hannsgmaulwurf
Goto Top

RunAs MSI Error 1603

Hallo,

ich habe einige Domains (AD), in denen ich wie folgt kleinere Software wie z.B. Java per Silent MSI Installer verteile (die User sind keine Admins):

Erstelle ein Skript mit Autoit, in dem der Domain Admin + PW fest codiert sind und dort wird dann via RunAs als Domain Admin der MSI Installer mit div. Parametern (u.a. für Silent und Logging) aufgerufen. Die compilierte exe liegt auf dem Server und wird via Loginscript bei den Usern bei der Anmeldung ausgeführt, sodass die Software als Domain Admin installiert wird.

Das hat bisher immer problemlos geklappt. Nun habe ich ein AD, wo das nicht klappt. Dort erzeugt der MSI Installer immer den Fehlercode 1603 gepaart mit Einträgen wie z.B. "Error: Need Administrative privileges to proceed".

Hat jemand auf die Schnelle eine Idee woran das liegen könnte?

Also ich würde mal auf die AD Umgebung tippen. Der Virenscanner, der dort im Einsatz ist, ist a) auch mit identischer Konfig bei den anderen AD Umgebungen im Einsatz (wo es funktioniert) und er wurde testhalber auch schon deinstalliert.

Besten Dank.

Content-ID: 510132

Url: https://administrator.de/contentid/510132

Ausgedruckt am: 04.11.2024 um 22:11 Uhr

NetzwerkDude
NetzwerkDude 30.10.2019 um 15:54:47 Uhr
Goto Top
Öhm, nur so als Randnotiz: Erscheint mir hochgefährlich das PW des DomainAdmins(!) irgendwo "fest codiert" zu speichern
itisnapanto
itisnapanto 30.10.2019 um 15:58:49 Uhr
Goto Top
Zitat von @NetzwerkDude:

Öhm, nur so als Randnotiz: Erscheint mir hochgefährlich das PW des DomainAdmins(!) irgendwo "fest codiert" zu speichern

Nicht nur dir ^^ .


"Error: Need Administrative privileges to proceed".

Und da besteht doch das Problem . Hat denn dein Domain Admin in der passenden Domäne auch die Berechtigung Pakete zu installieren ?
Hast dich dort mal angemeldet und versucht das Paket manuell zu installieren ?

Gruss
hannsgmaulwurf
hannsgmaulwurf 30.10.2019 um 15:59:52 Uhr
Goto Top
Ja wenn man sich mit dem Domain Admin auf einer Arbeitsstation anmeldet läuft der Installer durch.
DerWoWusste
DerWoWusste 30.10.2019 um 16:09:19 Uhr
Goto Top
Das liegt vermutlich daran, dass die UAC an ist.
em-pie
em-pie 30.10.2019 aktualisiert um 16:19:44 Uhr
Goto Top
Moin,


Zitat von @NetzwerkDude:

Öhm, nur so als Randnotiz: Erscheint mir hochgefährlich das PW des DomainAdmins(!) irgendwo "fest codiert" zu speichern

Das dachte ich mir auch...
Nachtrag dazu: https://www.autoitscript.com/wiki/Decompiling_FAQ

@hannsgmaulwurf:
Warum deployst du die Software nicht via GPO?
Das wäre eine deutlich bessere Lösung.

Gruß
em-pie
hannsgmaulwurf
hannsgmaulwurf 30.10.2019 um 16:21:19 Uhr
Goto Top
Zitat von @DerWoWusste:

Das liegt vermutlich daran, dass die UAC an ist.
Das ist ein guter Hinweis, die hab ich bei den meisten anderen ADs tatsächlich per GPO beschnitten, danke, schaue ich mir gleich mal an.
Bitboy
Bitboy 30.10.2019 aktualisiert um 17:38:07 Uhr
Goto Top
Da es Autoit ist...
Hast du ein #RequireAdmin mit im Code?

Edit:
Achja, sofern das Script keine Netzwerkberechtigungen braucht überleg dir mal ob dus nicht als Computer Shutdown Script laufen lääst. Dann hat es lokale Systemberechtigungen, kann also auch alles installieren und duch brauchs kein DomainPW im Script.
hannsgmaulwurf
hannsgmaulwurf 31.10.2019 um 14:04:37 Uhr
Goto Top
Zitat von @hannsgmaulwurf:

Zitat von @DerWoWusste:

Das liegt vermutlich daran, dass die UAC an ist.
Das ist ein guter Hinweis, die hab ich bei den meisten anderen ADs tatsächlich per GPO beschnitten, danke, schaue ich mir gleich mal an.
Hat geholfen, aber nur teilweise, komisch. Bei manchen Clients (alle Win10 in gleicher OU) wurde installiert nachdem UAC via GPO deaktiviert wurden. Bei einigen tritt das Problem trotzdem noch auf.


Zitat von @Bitboy:

Da es Autoit ist...
Hast du ein #RequireAdmin mit im Code?
Danke für die Tipps.
@require Admin im Skript hilft nicht, gleiches Problem.
em-pie
em-pie 31.10.2019 um 14:24:49 Uhr
Goto Top
Warum machst du das nicht per GPO?
An die MSI von der Javesetup kommst du doch!?
hannsgmaulwurf
hannsgmaulwurf 31.10.2019 um 14:41:25 Uhr
Goto Top
Zitat von @em-pie:

Warum machst du das nicht per GPO?
An die MSI von der Javesetup kommst du doch!?
Weil i.d.R. vor und nach der Installation noch einige Dinge zu prüfen sind und zu erledigen sind, z.B. Registry Werte prüfen/löschen/ändern, vorhandene Verzeichnisse und Konfig Dateien etc... Deshalb packe ich das gerne alles immer in ein Skript.
em-pie
em-pie 31.10.2019 um 14:51:52 Uhr
Goto Top
Geht nicht selten auch, wenn man die TRANSFORM-Files für die MSIs erzeugst und die dann mit bei der GPO angibst...


Schaue dir einfach mal ORCA an;)
DerWoWusste
DerWoWusste 02.11.2019 um 11:45:02 Uhr
Goto Top
Ich hoffe, dass Du die Hinweise zur Sicherheit Ernst nimmst. Im Handumdrehen wird deine Domäne auf diese Weise übernommen.
Nimm ein Startskript oder einen geplanten Task (ausführendes Konto: "system"), da brauchst Du keine Credentials mitzugeben.
hannsgmaulwurf
hannsgmaulwurf 04.11.2019 um 11:43:10 Uhr
Goto Top
Zitat von @em-pie:

Schaue dir einfach mal ORCA an;)
Danke für den Tipp, ist notiert, hilft mir aktuell aber nicht, denn mit reinen MST Files komme ich nicht weiter, weil vor der Installation diverse Dinge geprüft und abgearbeitet werden müssen.


Zitat von @DerWoWusste:

Ich hoffe, dass Du die Hinweise zur Sicherheit Ernst nimmst. Im Handumdrehen wird deine Domäne auf diese Weise übernommen.
Ja.

Nimm ein Startskript oder einen geplanten Task (ausführendes Konto: "system"), da brauchst Du keine Credentials mitzugeben.
Die Exe läuft ja als Startskript (GPO -> Benutzerkonfig -> ... -> Anmeldeskript) - gibt man keine Credentials an, bricht die Installation mangels Berechtigungen ab.
DerWoWusste
DerWoWusste 04.11.2019 um 13:03:16 Uhr
Goto Top
Das ist kein Startskript, sondern ein Anmeldeskript. Nimm GPO -> Computerkonfig -> ... -> Startskript)
hannsgmaulwurf
hannsgmaulwurf 04.11.2019 um 13:17:32 Uhr
Goto Top
Das geht wieder nicht, weil ja, wie gesagt, in der Exe diverse benutzerspezifische Dinge geprüft und abgearbeitet werden (z.B. Ordner im Userprofil prüfen/anlegen/mit Dateien füllen).
DerWoWusste
DerWoWusste 04.11.2019 um 13:31:46 Uhr
Goto Top
Doch, geht schon, indem man das eben in allen Profilen gleichermaßen prüft.
hannsgmaulwurf
hannsgmaulwurf 04.11.2019 um 13:37:29 Uhr
Goto Top
Hm, dann müsste man ja erst mal schauen, welche Profile vorhanden sind, welche noch aktuell sind und dann für jedes potentiell aktive Profil die individuellen Einstellungen vornehmen. Erscheint mir unendlich aufwendig...
DerWoWusste
DerWoWusste 04.11.2019 um 15:19:58 Uhr
Goto Top
Oha... na "unendlich" sollte der Aufwand nicht wirklich sein - nimm halt jedes Profil, fertig.
for /f %a in ('dir c:\users /b') do copy... Datei.txt c:\users\%a\ziel\ /y  
Bitboy
Bitboy 05.11.2019 um 09:43:09 Uhr
Goto Top
Der Trick besteht in einem zweitiligen Setup.
Einer Computerkomponente die mit dem Systemkonto arbeitet und einer Benutzerkomponente die im Benutzerkontext ausgeführt wird.
Ist zwar aufwendiger zu bauen, wird dafür aber auch ausgeführt für Benutzer die sich später am System anmelden.
Active Setup ist hier das Stichwort
https://helgeklein.com/blog/2010/04/active-setup-explained/