torstenv 10 Geschrieben 25. Juli 2008 Melden Geschrieben 25. Juli 2008 Hi! Bei einem mir bisher weitgehend fremden Netzwerk soll Software über Scripte automatisch verteilt werden. Hierzu liegt die Software auf FileServern. In einem Logon-Script wird eine Privilegieneskalation vorgenommen (sowas wie runas), um den darauf folgenden Teil mit admin-Rechten durchzuführen. Der User, unter dem das Setup.exe dann gestartet werden soll, ist Domain-Admin. Das Problem ist nun, dass dies nicht funktioniert. Ein manueller Test ergab, dass der Rechner die "Datei öffnen - Sicherheitswarnung" ausgibt und das Programm nicht automatisch anstartet, wenn man es per Doppelklick manuell oder per Rechtsklick mit "Ausführen als" startet. In meinem Netzwerk hier habe ich das Problem nicht. Ich kann mich auch nicht erinnern, irgendwas Besonderes konfiguriert zu haben, damit ich das Problem nicht habe. Es tut mir Leid, ich bin mir sehr sicher, dass diese Frage schon zig mal beantwortet wurde, jedoch habe ich keine befriedigende Antwort gefunden, sodass ich noch mal fragen muss. Alles was ich gefunden habe, sind Registry-Änderungen, die den Sicherheitslevel herabsetzen. Da habe ich aber den Eindruck, dass das keine gute Idee sei. Meiner Meinung nach sollte ein Freigabepfad des Domain-Controllers automatisch als sichere Zone gelten und damit (wie bei mir) die Software auch einfach so ohne Rückfrage gestartet werden. Warum ist das hier nicht so und was kann ich tun ohne andere (sinnvolle) Sicherheitsmechanismen (Datei im Internet anklicken) aufzuweichen? Danke im voraus! T. Zitieren
Sunny61 816 Geschrieben 26. Juli 2008 Melden Geschrieben 26. Juli 2008 Was wird im Explorer rechts unten als Zone angezeigt, wenn Du eine solche Datei auswählst? Zitieren
torstenv 10 Geschrieben 27. Juli 2008 Autor Melden Geschrieben 27. Juli 2008 Was wird im Explorer rechts unten als Zone angezeigt, wenn Du eine solche Datei auswählst? Ich habe mal einen Screenshot angehängt. Zitieren
Sunny61 816 Geschrieben 27. Juli 2008 Melden Geschrieben 27. Juli 2008 Ich habe mal einen Screenshot angehängt. Lies doch mein Posting nochmal, diesmal genauer. ;) Zitieren
torstenv 10 Geschrieben 1. August 2008 Autor Melden Geschrieben 1. August 2008 Lies doch mein Posting nochmal, diesmal genauer. ;) Sorry, war ziemlich krank, werde mich drum kümmern, ich denke, mir ist klar geworden, es geht um die Zone. Mir ist nur nicht klar, warum die Dateien bei diesem Netz nicht in der "richtigen" Zone liegen, bzw, wie man die Zonenzugehörigkeit eines NAS global im Netz ändert. Aber ich hole erst mal die Infos ein, dann melde ich mich wieder. Zitieren
djmaker 95 Geschrieben 1. August 2008 Melden Geschrieben 1. August 2008 Zonenzugehörigkeiten werden im Internet-Explorer eingestellt, am besten per Gruppenrichtlinie. Das gilt auch für lokale Netze. Zitieren
torstenv 10 Geschrieben 1. August 2008 Autor Melden Geschrieben 1. August 2008 Zonenzugehörigkeiten werden im Internet-Explorer eingestellt, am besten per Gruppenrichtlinie. Das gilt auch für lokale Netze. Achtung, ich drücke jetzt etwas auf die Tränendrüse: Bin derzeit echt krank und ans Bett gefesselt, darf ich (und sei es nur aus Gründen des Mitgefühls und der Nächstenliebe ;) ) um einen Link bitten, der die entsprechende Richtlinie erläutert? Das wäre echt nett!!! Meine Krankenschwester nimmt mir den Laptop gleich wieder weg, sodass Zitieren
b_w 10 Geschrieben 3. August 2008 Melden Geschrieben 3. August 2008 Hallo torstenv, ich würde generell Software zu einem .msi repacken und nur über GPO verlinkt auf die OU's verteilen, nicht unbedingt mit nem Logonscript. Dann eben Zuweisen oder Bereitstellen. Info hier Oder Du änderst das Script ab und fügst einen Silent Switch "/s" hinzu. Gruss Zitieren
torstenv 10 Geschrieben 3. August 2008 Autor Melden Geschrieben 3. August 2008 ich würde generell Software zu einem .msi repacken und nur über GPO verlinkt auf die OU's verteilen Manchmal hat man es mit Vorgaben "von Oben" zu tun, die man nunmal umsetzen muss, auch, wenn man selbst bessere/andere Wege nehmen würde. Ich bin nicht immer der Entscheider. In diesem besonderen Fall geh es auch gar nicht darum, dass ich das jetzt umsetzen muss, aber ich muss wissen, wie es theoretisch machbar wäre. Es bleibt die Frage (um deren Beantwortung ich auch leider nicht umhin komme), wie man z.B. ein externes NAS per GPO in die "trusted Zone" übernimmt, sodass diese Rückfrage unterbleibt. Dieser http://windowsitpro.com/article/articleid/78049/jsi-tip-6644-how-can-i-use-group-policy-to-add-a-site-to-the-trusted-sites-zone.html"]Link beschreibt das zwar, aber auf meinem Vista reicht es scheinbar nicht alleine aus, wenn ich gemäß dieser Anleitung ein NAS mit "file://10.20.30.40" in die "Trusted"-Zone mit aufnehme. Vielmehr scheint es noch notwendig, den "Security Level" auf "Custom" umzustellen und zu konfigurieren, dass "Lauch applications and unsafe files" auf "enabled" gestellt wird. Wie das geht, findet man hier beschrieben. Mal sehen, wie ich das dem Admin erklären kann... Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.