7
Script mit höherer Berechtigung bei Benutzeranmeldung eines Users am AD ausführen
Hallo,
ich möchte per Loginscript für alle User einen Vorgang bei der Anmeldung anstoßen, der höhere Berechtigungen als der anmeldende User auf ein Verzeichnis auf dem Server benötigt.
Ich dachte da nun schon an Überwachung der Anmeldungen der Domainuser und Ausführen bei einem Protokolleintrag.
Im Endeffekt muss ich den Anmeldenamen des sich am AD anmeldenden Users wissen um diesen dann als Variable im auszuführenden Script zu benutzen. Das Script muss aber dann auf dem Server mit Admin-Berechtigungen laufen.
Hat da jemand eine Idee?
Gruß
Torsten
ich möchte per Loginscript für alle User einen Vorgang bei der Anmeldung anstoßen, der höhere Berechtigungen als der anmeldende User auf ein Verzeichnis auf dem Server benötigt.
Ich dachte da nun schon an Überwachung der Anmeldungen der Domainuser und Ausführen bei einem Protokolleintrag.
Im Endeffekt muss ich den Anmeldenamen des sich am AD anmeldenden Users wissen um diesen dann als Variable im auszuführenden Script zu benutzen. Das Script muss aber dann auf dem Server mit Admin-Berechtigungen laufen.
Hat da jemand eine Idee?
Gruß
Torsten
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 259676
Url: https://administrator.de/contentid/259676
Printed on: April 18, 2024 at 08:04 o'clock
7 Comments
Latest comment
Hi,
ein oft gefragtes Thema ...
Was soll denn das Script in dem Verzeichnis machen?
Man könnte es vielleicht so lösen:
E.
ein oft gefragtes Thema ...
Was soll denn das Script in dem Verzeichnis machen?
Man könnte es vielleicht so lösen:
- auf einem zentralen Computer läuft mit den erforderlichen Rechten ein Script (z.b. geplante Aufgabe) oder Dienst, welches ein Verzeichnis in einer Freigabe überwacht.
- im Loginscript wird im überwachten Verzeichnis eine Datei erstellt, welche Computer- und Benutzername enthält
- das zentrale Script/Dienst findet die Datei und führt die Operation im Verzeichnis aus. Anschließend löscht es die erstellte Datei
E.
Moin Moin,
wenn solche putzigen Anforderungen bei uns aufschlagen, giessen wir das in ein Autoit skript und geben darin ein Konto und Passwort mit den erhöten Rechten an unter dem das Geschleuder dann ausgeführt wird.
Das wandeln wir dann in eine EXE und Fertig.
Gruß L.
wenn solche putzigen Anforderungen bei uns aufschlagen, giessen wir das in ein Autoit skript und geben darin ein Konto und Passwort mit den erhöten Rechten an unter dem das Geschleuder dann ausgeführt wird.
Das wandeln wir dann in eine EXE und Fertig.
Gruß L.
Zitat von @Logan000:
Moin Moin,
wenn solche putzigen Anforderungen bei uns aufschlagen, giessen wir das in ein Autoit skript und geben darin ein Konto und
Passwort mit den erhöten Rechten an unter dem das Geschleuder dann ausgeführt wird.
Das wandeln wir dann in eine EXE und Fertig.
Gruß L.
Moin Moin,
wenn solche putzigen Anforderungen bei uns aufschlagen, giessen wir das in ein Autoit skript und geben darin ein Konto und
Passwort mit den erhöten Rechten an unter dem das Geschleuder dann ausgeführt wird.
Das wandeln wir dann in eine EXE und Fertig.
Gruß L.
Und du bist dir sicher das der User dann da nicht einfach das Konto und Passwort wieder rausholen kann?
Ich währ's nicht.
Hi.
Mit großer Sicherheit ist das Konzept in Frage zu stellen, welches Du verfolgst. Was für ein Vorgang ist das, der da erledigt wird? Mit Sicherheit geht das anders wesentlich einfacher.
Mit großer Sicherheit ist das Konzept in Frage zu stellen, welches Du verfolgst. Was für ein Vorgang ist das, der da erledigt wird? Mit Sicherheit geht das anders wesentlich einfacher.
Moin Moin,
Natürlich bin ich nicht "Sicher". Allerdings habe ich auch noch nichts über erfolgreiches decompiling von AutoIT gefunden.
So oder so denke ich das überfoldert selbst versierte "Anwender".
Wenn natürlich ein hoher Sicherheitsstandard gefordert sein sollte, bleibt dem TO nichts anderes übrig als sein Konzept zu überdenken (siehe Beitrag DWW).
Gruß L.
Zitat von @wiesi200:
Und du bist dir sicher das der User dann da nicht einfach das Konto und Passwort wieder rausholen kann?
Ich währ's nicht.
Und du bist dir sicher das der User dann da nicht einfach das Konto und Passwort wieder rausholen kann?
Ich währ's nicht.
Natürlich bin ich nicht "Sicher". Allerdings habe ich auch noch nichts über erfolgreiches decompiling von AutoIT gefunden.
So oder so denke ich das überfoldert selbst versierte "Anwender".
Wenn natürlich ein hoher Sicherheitsstandard gefordert sein sollte, bleibt dem TO nichts anderes übrig als sein Konzept zu überdenken (siehe Beitrag DWW).
Gruß L.
Hallo,
ich hab es jetzt anders gelöst. Ich lasse in regelmäßigen Abständen einen Task auf dem Server laufen, welcher die User in einigen OU`s im AD durchgeht und die Vorgänge, die für die entsprechenden User zu tätigen sind, ausführt. Damit habe ich das Problem mit den Berechtigungen komplett umgangen.
Ist auch sicherer so, die ganze Geschichte läuft ohne äußere Einflüsse auf dem Server ab.
Danke für eure Hilfe!
Torsten
ich hab es jetzt anders gelöst. Ich lasse in regelmäßigen Abständen einen Task auf dem Server laufen, welcher die User in einigen OU`s im AD durchgeht und die Vorgänge, die für die entsprechenden User zu tätigen sind, ausführt. Damit habe ich das Problem mit den Berechtigungen komplett umgangen.
Ist auch sicherer so, die ganze Geschichte läuft ohne äußere Einflüsse auf dem Server ab.
Danke für eure Hilfe!
Torsten
