Discussion:
Anmeldescript als Admin
(zu alt für eine Antwort)
Herrmann Müller
2008-12-01 16:43:29 UTC
Permalink
Hallo,

ich würde gern wissen ob ich es irgendwie realisieren kann, dass ein
Anmeldescript für einen normalen User von einem lokalen Admin- oder
Systemkonto ausgeführt werden kann?
Also im Anmeldescript sollte stehen:
Wenn sich User Meier anmeldet dann führe Befehl XYZ (oder auch SubScript
XYZ) als Admin aus.

Kann mir irgend jemand sagen ob so etwas geht?

Vielen Dank.

mfg

Herrmann
Andreas Sturma
2008-12-01 17:04:51 UTC
Permalink
Hi,
Post by Herrmann Müller
Hallo,
ich würde gern wissen ob ich es irgendwie realisieren kann, dass ein
Anmeldescript für einen normalen User von einem lokalen Admin- oder
Systemkonto ausgeführt werden kann?
Wenn sich User Meier anmeldet dann führe Befehl XYZ (oder auch
SubScript XYZ) als Admin aus.
Kann mir irgend jemand sagen ob so etwas geht?
mit ifmember Abfrage im script geht es bestimmt.
bsp:
ifmember gruppe
if errorlevel = 1 (
net use x: \\server\daten$ >nul
net use y: \\server\files$ >nul
)
--
Andreas Sturma
Stefan Kanthak
2008-12-01 19:40:56 UTC
Permalink
Post by Herrmann Müller
Hallo,
ich w?rde gern wissen ob ich es irgendwie realisieren kann, dass ein
Anmeldescript f?r einen normalen User von einem lokalen Admin- oder
Systemkonto ausgef?hrt werden kann?
Irgendwie? Ja, wenn der Benutzer das Kennwort des Administrators kennt.
Post by Herrmann Müller
Wenn sich User Meier anmeldet dann f?hre Befehl XYZ (oder auch SubScript
XYZ) als Admin aus.
Kann mir irgend jemand sagen ob so etwas geht?
If /I "%UserName%" == "Meier" %SystemRoot%\System32\RunAs.Exe /User:Administrator ...

Wenn Du auf "Meier" verzichtest: Geplante Vorgaenge!

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)
Thorsten Kampe
2008-12-01 21:57:35 UTC
Permalink
* Herrmann M?ller (Mon, 1 Dec 2008 17:43:29 +0100)>
Post by Herrmann Müller
ich würde gern wissen ob ich es irgendwie realisieren kann, dass ein
Anmeldescript für einen normalen User von einem lokalen Admin- oder
Systemkonto ausgeführt werden kann?
Wenn sich User Meier anmeldet dann führe Befehl XYZ (oder auch SubScript
XYZ) als Admin aus.
Kann mir irgend jemand sagen ob so etwas geht?
Nein. (Beziehungsweise mir runas, aber das wollt ihr nicht).

Thorsten
Herrmann Müller
2008-12-02 11:07:07 UTC
Permalink
Hallo alle,

ich hatte vergessen zu schreiben, dass wir als Anmeldescript Kixtart
verwenden.
Aber RunAs würde ja wieder die Eingabe eines Passwortes voraussetzen und wie
soll das im anmeldescript gehen?

Vielen Dank.

Beste Grüße.

Herrmann
Mark Heitbrink [MVP]
2008-12-02 11:38:04 UTC
Permalink
Hi,
Post by Herrmann Müller
Aber RunAs würde ja wieder die Eingabe eines Passwortes voraussetzen und wie
soll das im anmeldescript gehen?
Eben garnicht, da runas keine gescripteten Passworte erlaubt.
TQCRunas wäre eine Alternative.

Oder ein VB Script, in dem das Kennwort über eine verschlüsselte VBE
Datei übergeben wird.

Das will man aber alles eigentlich nicht.

Aber die große Frabe lautet doch: Was willst du tun, daß nicht per
Computerstartup Script laufen kann (das mit SYSTEM Rechten läuft)
oder nicht mit den Gruppenrichtlinien (speziell den neuen) gelöst
werden kann? Vielleicht haben wir ja eine andere Lösung für dich,
als die, die dir die Ganze Zeit vorschwebt.

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate
Nils Kaczenski [MVP]
2008-12-02 15:02:17 UTC
Permalink
Moin,
Post by Mark Heitbrink [MVP]
Oder ein VB Script, in dem das Kennwort über eine verschlüsselte VBE
Datei übergeben wird.
/Herr/ Heitbrink! Zu Strafe googelst du jetzt mal über die Sicherheit
der VBE-Verschlüsselung!
Post by Mark Heitbrink [MVP]
Das will man aber alles eigentlich nicht.
Sowas erwähnt man nicht mal!
Post by Mark Heitbrink [MVP]
Aber die große Frabe lautet doch
Du meinst sicher die große Farbe?


Schöne Grüße, Nils
--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
https://mvp.support.microsoft.com/profile/Nils.Kaczenski
Mark Heitbrink [MVP]
2008-12-02 15:34:36 UTC
Permalink
MOin,
Post by Nils Kaczenski [MVP]
/Herr/ Heitbrink! Zu Strafe googelst du jetzt mal über die Sicherheit
der VBE-Verschlüsselung!
/so/ unsicher ist 3DES aber nun auch wieder nicht, daß du es verteufeln
willst. Oder ist mir der aktuelle "Verschlüsselungs-Algorythmen
Sicherheitslöcher Einschätzungskatalog" gerade nicht auf dem Schirm?

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate
Herrmann Müller
2008-12-02 18:06:53 UTC
Permalink
Hallo,

ich habe beispielsweise eine Domäne in der ich "nur" OU-Admin bin und vom
übergeordneten Domänenanmeldescript wird z.B. ein bestimmter
Bildschirmschoner mit Einschaltzeitpunkt verteilt.
Das Ganze sind ja nur Registry Keys.
Ich möchte nun aber z.B. in meinem untergeordneten Anmeldescript einen
Registry Key ändern (also den Bildschirmschoner z.B. abschalten), da (so
denke ich mir das jedenfalls) das Anmeldescript ja zeitlich nach der Policy
ausgeführt wird (weil ja das Anmeldescript von der Policy übergeben wird).

Nun bin ich mir aber nicht sicher wer eigentlich das Anmeldescript an einem
Rechner ausführt. Der User oder das System Konto?
Ich denke aber es ist der User und der kann nun mal nicht die Registry Keys
ändern.
Deshalb möchte ich diesen Teil des Anmeldescripts gern von dem lokalen Admin
(oder einem User der das darf) ausführen lassen.

Ich möchte auf keinen Fall eine Diskusion über den Sin dieser Aktion vom
Zaun brechen ;-) Das ist nur ein Beispiel und es gibt da wirklich ein paar
Dinge die Angepasst werden müssten, was von dem übergeordneten Anmeldescript
nicht berücksichtigt wird.


Herzlichen Dank für Eure Hilfe.

Beste Grüße.


Herrmann
Mark Heitbrink [MVP]
2008-12-02 19:28:42 UTC
Permalink
Hi,
Post by Herrmann Müller
ich habe beispielsweise eine Domäne in der ich "nur" OU-Admin bin und vom
übergeordneten Domänenanmeldescript wird z.B. ein bestimmter
Bildschirmschoner mit Einschaltzeitpunkt verteilt.
Das Ganze sind ja nur Registry Keys.
... und genau dafür gibt es die Gruppenrichtlinien, deren Vererbungen
und den Ablauf der Übernahme.
Da wird nichts gescriptet. Linke eine neue GPO an deine OU und konfiguriere
sie entsprechend.

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate
Nils Kaczenski [MVP]
2008-12-02 20:34:22 UTC
Permalink
Moin,
Post by Mark Heitbrink [MVP]
Post by Nils Kaczenski [MVP]
/Herr/ Heitbrink! Zu Strafe googelst du jetzt mal über die Sicherheit
der VBE-Verschlüsselung!
/so/ unsicher ist 3DES aber nun auch wieder nicht, daß du es verteufeln
willst. Oder ist mir der aktuelle "Verschlüsselungs-Algorythmen
Sicherheitslöcher Einschätzungskatalog" gerade nicht auf dem Schirm?
ich werde hier keine Anleitung posten. Nur so viel: In jedem
Scripting-Buch oder -Tutorial wird ausdrücklich darauf hingewiesen, dass
die VBE-Verschlüsselung in der Praxis nur dafür geeignet ist, Laien am
Lesen des Skriptcode zu hindern. Jeder Autor, der auf sich hält, rät
explizit davon ab, damit sensible Daten schützen zu wollen.

Und im Übrigen, wie du schon richtig sagst: Für praktisch alle Zwecke,
in denen jemand runas skripten will, gibt es eine bessere Methode, das
eigentliche Ziel zu erreichen. Warum die sekundäre Anmeldung, die dazu
da ist, das Sicherheitsniveau eines Windows-Systems zu erhöhen,
gewaltsam zum Herabsetzen der Sicherheit verwenden?


Schöne Grüße, Nils
--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
https://mvp.support.microsoft.com/profile/Nils.Kaczenski
Mark Heitbrink [MVP]
2008-12-02 22:47:21 UTC
Permalink
Hi,
Post by Nils Kaczenski [MVP]
ich werde hier keine Anleitung posten. Nur so viel: In jedem
Scripting-Buch oder -Tutorial wird ausdrücklich darauf hingewiesen, dass
die VBE-Verschlüsselung in der Praxis nur dafür geeignet ist, Laien am
Lesen des Skriptcode zu hindern.
Es ist also am Ende kein Problem von 3DES, sondern der Integration,
bzw. Implementation in VB? Dann bin ich ja beruhigt.

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate
Herrmann Müller
2008-12-03 08:14:45 UTC
Permalink
Hallo,

ich versteh nicht ganz was Ihr Euch hier schreibt aber noch einmal zu meinem
Problem ;-)
Vieleicht habe ich ja auch einen Denkfehler und das Ganze geht so gar nicht
wie ich mir das Denke.
Ein Domänen Admin hat eine Policy erstellt und vererbt diese bis auf die
Clients.
Der OU-Admin, der dazwischen steht kann zwar für seine OU auch ein
Anmeldescript erstellen aber ich glaube doch nicht, das dieser irgendwelche
Einstellungen der übergeordneten Policy ändern kann.
Der OU-Admin kann ein Anmeldescript über seine "untergeordnete" Policy
verteilen. Der lokale Client-Admin oder ein anderer entsprechender User
könnte ja aber die Registry bearbeiten.
Also dachte ich, dass die Registrykeys, welche von der übergeordneten
gesetzt werden, dann die nächste "untergeordnete" Policy greift, welche dann
das Anmeldescript übergibt und wenn das ein User mit den entsprechenden
Rechten ausführt könnte das Script den Registry Key wieder ändern.

Will sagen, wenn der OU-Admin nicht die Rechte hat muss man sich etwas
einfallen lassen.

Beste Grüße.


Herrmann
Nils Kaczenski [MVP]
2008-12-03 10:02:44 UTC
Permalink
Moin,
Post by Herrmann Müller
ich versteh nicht ganz was Ihr Euch hier schreibt
wir haben uns auch um ein Randproblem gekümmert. ;-)
Post by Herrmann Müller
aber noch einmal zu meinem Problem ;-)
Ja, bitte.
Post by Herrmann Müller
Ein Domänen Admin hat eine Policy erstellt und vererbt diese bis auf die
Clients.
OK
Post by Herrmann Müller
Der OU-Admin, der dazwischen steht kann zwar für seine OU auch ein
Anmeldescript erstellen aber ich glaube doch nicht, das dieser irgendwelche
Einstellungen der übergeordneten Policy ändern kann.
Doch, kann er. Die zuletzt angewandte Policy "gewinnt", sofern sie
dieselben Werte bearbeitet wie andere Policies.
Post by Herrmann Müller
Also dachte ich, dass die Registrykeys, welche von der übergeordneten
gesetzt werden, dann die nächste "untergeordnete" Policy greift, welche dann
das Anmeldescript übergibt und wenn das ein User mit den entsprechenden
Rechten ausführt könnte das Script den Registry Key wieder ändern.
Dieser Satz ist nicht zu verstehen.
Post by Herrmann Müller
Will sagen, wenn der OU-Admin nicht die Rechte hat muss man sich etwas
einfallen lassen.
Zweifellos.

Wenn du jetzt noch mal darlegen könntest, was du genau erreichen willst,
können wir die allgemeine Ebene evtl. verlassen.


Schöne Grüße, Nils
--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
https://mvp.support.microsoft.com/profile/Nils.Kaczenski
Mark Heitbrink [MVP]
2008-12-03 10:53:37 UTC
Permalink
Hi,
Post by Herrmann Müller
Ein Domänen Admin hat eine Policy erstellt und vererbt diese bis auf die
Clients.
Richtig. Und diese Einstellungen setzt du mit deiner eigenen RIchtlinie
ins Gegenteil und widersprichst somit der KOnfiguration die dir von
"oben" mitgegeben wird.

Das ist über den normalen Vererbungsprozesse abgebildet.
Lies bitte das Wie? Was? Wo? auf meiner Seite, speziell den Punkt
http://www.gruppenrichtlinien.de/Grundlagen/Vererbungen_Hierarchien.htm#VererbungundHierarchien
und darin die Beispiele.
("Kein Vorrang" heisst mittlerweile endlich "Erzwungen")

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate
Herrmann Müller
2008-12-03 12:45:29 UTC
Permalink
Hallo Nils, hallo Mark,

@Nils
zugegeben, was ich wollte, ist schwer zu verstehen. Hat sich aber mit Deinem
und Marks Satz alles erledigt.
Ich hätte nie geglaubt, dass eine Policy unterer Ebene über eine des
Domänenadmins geht. Also hat sich mein vorhaben noch einfacher geklärt.
Vielen Dank.

@Mark
Dir auch herzlichen Dank.


Ich wollte das Ganze (unter meiner falschen o.g. Annahme) so lösen, das ich
die Registry Keys, welche der Domänen Admin via Policy ändert, durch das
Anmeldescript als lokaler Admin wieder zurückändere.

Ist jetzt etwas übertrieben dargestellt aber war der Satz jetzt einigermaßen
verständlich? ;-)


Beste Grüße.

Herrmann
Mark Heitbrink [MVP]
2008-12-03 13:24:23 UTC
Permalink
Hi,
Post by Herrmann Müller
Ich hätte nie geglaubt, dass eine Policy unterer Ebene über eine des
Domänenadmins geht.
Geht sie auch nicht, wenn der Admin es auf oberster Ebene nicht will.
Die Hirarchie ist aber erst relevant, wenn die normale Vererbung
manipuliert wird.

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate
Nils Kaczenski [MVP]
2008-12-03 14:49:33 UTC
Permalink
Moin,
Post by Herrmann Müller
Ich hätte nie geglaubt, dass eine Policy unterer Ebene über eine des
Domänenadmins geht.
der Verständnisfehler ist auch der: Nur weil das GPO auf einer
untergeordneten OU definiert ist, ist es noch lange nicht selbst
untergeordnet. Schließlich hat nicht jede OU einen eigenen Admin, dessen
Hierarchiestufe unter den anderen Admins liegt.

Der Witz daran ist der modulare Aufbau: "Oben" definierst du die
allgemeinen Einstellungen, und je weiter "unten" du etwas definierst, um
so detaillierter wird es.


Schöne Grüße, Nils
--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
https://mvp.support.microsoft.com/profile/Nils.Kaczenski
Herrmann Müller
2008-12-03 16:05:09 UTC
Permalink
Hallo,

hmmm, ich kenne mich mit den GPOs nicht so aus aber ich gehe, ohne es
getestet zu haben, davon aus, dass der Domänen Admin das nicht möchte, dass
die OU-Admins in deren (in der AD grafisch untergeordneten) Policy etwas
erlaubt was in der Policy des Domänenadmins verboten wird.
Also kann der Domänen Admin dies doch unterbinden, oder habe ich das falsch
verstanden?
Wenn der Domänen Admin dem OU-Admin also das "überschreiben" der
Restriktionen verboten hat, könnte dann nicht meine Idee mit dem
Anmeldescript doch funktionieren?

Entschuldigung wenn ich für Euch etwas sehr auf dem Schlauch stehe.

Herzlichen Dank für Eure Geduld.

BG

Herrmann
Mark Heitbrink [MVP]
2008-12-03 16:36:51 UTC
Permalink
Hi,
Post by Herrmann Müller
hmmm, ich kenne mich mit den GPOs nicht so aus aber ich gehe, ohne es
getestet zu haben, davon aus, dass der Domänen Admin das nicht möchte, dass
die OU-Admins in deren (in der AD grafisch untergeordneten) Policy etwas
erlaubt was in der Policy des Domänenadmins verboten wird.
Richtig. Dann setzt er seine Eisntellungen auf "Force", bzw. "Erzwungen".
Post by Herrmann Müller
Wenn der Domänen Admin dem OU-Admin also das "überschreiben" der
Restriktionen verboten hat, könnte dann nicht meine Idee mit dem
Anmeldescript doch funktionieren?
Nein, denn dann ist dein Problem nicht das Script, sondern:
- du gefährdeset gerade deinen Arbeitsplatz
- du hast redebedarf
- es stellt sich die Frage, warum der Admin es es möchte?
- Warum ist es also eine Firmenrichtlinie und keine "StandortRichtlinie"
- warum erzwingt er seine Einstellungen?

Am Ende also alles Probleme, die nicht in der Struktur, sondern in der
Kommunikation fehlerhaft sind. Dein "sich widersetzen wollen" ist technisch
nicht vorgesehen, denn deswegen gibt es ja die Hirarchie und vielleicht
gibt ja Gründe, warum du "nur" StandortAdmin bist und nicht Domänen-Admin?

Rede also mit den Jungs. Alles andere ist wie silberne Löffel klauen und
die Abmahnung ist praktisch schon geschrieben.

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate
Herrmann Müller
2008-12-04 14:34:38 UTC
Permalink
Hallo Mark,

diese Diskussion wollte ich ja eben vermeiden, weil ich einfach nur
technisch wissen wollte, ob geht und ich jetzt schon weiß das nun die
Antwort sein wird "warum willst Du es wissen wenn es keine Folgen haben
wird" usw.
Dachte einfach nur das man in der NG technisch (bzw. auch theoretisch)
weiter hilft und nicht politisch.
Aber gut, passt dann auch soweit.

Herzlichen Dank.

BG

Herrmann
Mark Heitbrink [MVP]
2008-12-04 22:41:17 UTC
Permalink
Hi
Post by Herrmann Müller
Dachte einfach nur das man in der NG technisch (bzw. auch theoretisch)
weiter hilft und nicht politisch.
Grundsätzlich ja, bis zu der Stelle, wo ich genau weiss, daß meine Antwort
eine Lösung nennt, die ihrerseite meinen Arbeitsplatz gefährdet, da das
Posting jahrelnag aufgehoben wird und eventuell jemand drauf verweist.

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate
Herrmann Müller
2008-12-05 08:08:30 UTC
Permalink
Hi Mark,

die Antwort reicht mir doch schon.

Vielen Dank für Eure Hilfe.

BG

Herrmann

Loading...