логон скрипт с правами админа

[flug]

В АД для пользователей прописан логон скрипт. Проблема в том что на пользовательской машине он запускается с правами пользователя. Нагуглил что в групповых политиках можно настроить чтобы он запускался с админскими правами, но точного описания нигде нет. Поможите, пол рунета уже облазил...

[LESSTAT]

Меня тоже интересует этот ворос оч сильно, т.к нужно запустить скрипт который пропишет нужный фаилв программ филес, а у пользователей на это прав не хватает и скрипт не отрабатывает

[kkj]

смотрите в сторону runas

[Raphael]

psexec.exe вот сюда смотрите. Все отработает ;)

[flug]

Runas и psexec отпадают. Пользователю в таком случае не составит труда открыть сам скрипт и посмотреть в нем админский пароль. Да и какие-нибудь сторонние ехе не особо хочется пихать в скрипт.
Интересует вариант именно с групповыми политиками. Если он вообще существует, а то что-то уже начинаю сомневаться в достоверности этой информации.
Ну а если его нету, думаю самым надежным вариантом будет на каждой пользовательской машине создавать локальное задание, которое будет запускаться с адинскими правами.

[kkj]

нет. такого варианта не существует.
в любом случае придется показать пароль в батничке - но!

Вы можете создать тестового админа - затем после выполнения скрипта - отключить этого пользователя.

По другому - никак.

[flug]

Цитата: Сообщение от kkj нет. такого варианта не существует. в любом случае придется показать пароль в батничке - но! Вы можете создать тестового админа - затем после выполнения скрипта - отключить этого пользователя. По другому - никак.

Это тоже неподходит. В таком случае у пользователя отсанутся права админа до перезапуска системы.

[dmitry_a]

Вопрос, какие задачи выполняет данный скрипт ?
Просто возможно достаточно будет дать возможность изменять определенную ветку реестра, либо просто запустить его от имени системы (на компьютер).

Добавлено через 4 минуты
LESSTAT Эта проблема решается элементарно, посмотри computer configuration->windows settings->file system

[flug]

Цитата: Сообщение от dmitry_a Вопрос, какие задачи выполняет данный скрипт ?

Устанавливает компонент SNMP, после запускает службу и открывает нужный порт в фаерволе. Права для всех трех действий нужны.

[nsforth]

Пропишите скрипт в групповой политике в параметрах компьютера, тогда локально он будет запускаться от Local System и без проблем все куда надо пропишет, в сети права будут учетной записи компьютера. Я таким макаром много чего делаю и прописывания в реестр и программы, не обладающие инсталлятором устанавливаю/обновляю

[apostle]

Цитата: Сообщение от flug Runas и psexec отпадают. Пользователю в таком случае не составит труда открыть сам скрипт и посмотреть в нем админский пароль.

для runas существует опция savecred; пароль сохранять при ее использовании не нужно.

[flug]

Цитата: Сообщение от nsforth Пропишите скрипт в групповой политике в параметрах компьютера, тогда локально он будет запускаться от Local System и без проблем все куда надо пропишет, в сети права будут учетной записи компьютера. Я таким макаром много чего делаю и прописывания в реестр и программы, не обладающие инсталлятором устанавливаю/обновляю

Благодарю! Это то что мне нужно.
Такой срипт запускаеться при старте компьютера или входе в систему?
Как в таком случае будут работать скрипты в которых надо использовать пользовательские параметры(например %username%).

Цитата: Сообщение от apostle для runas существует опция savecred; пароль сохранять при ее использовании не нужно.

При использование этого ключа пароль надо ввести один раз на каждой машине.

[dmitry_a]

Такой скрипт исполняется при старте компьютера, а вот использовать пользовательские параметры в данном случае невозможно

[threep]

Существует множество альтернатив runas. Admilink, RunAsAdmin, CPAU, RunAsSpc, RunAsEx... Глянь на вот эту внимательно, она бесплатная http://admilink.narod.ru/admilink.htm

[flug]

Решил реализавовать все с помощью gp и psexec. PsExec запускаеться через батник. В батнике логин и пароль админской учетки не записаны, они передаються из групповой политики. Важно закрыть пользователю доступ на запись батника иначе он сможет выполнять из под админской учетки свои сценарии или вывести через него логин и пароль админской учетки.

Небольшая инструкция, как это работает:
Добовляем в групповых политиках логон скрипт(сценарий входа).
Имя сценария: start.bat
Параметры сценария: domain/admin password

\\gp_logon_script_folder\pe.exe доступ для пользователя чтение и выполнение
переименованный psexec.exe
\\gp_logon_script_folder\pe.reg доступ для пользователя чтение и выполнение
Тут убираем, окошко лицензионного соглашения от psexec. Можно заюзать /accepteula но у меня оно почемуто не срабатывало.

Код:

Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Sysinternals\PsExec]
"EulaAccepted"=dword:00000001

\\gp_logon_script_folder\start.bat доступ для пользователя чтение, выполнение ОБЯЗАТЕЛЬНО УБРАТЬ ДОСТУП НА ЗАПИСЬ
Батник который добавляем, как логон скрипт.

Код:

reg import \\gp_logon_script_folder\pe.reg
\\gp_logon_script_folder\pe.exe -u %1 -p %2 -d -x "cmd.exe" "/C \\gp_logon_script_folder\scripts\start.vbs"

\\gp_logon_script_folder\scripts\ доступа для пользователей нет.
Папка со скриптами.

Если ктонубудь заметил дыры в такой системе, просьба сообщить