WPP und Powershell Scripts

[xrated2 15]

Hallo

 

da man ja über VPN (ohne AlwaysOn) keine Scripts am Client starten kann, dachte ich mir da gibts doch in WPP noch Custom Updates. Aber ich bekomme mal wieder nichts zum laufen.

 

Bei Arguments müsste dann: -Executionpolicy bypass stehen?

 

Hier sind auch kleine Hinweise zu finden:

http://package541.rssing.com/chan-8331320/all_p126.html

 

Habs auch als executable probiert:

File: %windir%\System32\WindowsPowershell\v1.0\powershell.exe

Parameters: -ExecutionPolicy Bypass -WindowStyle Hidden -NonInteractive -NoProfile -File test.ps1

 

Inhalt ps1:

start-process -filepath "notepad.exe"

[Sunny61 809]

Was ist das Ziel? Was möchtest Du denn erreichen?

bearbeitet 17. Mai 2020 von Sunny61

[Nobbyaushb 1.484]

Ich denke, für deine Clients wäre Intune die bessere Wahl - kostet zwar ein bisschen, aber der Komfort überwiegt den Preis

 

My2Cents

[xrated2 15]

Am 17.5.2020 um 09:56 schrieb Sunny61:

Was ist das Ziel? Was möchtest Du denn erreichen?

 

Na ganz einfach ein Powershell Skript starten, VPN Settings am Client verteilen.

bearbeitet 18. Mai 2020 von xrated2

[Nobbyaushb 1.484]

vor 15 Minuten schrieb xrated2:

 

Na ganz einfach ein Powershell Skript starten, VPN Settings am Client verteilen.

Wie willst du Settings verteilen, wenn der Client noch gar nichts von der Domäne weiß, weil der Tunnel noch nicht da ist?

Oder habe ich was falsch verstanden? 

[xrated2 15]

WPP funktioniert auch mit nachträglich verbundenem VPN, dass läuft ja ganz normal über WSUS.

 

[testperson 1.728]

Hi,

 

ggfs. kommst du mit einem geplanten Task besser zurecht? Einerseits kann der Task an bestimmte Events knüpfen oder du lässt den Task "regelmäßig" laufen und checkst innerhalb des Scripts, dann ob eine Verbindung da ist.

 

Gruß

Jan

[xrated2 15]

Ungerne, habe schlechte Erfahrungen mit Tasks und das müsste auch als System User laufen.

Benutzt denn niemand mehr WPP?

 

Das kann doch nicht so schwer sein:

<CustomUpdate>
<Action>
<ElementType>CustomUpdateElements.ScriptElement</ElementType>
<ScriptType>Powershell</ScriptType>
<Filename>test.ps1</Filename>
<Arguments>-Executionpolicy bypass</Arguments>
<KillProcess>False</KillProcess>
<TimeBeforeKilling>10</TimeBeforeKilling>
<Variable/>
</Action>
</CustomUpdate>

bearbeitet 18. Mai 2020 von xrated2

[MurdocX 957]

vor 3 Stunden schrieb xrated2:

Na ganz einfach ein Powershell Skript starten, VPN Settings am Client verteilen.

vor 10 Minuten schrieb xrated2:

Ungerne, habe schlechte Erfahrungen mit Tasks und das müsste auch als System User laufen.

Was mir in der Kombination beider Kommentare aufgefallen ist, dass VPN-Konfigurationen m. M. n. USER-basiert sind und nicht über SYSTEM verteilt werden.

 

Hast du schon mal probiert einfach über Invoke-Command zu arbeiten? Wenn die Geräte über Always-On ihre DNS-Einträge aktualisieren, dann sollte doch auch Kerberos in die andere Richtung funktionieren. So zu meinem Verständnis.

[xrated2 15]

Ich habe das Profil als -Alluserconnection erstellt weil dann Network Sign-In funktioniert. Ich dachte früher das dann auch Scripts über GPO bzw. alle CSE funktionieren würden aber das tut es nicht.

Man kann in Windows 10 nicht mal Network Sign-In als Default einstellen.

bearbeitet 18. Mai 2020 von xrated2

[Sunny61 809]

vor 7 Stunden schrieb xrated2:

Na ganz einfach ein Powershell Skript starten, VPN Settings am Client verteilen.

Ersteres nicht, sondern zweiteres ist dein Ziel. Welche Einstellungen in welcher Art müssen wo in welchem Kontext geändert werden?

Wenn es einfach ist, dann wirklich am besten per Task auf die Clients loslassen. Kannst Du als System laufen lassen und die Clients holen sich den Task.

[xrated2 15]

Wäre das dann folgendes:

Geplante Aufgabe (mindestens Windows 7) unter Computerkonfiguration?

 

Programm: c:\windows\system32\windowspowershell\v1.0\powershell.exe

Argument: -ExecutionPolicy bypass -File \\server\vpn\vpn.ps1 -NoLogo -Noninteractive -WindowStyle Hidden

 

Bis jetzt taucht nichts auf nach gpupdate /force auch nicht wenn ich so vorgehe:

https://www.windowspro.de/wolfgang-sommergut/geplante-aufgaben-ueber-gruppenrichtlinien-anlegen-loeschen

 

Aufgabe Name  vpnconfig   
 Autor  domain\myuser   
 Beschreibung     
 Nur ausführen, wenn der Benutzer angemeldet ist  S4U   
 Benutzer-ID  NT-AUTORITÄT\System   
 Mit höchsten Berechtigungen ausführen  LeastPrivilege   
 Ausgeblendet  Nein   
 Konfigurieren für  1.3   
 Aktiviert  Ja   
Trigger 1. Bei Anmeldung des Benutzers starten     
 Aufgabe verzögern für  30 Minuten   
 Aktiviert  Ja   
     
Aktionen 1. Programm starten     
 Programm/Skript  notepad.exe 
 

bearbeitet 18. Mai 2020 von xrated2

[Sunny61 809]

Liegt der Computer denn auch im Verwaltungsbereich des GPO? Hast Du evlt. ausgeblendet angehakt? Du startest die Aufgabenplanung als Administrator? Schau auch mal in der Commandozeile nach und lass dir dort die Aufgaben auflisten.

 

BTW: /force ist flüssiger als Wasser.

[xrated2 15]

oh danke das wusste ich nicht das ein User gar nicht alle Tasks sieht

 

 

bearbeitet 18. Mai 2020 von xrated2

[Sunny61 809]

War das die Lösung? Funktioniert es jetzt wie gewollt?