7
Script mit höherer Berechtigung bei Benutzeranmeldung eines Users am AD ausführen
Hallo,
ich möchte per Loginscript für alle User einen Vorgang bei der Anmeldung anstoßen, der höhere Berechtigungen als der anmeldende User auf ein Verzeichnis auf dem Server benötigt.
Ich dachte da nun schon an Überwachung der Anmeldungen der Domainuser und Ausführen bei einem Protokolleintrag.
Im Endeffekt muss ich den Anmeldenamen des sich am AD anmeldenden Users wissen um diesen dann als Variable im auszuführenden Script zu benutzen. Das Script muss aber dann auf dem Server mit Admin-Berechtigungen laufen.
Hat da jemand eine Idee?
Gruß
Torsten
ich möchte per Loginscript für alle User einen Vorgang bei der Anmeldung anstoßen, der höhere Berechtigungen als der anmeldende User auf ein Verzeichnis auf dem Server benötigt.
Ich dachte da nun schon an Überwachung der Anmeldungen der Domainuser und Ausführen bei einem Protokolleintrag.
Im Endeffekt muss ich den Anmeldenamen des sich am AD anmeldenden Users wissen um diesen dann als Variable im auszuführenden Script zu benutzen. Das Script muss aber dann auf dem Server mit Admin-Berechtigungen laufen.
Hat da jemand eine Idee?
Gruß
Torsten
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 259676
Url: https://administrator.de/contentid/259676
Ausgedruckt am: 25.11.2024 um 06:11 Uhr
7 Kommentare
Neuester Kommentar
Hi,
ein oft gefragtes Thema ...
Was soll denn das Script in dem Verzeichnis machen?
Man könnte es vielleicht so lösen:
E.
ein oft gefragtes Thema ...
Was soll denn das Script in dem Verzeichnis machen?
Man könnte es vielleicht so lösen:
- auf einem zentralen Computer läuft mit den erforderlichen Rechten ein Script (z.b. geplante Aufgabe) oder Dienst, welches ein Verzeichnis in einer Freigabe überwacht.
- im Loginscript wird im überwachten Verzeichnis eine Datei erstellt, welche Computer- und Benutzername enthält
- das zentrale Script/Dienst findet die Datei und führt die Operation im Verzeichnis aus. Anschließend löscht es die erstellte Datei
E.
Moin Moin,
wenn solche putzigen Anforderungen bei uns aufschlagen, giessen wir das in ein Autoit skript und geben darin ein Konto und Passwort mit den erhöten Rechten an unter dem das Geschleuder dann ausgeführt wird.
Das wandeln wir dann in eine EXE und Fertig.
Gruß L.
wenn solche putzigen Anforderungen bei uns aufschlagen, giessen wir das in ein Autoit skript und geben darin ein Konto und Passwort mit den erhöten Rechten an unter dem das Geschleuder dann ausgeführt wird.
Das wandeln wir dann in eine EXE und Fertig.
Gruß L.
Zitat von @Logan000:
Moin Moin,
wenn solche putzigen Anforderungen bei uns aufschlagen, giessen wir das in ein Autoit skript und geben darin ein Konto und
Passwort mit den erhöten Rechten an unter dem das Geschleuder dann ausgeführt wird.
Das wandeln wir dann in eine EXE und Fertig.
Gruß L.
Moin Moin,
wenn solche putzigen Anforderungen bei uns aufschlagen, giessen wir das in ein Autoit skript und geben darin ein Konto und
Passwort mit den erhöten Rechten an unter dem das Geschleuder dann ausgeführt wird.
Das wandeln wir dann in eine EXE und Fertig.
Gruß L.
Und du bist dir sicher das der User dann da nicht einfach das Konto und Passwort wieder rausholen kann?
Ich währ's nicht.
Hi.
Mit großer Sicherheit ist das Konzept in Frage zu stellen, welches Du verfolgst. Was für ein Vorgang ist das, der da erledigt wird? Mit Sicherheit geht das anders wesentlich einfacher.
Mit großer Sicherheit ist das Konzept in Frage zu stellen, welches Du verfolgst. Was für ein Vorgang ist das, der da erledigt wird? Mit Sicherheit geht das anders wesentlich einfacher.
Moin Moin,
Natürlich bin ich nicht "Sicher". Allerdings habe ich auch noch nichts über erfolgreiches decompiling von AutoIT gefunden.
So oder so denke ich das überfoldert selbst versierte "Anwender".
Wenn natürlich ein hoher Sicherheitsstandard gefordert sein sollte, bleibt dem TO nichts anderes übrig als sein Konzept zu überdenken (siehe Beitrag DWW).
Gruß L.
Zitat von @wiesi200:
Und du bist dir sicher das der User dann da nicht einfach das Konto und Passwort wieder rausholen kann?
Ich währ's nicht.
Und du bist dir sicher das der User dann da nicht einfach das Konto und Passwort wieder rausholen kann?
Ich währ's nicht.
Natürlich bin ich nicht "Sicher". Allerdings habe ich auch noch nichts über erfolgreiches decompiling von AutoIT gefunden.
So oder so denke ich das überfoldert selbst versierte "Anwender".
Wenn natürlich ein hoher Sicherheitsstandard gefordert sein sollte, bleibt dem TO nichts anderes übrig als sein Konzept zu überdenken (siehe Beitrag DWW).
Gruß L.
Hallo,
ich hab es jetzt anders gelöst. Ich lasse in regelmäßigen Abständen einen Task auf dem Server laufen, welcher die User in einigen OU`s im AD durchgeht und die Vorgänge, die für die entsprechenden User zu tätigen sind, ausführt. Damit habe ich das Problem mit den Berechtigungen komplett umgangen.
Ist auch sicherer so, die ganze Geschichte läuft ohne äußere Einflüsse auf dem Server ab.
Danke für eure Hilfe!
Torsten
ich hab es jetzt anders gelöst. Ich lasse in regelmäßigen Abständen einen Task auf dem Server laufen, welcher die User in einigen OU`s im AD durchgeht und die Vorgänge, die für die entsprechenden User zu tätigen sind, ausführt. Damit habe ich das Problem mit den Berechtigungen komplett umgangen.
Ist auch sicherer so, die ganze Geschichte läuft ohne äußere Einflüsse auf dem Server ab.
Danke für eure Hilfe!
Torsten
