9
Verständnisfrage Batch-Rechte
Hallo zusammen,
ich habe mal eine Verständnisfrage zu Batch-Rechten.
Also, wenn ich in einer Gruppenrichtlinie den Benutzern einer OU als Anmeldescript die Batch-Datei \\server\SetupAssistent\init.bat aufrufe, die folgenden Inhalt hat:
Mit welchen Rechten wir diese install.bat ausgeführt, wenn sich in der OU, auf die diese Gruppenrichtlinie wirkt, ein Benutzer befindet, der zur Gruppe der Domänen-Administratoren gehört und der sich dann anmeldet? Betriebssystem der Clients ist Windows 7, es gibt aber auch welche unter 8.1 und einige unter 10.
Danke im Voraus,
Sarek \\//_
ich habe mal eine Verständnisfrage zu Batch-Rechten.
Also, wenn ich in einer Gruppenrichtlinie den Benutzern einer OU als Anmeldescript die Batch-Datei \\server\SetupAssistent\init.bat aufrufe, die folgenden Inhalt hat:
net use i: \\server\SetupAssistent\content
call i:\install.batMit welchen Rechten wir diese install.bat ausgeführt, wenn sich in der OU, auf die diese Gruppenrichtlinie wirkt, ein Benutzer befindet, der zur Gruppe der Domänen-Administratoren gehört und der sich dann anmeldet? Betriebssystem der Clients ist Windows 7, es gibt aber auch welche unter 8.1 und einige unter 10.
Danke im Voraus,
Sarek \\//_
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 346227
Url: https://administrator.de/forum/verstaendnisfrage-batch-rechte-346227.html
Ausgedruckt am: 05.04.2025 um 16:04 Uhr
9 Kommentare
Neuester Kommentar
Hi,
ein Benutzeranmeldescript läuft im Kontext des Benutzers, welcher sich anmeldet, also mit dessen Berechtigungen. Jedoch ist zu beachten, dass ein Benutzeranmeldescript bei aktiviertem UAC nich voll eleviert ausgeführt wird. Erhöhte Rechte, welche durch Mitgliedschaft in der Gruppe der lokalen Administratoren geerbt werden, sind damit nicht verfübar.
E.
ein Benutzeranmeldescript läuft im Kontext des Benutzers, welcher sich anmeldet, also mit dessen Berechtigungen. Jedoch ist zu beachten, dass ein Benutzeranmeldescript bei aktiviertem UAC nich voll eleviert ausgeführt wird. Erhöhte Rechte, welche durch Mitgliedschaft in der Gruppe der lokalen Administratoren geerbt werden, sind damit nicht verfübar.
E.
Zitat von @emeriks:
ein Benutzeranmeldescript läuft im Kontext des Benutzers, welcher sich anmeldet, also mit dessen Berechtigungen. Jedoch ist zu beachten, dass ein Benutzeranmeldescript bei aktiviertem UAC nich voll eleviert ausgeführt wird. Erhöhte Rechte, welche durch Mitgliedschaft in der Gruppe der lokalen Administratoren geerbt werden, sind damit nicht verfübar.
ein Benutzeranmeldescript läuft im Kontext des Benutzers, welcher sich anmeldet, also mit dessen Berechtigungen. Jedoch ist zu beachten, dass ein Benutzeranmeldescript bei aktiviertem UAC nich voll eleviert ausgeführt wird. Erhöhte Rechte, welche durch Mitgliedschaft in der Gruppe der lokalen Administratoren geerbt werden, sind damit nicht verfübar.
Und ist es möglich, ohne manuelles Zutun das Script eleviert auszuführen? Also zumindest das zweite Script, welches vom ersten ja mit Call aufgerufen wird?
Eine "install.bat" sollte man doch besser als Computer-Startupscripot laufen lassen, oder? Was macht diese Batch?
Startup-Scripte laufen immer voll eleviert. Beachte: Das Computer-Konto benötigt hier min. Lese-Zugriff auf die Quell-Dateien.
Startup-Scripte laufen immer voll eleviert. Beachte: Das Computer-Konto benötigt hier min. Lese-Zugriff auf die Quell-Dateien.
Zitat von @emeriks:
Eine "install.bat" sollte man doch besser als Computer-Startupscripot laufen lassen, oder?
Eine "install.bat" sollte man doch besser als Computer-Startupscripot laufen lassen, oder?
Dann startet sie aber schon ohne, dass ein Benutzer angemeldet ist, oder? Und vor allem läuft sie "Silent". Manche der Setups, die aus dieser Batch heraus aufgerufen werden, haben aber keine Silent-Option und müssen "durchgeklickt" werden.
Was macht diese Batch?
Setups aufrufen:
REM --- DEINSTALLIEREN ---
WMIC /interactive:off product where 'name like "%%java%%" and (vendor like "%%oracle%%" or vendor like "%%sun%%")' call uninstall
WMIC /interactive:off product where 'name like "%%reader%%" and (vendor like "%%adobe%%")' call uninstall
REM --- JAVA ---
%~dp0Java.exe INSTALL_SILENT=1 AUTO_UPDATE=0 REBOOT=0 NOSTARTMENU=1 SPONSORS=0
REM --- FLASH unter anderen Versionen als 8.1 ---
VER | find "[Version 6.3" > nul
IF %errorlevel% NEQ 0 %~dp0FlashPlayer -install
REM --- ADOBE READER ---
msiexec.exe /i "%~dp0AcrobatReader\AcroRead.msi" ALLUSERS=1 TRANSFORMS=%~dp0AcrobatReader\anpassungen.mst DISABLE_AIR_SHARE=YES DISABLE_ASIAN_FONTS=YES /qn /NORESTART
REM --- FIREFOX ---
%~dp0Firefox /INI=%~dp0firefox.ini
REM --- Programme mit unterschiedlicher Version für 32/64-Bit ---
IF EXIST "%PROGRAMFILES(X86)%" (GOTO 64BIT) ELSE (GOTO 32BIT)
:64BIT
REM --- FLASH unter Windows 8.1 ---
VER | find "[Version 6.3" > nul
IF %errorlevel% EQU 0 wusa.exe %~dp0Flash-for-Win81-64.msu /quiet /norestart
REM --- VLC ---
%~dp0VLC64.exe /S /NCRC
REM --- Silverlight ---
PushD "%~dp0Silverlight\64"
Call setup.bat
PopD
REM --- Java-Updater deaktivieren ---
reg DELETE HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run /V SunJavaUpdateSched /f
GOTO WEITER
:32BIT
REM --- FLASH unter Windows 8.1 ---
VER | find "[Version 6.3" > nul
IF %errorlevel% EQU 0 wusa.exe %~dp0Flash-for-Win81-32.msu /quiet /norestart
REM --- VLC ---
%~dp0VLC32.exe /S /NCRC
REM --- Silverlight ---
PushD "%~dp0Silverlight\32"
Call setup.bat
PopD
REM --- Java-Updater deaktivieren ---
reg DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V SunJavaUpdateSched /f
:WEITER
REM --- MANUELLE PROGRAMME ---
%~dp0ActivInspireSuite.exeDann startet sie aber schon ohne, dass ein Benutzer angemeldet ist, oder?
Ja, logisch.Und vor allem läuft sie "Silent".
Sinnvoll.Manche der Setups, die aus dieser Batch heraus aufgerufen werden, haben aber keine Silent-Option und müssen "durchgeklickt" werden.
Irgendwie geht es immer. Da würde ich mal im Web nach Lösungen suchen.Aber zumindest jene, welche keine Interaktion erfordern, kannst Du so verteilen.
Meinst Du, das hätte ich nicht schon getan, bevor ich hier gefragt habe? Aber Google hat ein Problem: Es ist dumm! Es kann eine komplexe Frage nicht interpretieren, und wenn ich da nicht mit den richtigen Suchbegriffen komme, bekomme ich auch keine brauchbare Antwort. Daher finde ich ja auch die hier oft geposteten Links mit www.lmdfdg.com ziemlich überheblich. Aber das ist ein anderes Thema, ich habe jedenfalls keine brauchbare Lösung gefunden.
Falscher Schuh heute? 
Dass Du im Web bereits gesucht hast, steht in Deiner Frage nicht drin. Auch nicht, was Du schon alles gefunden und ausprobiert hast. Woher sollen dann auch andere wissen, was sie Dir noch raten können, was Du noch versuchen könntest?
Um mal konkret bei der von Dir genannten Batch zu bleiben: Welche von den dort enthaltenen Installationskommandos sind Deiner Erfahrung nach nur mit manuellem Eingriff zu bewerkstelligen?
Oftmals kann man ein Programm auch schon allein dadurch ausrollen, dass man einfach alle (ausgepackten) Dateien kopiert und ggf. ein paar DLL's registriert und eine Verknüpfung erstellt.
Dass Du im Web bereits gesucht hast, steht in Deiner Frage nicht drin. Auch nicht, was Du schon alles gefunden und ausprobiert hast. Woher sollen dann auch andere wissen, was sie Dir noch raten können, was Du noch versuchen könntest?
Um mal konkret bei der von Dir genannten Batch zu bleiben: Welche von den dort enthaltenen Installationskommandos sind Deiner Erfahrung nach nur mit manuellem Eingriff zu bewerkstelligen?
Oftmals kann man ein Programm auch schon allein dadurch ausrollen, dass man einfach alle (ausgepackten) Dateien kopiert und ggf. ein paar DLL's registriert und eine Verknüpfung erstellt.
Mag sein, sorry ... war nicht gegen Dich gerichtet. Aber es gibt hier so einige Spezialisten, die sehr überheblich reagieren, wenn sie meinen, dass man die Lösung selbst hätte finden können ...
Dass Du im Web bereits gesucht hast, steht in Deiner Frage nicht drin.
Weil ich das für selbstverständlich halte.
Um mal konkret bei der von Dir genannten Batch zu bleiben: Welche von den dort enthaltenen Installationskommandos sind Deiner Erfahrung nach nur mit manuellem Eingriff zu bewerkstelligen?
Definitiv die Installation des ActivInspire und der dazugehörigen Ressoucen und das MimioStudio (letztere beiden waren in der hier reinkopierten Batch noch nicht vorhanden gewesen), das Ende sieht jetzt so aus:
:ManuelleInstallationen
:AbfrageInspire
@ECHO ActivInspire installieren bzw. aktualisieren (j / n)
@SET /p wahl1=
@if '%wahl1%' == 'n' goto AbfrageMimio
@if '%wahl1%' == 'j' goto InstallInspire
@Goto AbfrageInspire
@:InstallInspire
%~dp0Tafeln\ActivInspireSuite-v2.10.66827.exe
@Echo Bitte starten und schließen Sie Inspire, bevor Sie mit dem Import der Ressourcenbibliothek fortfahren
@pause
start %~dp0Tafeln\Subjects_DEU.as4a
:AbfrageMimio
@ECHO MimioStudio installieren bzw. aktualisieren (j / n)
@SET /p wahl2=
@if '%wahl2%' == 'n' goto Ende
@if '%wahl2%' == 'j' goto InstallMimio
@Goto AbfrageMimio
:InstallMimio
msiexec.exe /i "%~dp0Tafeln\mimio-studio-11.53-intl.msi" Der Rest müsste so durchgehen. In der Vergangenheit hatte ich Schwierigkeiten mit VLC (trotz des Schalters /s), aber da habe ich jetzt bei Microsoft extra "silent installers" heruntergeladen.
Trotzdem ist mir wohler, wenn der Verlauf sichtbar ist ... denn sonst bekomme ich auch Fehler oder eventuelle Abbrüche nicht mit. Mit Errorleveln könnte man vielleicht was machen, aber ich weiß nicht, ob alle Installer etwas entsprechendes zurückmelden.
Trotzdem ist mir wohler, wenn der Verlauf sichtbar ist ... denn sonst bekomme ich auch Fehler oder eventuelle Abbrüche nicht mit. Mit Errorleveln könnte man vielleicht was machen, aber ich weiß nicht, ob alle Installer etwas entsprechendes zurückmelden.
Du kannst Dir eigene Prüfkriterien suchen. z.B. Ob eine Datei vorhanden ist, ein Registry-Eintrag, ein INI-Eintrag, eine Startmenü- oder Desktop-Verknüpfung.
