W10 Debloater Remote auf Systemen ausführen

[Xeeon 11]

Hallo zusammen,

ich versuche das Script Windows10SysPrepDebloater.ps1 mit den Parametern -Sysprep -Debloat -Privacy auf Remote Computern auszuführen.

Kann mir da jemand helfen ich hab jetzt 5 Stunden rum Probiert mit Enter-PSSession / Invoke-Command aber ich bekomme es nicht hin.

Es wäre mir egal wenn ich am Schluss den Code 100mal kopieren müsste und den clientnamen ändern aber Hauptsache man muss nicht an jedem pc das ganze einzel ausführen

 

Es wäre echt toll wenn jemand ne idee für mich hat.

Vielen Dank

[testperson 1.676]

Hi,

 

was hast du denn alles versucht. Es ist irgendwie nicht zielführend hier jetzt etwas vorzuschlagen und dann kommt als Antwort, dass das bereits versucht wurde. ;)

 

Sofern es hier um eine Windows Domäne geht:

1. WinRM / Firewall konfigurieren: https://4sysops.com/wiki/enable-powershell-remoting/#remotely-with-group-policy
2. Benutzer mit passenden Rechten anlegen / nutzen
3. Script auf Share ablegen oder ggfs Script auf alle PCs kopieren
4. Mit Get-ADComputer die passenden PCs auslesen (https://docs.microsoft.com/en-us/powershell/module/addsadministration/get-adcomputer?view=win10-ps)
5. Mit Foreach die PCs nach und nach abarbeiten (https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.core/about/about_foreach?view=powershell-6)
6. Mit Invoke-Command zum PC verbinden (https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.core/invoke-command?view=powershell-6)
7. Mit Start-Process das Script vom Share / vom lokalen Pfad starten (https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.management/start-process?view=powershell-6)

Gruß

Jan

[Xeeon 11]

Hallo Jan,

 

vielen dank.

Schön das ich nicht ganz so b***d bin weil punkt 1 2 3 hab ich gemacht

das auslesen noch nicht das ist für mich aber auch der advanced step.

Mit Enter-PSSession komme ich auf das REmote system sprich die verbindung geht. Was mir glaub gefehlt hat ist start-process das werd ich mal testen und die ergebnisse mitteilen.

 

Danke schonmal

 

So nachdem ich die antwort nicht abgesendet habe hier nun auch schon der nächste status:

 

Ich habe nun mal folgendes versucht:

PS C:\Temp> Invoke-Command SA-PC02 -scriptblock {Start-Process -FilePath "\\XEEON-SA-DC\Tausch\DB\Windows10SysPrepDebloater.ps1 -Sysprep -Debloat -Privacy" } 
Zugriff verweigert
    + CategoryInfo          : NotSpecified: (:) [Start-Process], UnauthorizedAccessException
    + FullyQualifiedErrorId : System.UnauthorizedAccessException,Microsoft.PowerShell.Commands.Sta 
   rtProcessCommand
    + PSComputerName        : SA-PC02
 

Dann hab ich das versucht:

PS C:\Temp> Invoke-Command SA-PC02 -scriptblock {Start-Process -FilePath "c:\Temp\Windows10SysPrepDebloater.ps1 -Sysprep -Debloat -Privacy" } 

Dieser Befehl kann aufgrund des folgenden Fehlers nicht ausgeführt werden: Das System kann die 
angegebene Datei nicht finden.
    + CategoryInfo          : InvalidOperation: (:) [Start-Process], InvalidOperationException
    + FullyQualifiedErrorId : InvalidOperationException,Microsoft.PowerShell.Commands.StartProcess 
   Command
    + PSComputerName        : SA-PC02

 

Und als letztes: 

PS C:\Temp> Invoke-Command SA-PC02 -scriptblock {Start-Process -FilePath "\\sa-pc02\C$\Temp\Windows10SysPrepDebloater.ps1 -Sysprep -Debloat -Privacy" } 

Dieser Befehl kann aufgrund des folgenden Fehlers nicht ausgeführt werden: Das System kann die 
angegebene Datei nicht finden.
    + CategoryInfo          : InvalidOperation: (:) [Start-Process], InvalidOperationException
    + FullyQualifiedErrorId : InvalidOperationException,Microsoft.PowerShell.Commands.StartProcess 
   Command
    + PSComputerName        : SA-PC02

 

Die Datei liegt aber 100% an beiden plätzen.

 

Hat jemand dazu eine Idee

[MurdocX 949]

Das Zauberwort heißt CredSSP.

Du musst die Delegation deiner Berechtigung genehmigen. Dein PC darf nicht einfach deinen Zugang frei Haus nutzen.

 

Schau mal hier:

https://docs.microsoft.com/en-us/powershell/module/microsoft.wsman.management/enable-wsmancredssp?view=powershell-6

[Xeeon 11]

Hallo MurdocX,

 

also ich muss sagen das ich langsam über mein Powershell knowhow raus komme was bissel schade ist :-/ Da das script echt wichtig bzw. auch sinnvoll wäre zu haben.

 

Zum CredSSP:

Ich bewegemich in einer Domäne mit lokalen admin rechten muss ich das dann trotzdem tun?

 

Danke für deinen Tip

 

 

Meine Vermutung war eher die Execution Policy könnte das sein?

[BOfH_666 577]

Vielleicht machst Du's Dir ein bissl einfacher, wenn Du das zu startende Script erstmal auf die jeweiligen Maschinen bringst (entsprechende Berechtigungen scheinen ja vorhanden zu sein), so dass Du es dann "lokal" starten kannst und kein CredSSP brauchst.

bearbeitet 31. August 2019 von BOfH_666

[MurdocX 949]

vor 38 Minuten schrieb Xeeon:

Ich bewegemich in einer Domäne mit lokalen admin rechten muss ich das dann trotzdem tun?

Und seit wann darf ein „lokaler Benutzer“ auf eine Freigabe zugreifen? Der hat doch im Netzwerk keine Berechtigung   

 

Lese dich ich mal in das Thema ein. 

[Xeeon 11]

der lokale benutzer ist auch Domänenadmin

[MurdocX 949]

Also ist es einen Domänen-Benutzer... und kein lokaler. Die Begrifflichkeiten sollten schon passen.  Ob du einen Domänen-Admin delegieren möchtest... Hier geht es jetzt um Deine Sicherheit.

 

Kopier das Skript lieber auf den Client und führe es da aus. Das ist das Sicherste in deinem Szenario.

[Xeeon 11]

es geht lediglich darum 1 mal das Script auszuführen da hab ich sicherheitstechnisch nicht viel angst....

 

Ich bin jetzt mit einem Workaaround weiter gekommen ich hab ne gpo mit einem login script gebaut was dann das Powershell script aufruft das scheint zu gehen

[testperson 1.676]

Mit Start-Process solltest du auch die "powershell.exe" starten. Die dann mit "-ArgumentList -ExecutionPolicy Bypass -NoProfile -File <Pfad zum Script>.ps1" aufrufen.

vor 46 Minuten schrieb Xeeon:

Ich bin jetzt mit einem Workaaround weiter gekommen ich hab ne gpo mit einem login script gebaut was dann das Powershell script aufruft das scheint zu gehen

Wenn das als Login-Script läuft, dann haben deine User zu viele Rechte. Ein StartUp-Script wäre hier wohl besser.

 

BTW.: Ein einmalig angewendetes GPO bzw. StartUp-Script dürfte hier die bessere Option sein.

bearbeitet 31. August 2019 von testperson

[Xeeon 11]

Danke für die Infos es ist jedoch wie fogt:

 

120PCs wurden neu installiert und im Nachgang sollen diese bereinigt werden. Das Script wird nun 1 mal per gpo ausgeführt und dann ist gut. das darf dann auch der admin sein. danach wird die gpo wieder die Verknüpfung entfernt.

 

Aber dein Hinweis mit dem Start Process werd ich mal noch testen vielen dank dafür. Kann ich dann aber  hinter .ps1 noch parameter hängen ohne das er das als parameter des "start-process" sieht?

[Xeeon 11]

@testperson Ich habs mal versucht mit dem was du gesagt hast aber das funktioniert auch nicht wirklich kann aber an einem syntaktischen Fehler bei mir liegen

 

Werde mal noch sehen ob ich noch was hin bekomm für das konkrete problem hab ich ja jetzt ne lösung