Logon script met administrator rechten

Pagina: 1
Acties:

  • JasperE
  • Registratie: December 2003
  • Laatst online: 27-01 23:07
Ik ben op zoek naar een manier om tijdens het inloggen een script met lokale administratierechten uit te voeren. Ook wanneer gewone gebruikers inloggen. Alle XP pro machines hangen in een standaard windows 2003 (sp1) domein.

De situatie is als volgt, bij het bedrijf waar ik werk draait een stuk software dat enigszins verouderd is. Het probeert een map als de volgende aan te maken in documents and settings:
Voor gebruikersnaam Lizette.Joosten -> "C:\Documents and Settings\LIZET~1~JOO".
Deze map zou ik graag automatisch willen aanmaken voor een gebruiker wanneer hij of zij inlogd.

Natuurlijk is dit vanwege de gebruikersrechten niet toegestaan met een normale user account. En de rechten over de hele documents and settings map, via de GPO machine startup scripts, met CACLS opengooien lijkt me ook niet de ideale oplossing.

Iemand een idee hoe ik dit voor elkaar kan krijgen? De software patchen is helaas geen optie.

Verwijderd

waarom zou je geen create rechten geven op "C:\Documents and Settings\"? ik zie daar geen problemen mee. Je moet alleen niet rechten forceren, zodat alle users ook rechten krijgen op reeds bestaande profielen.

create rechten voor users
owner FC
evt. reeds bestaande rechten.

na creeren map rechten op map scripten:
owner = de user die batch runt... >> full control op die map.
De user kan dus onnodige rechten verwijderen van die map (bijv. alleen die user met change en adminstrators/system FC)

de andere mogelijkheid is je admin pw in de batch zetten, maar dat lijkt me nu juist onveilig :) (kan wel geencrypt, maar dan nog).

[ Voor 52% gewijzigd door Verwijderd op 25-08-2006 14:24 ]


  • mangahuisman
  • Registratie: Februari 2005
  • Laatst online: 24-01 14:18
Dat kun je doen door iets in bijvoorbeelde de machine policy van je domain te zetten. Je kunt daar een batch bestand als admin laten draaien.

  • JasperE
  • Registratie: December 2003
  • Laatst online: 27-01 23:07
Volgens mij runt de machine policy bij startup, niet bij login

  • JasperE
  • Registratie: December 2003
  • Laatst online: 27-01 23:07
Net thuis eens een beetje geexperimenteerd met kixtart, morgen eens kijken of dit gaat werken in een GPO machine startup script.
code:
1
SHELL "CMD.EXE /C CACLS "+Chr(34)+"C:\documents and settings"+Chr(34)+" /E /C /G "+Chr(34)+"DOMEIN\Domain Users"+Chr(34)+":F"

[ Voor 3% gewijzigd door JasperE op 25-08-2006 20:55 ]


  • Regman_XP
  • Registratie: Januari 2003
  • Laatst online: 04-02 20:06
Er zijn diverse tools beschikbaar die vergelijkbaar zijn aan het windows commando runas waarbij je een andere usernaam en wachtwoord kan opgeven.

Bijvoorbeeld sanur maar als je zoekt vvindt je er vast meer.

Verwijderd

Regman_XP schreef op zaterdag 26 augustus 2006 @ 11:24:
Er zijn diverse tools beschikbaar die vergelijkbaar zijn aan het windows commando runas waarbij je een andere usernaam en wachtwoord kan opgeven.

Bijvoorbeeld sanur maar als je zoekt vvindt je er vast meer.
Sanur is voldoende, encryptie heeft toch geen zin gezien het altijd uit te lezen is via wat sniffertools. Je moet een gebruiker maken die op iedere pc enkel mappen in C:\Documents and settigns mag aanmaken. De commando's hiervan zet je gewoon in het loginscript. Oké als een gebruiker zo slim is om het loginscript te vinden/lezen dan kan hij enkel mappen aanmaken. Lijkt me de meest veilige optie.

Je kan ook een systeem schrijven dat de server continu scant naar bestandjes in een map. En alle gebruikers hier de rechten geven. Zodra een gebruiker zich aanmeld dan moet hij een bestand zetten op \\server\hiddenshare$ met zijn computernaam en gebruikersnaam. Hierna zal de server de map via SMB aanmaken. Dit is niet een geweldig systeem, maar als je 100% zeker wil zijn dat een gebruiker nooit de rechten verkrijgt, dan is dit een "ranzige" methode om het te doen.

  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 20-01 19:37
via een machineGPO kan je ook ntfs rechten zetten, op elke pc die in het domain hangt (en de policy krijgt toegewezen) worden dan automagisch de juiste ntfs rechten op de mappen gezet :)

eitje dus

A wise man's life is based around fuck you


Verwijderd

Dit is een wat duurdere oplossing, maar Novell's ZENworks heeft de optie om tijdens het inloggen scripts uit te voeren met admin-rechten.. volledig secure uiteraard :)
Pagina: 1