Показать сообщение отдельно
Старый 20.02.2009, 15:56   #15
flug
Неактивный пользователь
 
Аватар для flug
 
Пол:Мужской
Регистрация: 27.02.2008
Сообщений: 39
Репутация: 15
По умолчанию Re: логон скрипт с правами админа

Решил реализавовать все с помощью gp и psexec. PsExec запускаеться через батник. В батнике логин и пароль админской учетки не записаны, они передаються из групповой политики. Важно закрыть пользователю доступ на запись батника иначе он сможет выполнять из под админской учетки свои сценарии или вывести через него логин и пароль админской учетки.

Небольшая инструкция, как это работает:
Добовляем в групповых политиках логон скрипт(сценарий входа).
Имя сценария: start.bat
Параметры сценария: domain/admin password

\\gp_logon_script_folder\pe.exe доступ для пользователя чтение и выполнение
переименованный psexec.exe
\\gp_logon_script_folder\pe.reg доступ для пользователя чтение и выполнение
Тут убираем, окошко лицензионного соглашения от psexec. Можно заюзать /accepteula но у меня оно почемуто не срабатывало.
Код:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Sysinternals\PsExec]
"EulaAccepted"=dword:00000001
\\gp_logon_script_folder\start.bat доступ для пользователя чтение, выполнение ОБЯЗАТЕЛЬНО УБРАТЬ ДОСТУП НА ЗАПИСЬ
Батник который добавляем, как логон скрипт.
Код:
reg import \\gp_logon_script_folder\pe.reg
\\gp_logon_script_folder\pe.exe -u %1 -p %2 -d -x "cmd.exe" "/C \\gp_logon_script_folder\scripts\start.vbs"
\\gp_logon_script_folder\scripts\ доступа для пользователей нет.
Папка со скриптами.

Если ктонубудь заметил дыры в такой системе, просьба сообщить
flug вне форума
 
Ответить с цитированием Вверх
 
Время генерации страницы 0.07837 секунды с 9 запросами