Rechte bei Runonce Script

[stefan4711 3]

Hallo allerseits,

 

ich habe folgendes Problem. Es soll lokal versucht werden, eine Installation, in Abhängigkeit von einer bestimmten Gruppenzugehörigkeit durchzuführen. Diese Prüfung soll genau einmal, bei der ersten Anmeldung durchgeführt werden. Dazu habe ich mir folgendes kleine Script gebaut:

 

whoami /groups | find "Jeder">nul 2>&1 
if not errorlevel = 1 (GOTO RDPUSER)

:DEFAULT
echo Benutze ist NICHT in der Gruppe RDPUSER
pause
goto ENDE
 
:Jeder
echo Benutzer ist in der Gruppe RDPUSER
msiexec /i"C:\Install.msi" /quiet /qn /norestart /passive

:ENDE

Er führt das Script zawar ewinmalig bei jedem neuen user aus, aber das Script scheitert, aufgrund von Zugriffsbeschränkungen. Hat irgend jemand eine Iddee, wie man dieses Problem lösen kann, über eine Aufgabe habe ich es auch schon probiert, mit Schtasks /run, aber das selbe. Vielen Dank schon mal für Anregungen, ich weiss gäbe wahrscheinlich tolle Möglichkeiten dies wüber AD zu realisieren, aber leider steht diese Möglichkeit hier nicht zu Debatte.

 

Danke i.V.

 

lg

[testperson 1.675]

Hi,

 

um Software zu installieren müssten deine User ja lokale Administratoren sein. Das ist ein No-Go. Warum muss/soll die Software pro User installiert werden?

 

Ich würde ggfs. per Aufgabe im Computerkontext (System) und PowerShell installieren. Dann kann per PowerShell geprüft werden, ob das Paket bereits vorhanden ist oder eben installiert bzw. später ggfs. geupdated werden muss. Alternativ eben in Richtung WSUS + WPP oder "richtige" Softwareverteilung schauen.

 

Gruß

Jan

[stefan4711 3]

Weil nicht jeder Rechner einen User hat der in der Gruppe VPNUSER ist, und bei den anderen das nicht installiert werden soll. Per Aufgabe mit System hatte ich ja auch schon versucht, aber auch  da das Zugriffsproblem. Eine ständige Prüfung beim starten der Systeme halte ich für performance bedenklich, daran hatte ich selbstverständlich auch schon gedacht.

 

 

lg

[NorbertFe 2.034]

vor 1 Minute schrieb stefan4711:

Weil nicht jeder Rechner einen User hat der in der Gruppe VPNUSER ist, und bei den anderen das nicht installiert werden soll.

Tja Henne und Ei. Nicht jeder Nutzer hat lokale Adminrechte und bei denen ohne kann es nicht installiert werden. Mal angenommen es ist eine "normale" Software, die sich nicht ins Userprofile installiert.

[zahni 554]

Ich glaube Du solltest nochmal vollständig erklären, was Du wann wie und auf welchen Rechnern installieren willst.

[testperson 1.675]

vor 32 Minuten schrieb stefan4711:

Eine ständige Prüfung beim starten der Systeme halte ich für performance bedenklich, daran hatte ich selbstverständlich auch schon gedacht.

Measure-Command { Get-Package }

Ist beim erstmaligen Ausführen bei ca. 2 Sekunden.

Measure-Command { Get-ItemProperty -Path "HKLM:\Software\WOW6432Node\Citrix\PluginPackages\XenAppSuite\ICA_Client\" }

Ist beim erstmaligen Ausführen bei ca. 2 Millisekunden.

 

P.S: Du müsstest allerdings auch in deiner Batch das "GOTO RDPUSER" in "GOTO Jeder" oder das ":Jeder" in ":RDPUSER" ändern. Ebenfalls halte ich "C:" für keinen geeigneten Ort zur Ablage von Dateien die in Scripts automatisiert ausgeführt werden. Bei sowas solltest du sehr penibel auf die entsprechenden Berechtigungen achten und diese soweit es geht einschränken.

bearbeitet 28. September 2020 von testperson

[stefan4711 3]

So noch einmal ganz langsam,

 

ich möchte dass unser StandardWindowsImage, wo man vorher ja nicht weiss, welcher User den Rechner dann benutzen wird, und ob dieser in einer bestimmten Gruppe ist, einmalig beim ersten Anmelden eines jeden users getestet wird, ob dieser in einer bestimtmten AD Gruppe, in diesem Fale VPNUSER ist, ind dann, und nur dann ein VPN Client installiert wird, da muss es doch eine Möglichkeit geben? Hoffe hb mich jetzt deutlich ausgedrückt.

 

 

lg

[Dukel 454]

Du suchst eine Software Verteilung.

[BOfH_666 577]

vor 36 Minuten schrieb stefan4711:

ich möchte dass unser StandardWindowsImage, wo man vorher ja nicht weiss, welcher User den Rechner dann benutzen wird,

Um Dir das Leben und den Support zu erleichtern, könntest Du auch darüber nachdenken, die Software auf alle frisch installierten Rechner zu bringen. Benutzer, die VPNUSER - Mitglieder sind, können sie benutzen, andere eben nicht.

Unabhängig davon wäre ich bei @Dukel. Eine Software-Verteilung wäre die professionellste Lösung.

 

Um wieviele PCs geht es denn eigentlich?

[NorbertFe 2.034]

vor 45 Minuten schrieb stefan4711:

So noch einmal ganz langsam

Dann wirds auch nicht anders, sondern nur langsamer. ;)

[zahni 554]

Man kann Software auch per GPO oder Computer-Startup-Script installieren. Da sind auch Abfragen hinsichtlich Gruppenmitgliedschaften von Computer-Konten (!) möglich. 

Also ist  Computer-Konto  "X"  in Gruppe  "Software1", dann installiere Software. Zusätzlich braucht man im Script noch eine geeignete Abfrage, ob die jeweilige Software in der richtigen Version  schon installiert ist.

 

 

[stefan4711 3]

Ja, dann geht es halt lokal nicht, dann wurde dass hier eben noch mal bestätigt, dann werde ich unseren GPO Meister die Sache übergeben, hab dazu leider keine Rechte, dass dies sicher die professionelle Lösung ist, darüber bin ich mir im Klaren. Hatte halt vielleicht noch gedacht, dass man dass evtl noch mit lokalem Startscript machen könnte, da müssten Softwareinstalaltionen doch ausgeführt werden oder?

 

 

lg

 

 

 

[NorbertFe 2.034]

vor einer Stunde schrieb stefan4711:

da müssten Softwareinstalaltionen doch ausgeführt werden oder?

Ein startskript läuft im Kontext des ausführenden Computers. ;) damit hast du denn den Zustand, zu dem alle geraten haben. Im logonscript hat man üblicherweise keine Rechte für die Installation von software.

bearbeitet 28. September 2020 von NorbertFe

[BOfH_666 577]

vor 4 Stunden schrieb stefan4711:

....  Hatte halt vielleicht noch gedacht, dass man dass evtl noch mit lokalem Startscript machen könnte, da müssten Softwareinstalaltionen doch ausgeführt werden oder?

Der Windows-Start durchläuft verschiedene Phasen. Im Start-Script laufen Sachen für den Computer (hier wären Installationen denkbar) und - wie Norbert schon schrieb - im Logon-Script laufen Sachen für den Benutzer (hier würden Installationen wegen der fehlenden Rechte scheitern), der sich grad anmeldet. Im Zweifel hilft sprachliche Präzision bei der Verständigung.  

[daabm 1.354]

Naja, da es eh schon wirr ist, hier noch ne ganz wirre Lösung:

Scheduled Task, Account "SYSTEM", Trigger "Bei einem Ereignis" Event-ID raussuchen für interaktive Benutzeranmeldung, Delay 15 Sekunden. Action dann ein Skript, das den angemeldeten User findet, dessen Gruppenmitgliedschaften auswertet und ggf. installiert. Besser wird's dadurch aber auch nicht