[NT4srvr/W2k] admin rechten voor installatie in batchfile *

Je kunt programma's toch uit laten voeren onder een ander account? Het probleem wat je dan overigns wel hebt is dat je wachtwoord niet geheel veilig was. Dus moet je een account aanmaken met alleen de juiste rechten. Overigens zijn er ook wel andere manieren om virusdefs te vernieuwen en de tijd te synchroniseren.

Ouderwets, wij distribueren virusupdates gewoon over het netwerk en de gebruiker hoeft daar zelf niets voor te doen. Met de tijd/datum idemdito.

Welke virusscanner gebruiken jullie??

Je kunt een account aanmaken met Run as a batchfile rechten, admin rechten op werkstations en deny logon locally. Hiermee heb je een account dat een batchfile als taak mag runnen, daar genoeg rechten voor heeft en het account kan niet gebruikt worden op een werkstation om mee in te loggen.

Ik hoop dat jullie een ADS hebben met goede workstation policy's om dit soort dingen mee te regelen, je kunt het ook doen door een local policy te distribueren naar alle werkstations..

[ Voor 1% gewijzigd door Tags NL op 25-08-2003 14:01 . Reden: spelfaut ]

Welke AV pakket gebruiken jullie; als jullie McAfee gebruiken kun je je virusdef. op een veel beter manier updaten..

Hmm. heb zelf geen ervaring met NAV2003 in bedrijfsleven; maar is het niet mogelijk om die liveupdate om te schakelen naar de server met virusdefs? Aangezien NAV onder system account draait kan ie zonder enig probleem je defs kunnen updaten..

dat kan ook zeker anders... je kan norton zo instellen dat hij de updates pushed naar de clients. ik ken de 2003 versie niet professioneel maar in de voorgaande versie kon dat wel

edit: net te laat...
maar in voorgaande versies moet je de clients "managed" installeren.

[ Voor 23% gewijzigd door Verwijderd op 25-08-2003 16:04 ]

Norton Antivirus is voor stand alone machines. Niet geschikt voor een bedrijfsnetwerk.

Je kan niet anders dan een andere versie gaan gebruiken zoals Symantec Anti Virus corporate (Bijvoorbeeld). Hiermee kun je de clients "managed" installeren zoals IIS5-rules als zei.

Je kan ook met behulp van een Visual Basic script het een en ander gaan uitwerken. In een VBS (Visual Basic script) kun je een wachwoord encrypted mee zenden. Hierdoor wordt het wachtwoord niet bekend bij de gebruikers.

Wat bolke al zei: Symantec Anti Virus Corporate gebruiken (minimaal 7.5, lieftst hoger). Het werkt perfect en je kan zelfs een policy installen dat clients die niks hebben automatisch gepushed worden met een NAV client, zelfs op 95, 98 en ME

Maar als je die software niet hebt: kan je anders ook eens naar www.kixtart.org kijken , en gaan werken met kix32

Verwijderd schreef op 25 augustus 2003 @ 16:30:
live update staat uit. Op site van symantec staat altijd zo'n inteligent updater, die staat hier op een server. Dat bestand word met inloggen geopend en geinstalleerd, alleen hebben de clients hier geen recht voor installeren.

Hoe heb je de clients uitgerold Welke versie praten we over

Hebben we het over Symantec cq Norton Corporate of

Iets meer info.

Als je gebruikt maakt van Norton cq Symantec Corporate : hoe heb je de client kant uitgerold (unmanaged of managed)

*zucht*

Weer iemand die niet goed nadenkt over zijn netwerkstructuur. Het is toch logisch dat je geen admin rechten kan hebben? Je zegt tegen gebruikers dat ze geen admin mogen zijn en daarna wil je wel dat ze een bat file runnen met admin rechten? Dat kan gewoon niet zonder je Admin password. Anders zou het voor (geavanceerde) users wel heel eenvoudig zijn om je rechten te omzeilen. Het is gewoon of het een of het ander en voordat je het een of ander implementeerd moet je goed nagaan wat de consequenties zijn.
Helaas kom ik dit gekluns te vaak tegen bij bedrijven

Zoals hierboven al vermeld zou ik een corp-edition van Antivirus kopen of een inlogscript programma zoals Kix aanschaffen. Je zou (wel een hele omweg) ook via zelf je virus update in een MSI bestanden kunnen scripten en deze via Active Directory verspreiden.

Kappie schreef op 25 August 2003 @ 16:43:
*zucht*

Weer iemand die niet goed nadenkt over zijn netwerkstructuur. Het is toch logisch dat je geen admin rechten kan hebben? Je zegt tegen gebruikers dat ze geen admin mogen zijn en daarna wil je wel dat ze een bat file runnen met admin rechten? Dat kan gewoon niet zonder je Admin password. Anders zou het voor (geavanceerde) users wel heel eenvoudig zijn om je rechten te omzeilen. Het is gewoon of het een of het ander en voordat je het een of ander implementeerd moet je goed nagaan wat de consequenties zijn.
Helaas kom ik dit gekluns te vaak tegen bij bedrijven

Zoals hierboven al vermeld zou ik een corp-edition van Antivirus kopen of een inlogscript programma zoals Kix aanschaffen. Je zou (wel een hele omweg) ook via zelf je virus update in een MSI bestanden kunnen scripten en deze via Active Directory verspreiden.

Die laatste optie vind ik leuk bedacht. Ga ik eens proberen.

Volgens mij is dit wat voor je: http://service1.symantec....f/pfdocs/2000100610540413

Kun je een locale liveupdate server inrichten... Tis een wat ouder bericht maar zou ook met de nieuwe liveupdate moeten werken..

[ Voor 21% gewijzigd door Krypt op 26-08-2003 00:55 ]

Verwijderd schreef op 26 August 2003 @ 10:40:
Maar het gaat er dus om dat ze de definities mogen wegschrijven, kun je niet zoiets als run as verwerken in loginscript?
En btw, we draaien geen active directory zoals verder naar boven vermeld.
[...]

Dat gaat wel; maar het nadeel is dat je wachtwoord waarmee je de run-as uitvoert gewoon plaintext in je batchfile staat... via KIX kun je dat wel encrypten maar echt veilig vind ik het niet..

Je kunt dit inderdaad simpel via een vb-programma doen via de runas functie..
En verder kun je een MSI ook prima laten draaien onder elevated privileges.

En verder zou je nog kunnen denken aan startup-scripts.. Die draaien namelijk gewoon onder het system-account i.t.t. het useraccount bij logon-scripts.
(of zitten in win2k geen startup-scripts? Wij gebruiken hier namelijk dergelijke constructies voor XP machines )

Je wilt dus je Windows Installer echt niet in elevated mode draaien.. dan kan elke user, elk willekeurige msi installeren... weg het "local admin" verhaal..

Push je definities gewoon. Misschien kan je je batchfile postten die je nu gebruikt om te updatne, ik denk dat we dan deze wel zo kunnen aanpassen dat het van pull naar een push script wordt.

Voor je tijd bijzetten gebruikte ik voor een NT4 domain dit script:



welke je dan aanroept via:

zoek je zoiets anders.
http://www.mast-computer....tware/runasp/software.htm

Die time-synchronisatie gaat werken als je het script wat ik eerder postte uitvoer - hiermee geef je de mensen lokaal het recht om de tijd goed te zetten.

Je update-definitie file is niet meer dan het aanroepen van een programma Je zou dit met volgens mij met PsExec van www.sysinternals.com kunnen oplossen. Als je het eerder door mij gepostte script bekijkt, moet dit vrij duidelijk zijn.

als je nu gewoon de localpolicy aanpast:
"change the system time" en daar de domain users toevoegd ben je ook klaar.

Hij heeft geen AD

elevator schreef op 26 augustus 2003 @ 12:58:
Push je definities gewoon. Misschien kan je je batchfile postten die je nu gebruikt om te updatne, ik denk dat we dan deze wel zo kunnen aanpassen dat het van pull naar een push script wordt.

Voor je tijd bijzetten gebruikte ik voor een NT4 domain dit script:

code:

1 2	REM Give the "Change system time" privilige to everyone ntrights -u Everyone -m %1 +r SeSystemTimePrivilege

welke je dan aanroept via:

code:

1 2 3 4 5 6 7 8 9

REM ** Get a list of currently active PC's and servers NET VIEW >pclist.txt REM ** Loop through all active PC's and call the SETRIGHT.BAT script REM ** with this PC as the parameter. REM ** SeSystemTimePrivilege (Change System time) to the Everyone group. REM FOR /F "skip=3" %%i IN (pcList.txt) DO call setrights.bat %%i

Ik heb hetzelfde probleem wat betreft de time sync in een (KiX) login script.

Nu lijkt mij het bovenstaande zeker het proberen waard, alleen vraag ik mij het volgende af:

1. waar moeten beide scriptjes staan? alletwee op de server?
2. welk script wordt in de user profile gedefinieerd?
3. het commando "ntrights" wordt standaard niet in NT/ 2K herkend. Is dit een 3rd-party tool ofzo?
4. wat houd de "skip=3" parameter in?