]... [sonst eine gerissene Idee].

Bisher läuft das bei einem Dienstleister per ScriptLogic... Das setzen wir nicht ein. Bietet SL da deutlich interessantere Möglichkeiten als das pure kix??? Keine Ahnung - leider lässt sich das nicht so richtig erfragen face-confused

Ich hoffe doch, dass es noch die eine oder andere Idee hierzu gibt face-smile

Content-ID: 127030

Url: https://administrator.de/forum/logonscript-mit-adminrecht-benoetigt-127030.html

Ausgedruckt am: 22.12.2024 um 19:12 Uhr

2hard4you
2hard4you 13.10.2009 um 15:41:47 Uhr
Goto Top
Moin,

trag das unter Scheduled Tasks ein, beim Systemsstart ausführen - und als erstes kommt ein Sleepkommando

Adminsacc als Starter

Speichern, gut iss

Gruß

24
60730
60730 13.10.2009 um 15:52:05 Uhr
Goto Top
Servus,

wenn du dir bitte die Mühe machst, und ein paar Zeilenschalter in deine Frage hinzufügst.
Dann kriegen wir auch keinen Augenkrebs face-wink


Ich tippe mal, es ist leichter via Kix zuerst den Wert auszulesen und dann zu ändern und damit dass auch als User klappt zuerst einmalig mit Setacl die rechte setzen.

Gruß
Bodenseehost
Bodenseehost 13.10.2009 um 18:02:14 Uhr
Goto Top
Zitat von @60730:
wenn du dir bitte die Mühe machst, und ein paar Zeilenschalter
in deine Frage hinzufügst.
Dann kriegen wir auch keinen Augenkrebs face-wink
Jajaja hast ja recht ;)


Ich tippe mal, es ist leichter via Kix zuerst den Wert auszulesen und
dann zu ändern und damit dass auch als User klappt zuerst
einmalig mit Setacl
die rechte setzen.

Hat einer von uns beiden falsch verstanden. Die medicoreg.exe überprüft ob der startende User Adminrecht besitzt. So wie ich ACL's kenne (Berechtigungen auf Fileebene) hat das damit eher nix zu tun. Oder wo gibts noch acl's?
60730
60730 13.10.2009 um 18:08:48 Uhr
Goto Top
face-wink merci face-wink so kann ich das auch besser lesen face-wink

naja in der registrierung gibts auch Berechtigungen...

Und wenn du glück hast - dann versucht die medicoreg.exe nur auf einem bestimmten Bereich zu schreiben.
(Und nimmt dann an, der User hätte Adminrechte)

Besorg dir regmon von Sysinternals Microsoft und lass das medicoreg.exe mal als Admin laufen.
Dann siehts du ja, was es ändert.

Ich würde (entgegegen 2Hard) ein Startupskript machen, wenn es unbedingt so sein muß.
Und damit da kein Username / Password drin stehen muss, einfach h:\ für jederman lesbar als Share definieren.

net use h: \\server\freigabe
start /wait "unamomento" h:\medicoreg.exe  
net use h: /delete
exit

Gruß
Bodenseehost
Bodenseehost 14.10.2009 um 10:17:13 Uhr
Goto Top
Durch Eure Kommentare Motiviert habe ich noch etwas rumgebastelt, und mir die nötigen Einträge im STARTScript erzeugt... hat nun doch funktioniert.
[Zeilenumbruch für TB]

Offensichtlich werden einige benutzerabhängige Variablen zwar für die Programmstarts benötigt, für das medicoreg aber noch nicht... da wähnten wir die medicoreg.exe etwas komplexer als sie wirklich ist.

Heißt also: Startscript mappt sich H: führt medicroeg mit ein paar wenigen variablen aus, der Rest erfolgt wieder im Loginscript wie gehabt. Die von Siemens angestrebte Lösung ist das wohl nicht, aber es flutscht.

Vielleicht braucht das mal irgend jemand *hust*.
Vielen Dank für Eure Tipps!
nother
nother 23.07.2013 um 15:35:58 Uhr
Goto Top
Moin!
Ich grab das nochmal aus... wie sieht denn dein Script so ungefähr aus?
Muss jetzt auch Siemens Medico unter Win 7 ohne ScriptLogic/Desktop Authority basteln!
Umgebungvariablen setzten mit Gruppenrichtlinien kein Problem, Netzlaufwerke auch nicht, aber die Medicoreg ist schon ne Nuss...

have fun
Andruvion
Andruvion 26.11.2013 um 14:57:07 Uhr
Goto Top
Empfehlung von Siemens ist hier kein Netzlaufwerk zu verwenden.
wenn man dies trotzdem tut, so muss man

net use h: "\\Server\Freigabe"
h:
cd kkh
cd dll
medicoreg.exe

ausführen, dann funktioniert es. Wenn eure Server allerdings virtuelle Maschinen sind empfehle ich die Einbindung einer SAN-Platte/LUN um die Anforderung des nicht lokalen speicherns zu erfüllen und die Gewährleistung von Siemens nicht zu verlieren.