System Proxy setzen / entfernen

[CoNtAcT2000 15]

Hallo Leute,

 

wir nutzen in unserer Umgebung einen Proxyserver. Diesen bekommen die Benutzer per GPO/GPP gesetzt, inkl. Ausnahmeliste.

So nun arbeiten ja immer mehr User  von unterwegs aus und müssen sich dann mit dem Proxy rumärgern und diesen aus/einschalten je nachdem ob Sie sich im internen Netz bewegen oder nicht. Die User sind in der Regel keine Admins auf den Computern.

Meine Idee - ich schreibe ein Skript, welches diesen Aufwand übernimmt.

 

$Status = Test-Connection yourdomain.local -Quiet
if ($Status) {
    #Write-Host "Proxy aktivieren, da im internen Netz"
    Set-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Internet Settings" -Name "ProxyEnable" -Value "1"    
}else {
   #Write-Host "Proxy deaktivieren, da im privaten Netz"
    Set-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Internet Settings" -Name "ProxyEnable" -Value "0"
}

 

dieses Skript checkt ob die Domäne erreichbar ist. Falls ja, BENUTZER PROXY aktivieren, falls nein, den BENUTZER PROXY deaktivieren.

Dieses Skript wird an 3 Events geknüpft und funktioniert auch soweit wunderbar.

(Die Idee stammt von hier: https://www.gruppenrichtlinien.de/artikel/proxy-automatisch-an-und-ausschalten-proxy-switcher)

 

So, nun möchte ich allerdings auch, dass der SYSTEMPROXY geändert wird! Im obigen Skript ne Zeile zusätzlich einhängen fürs dazufügen

netsh winhttp set proxy proxy-server="yourproxyserver:8080" bypasslist="yourbypasslist"

bzw. fürs rausnehmen

netsh winhttp reset proxy

funktioniert schon mal nicht => fehlende Berechtigung.

 

Okay, dann mal versucht per GPO einen geplanten Task anzulegen, der im System Kontext gestartet wird und ausführbar ist. Task wird angelegt, funktioniert aber leider auch nicht, da dem User die Rechte fehlen.

 

Habt ihr eine Lösung für meine Idee? Mir fällt gerade sonst nichts dazu ein.

 

Vorab vielen Dank.

 

Gruß

Michael

 

[Sunny61 806]

Mit SYSTEM Rechten, vom Client, ausgestattet sollte das IMO schon funktionieren. Leg doch so einen Task manuell an, den SYSTEM dann vom SYSTEM verwenden, funktioniert das dann? Mit erhöhten Rechten ausführen.

[TitusPullo 0]

Am 10.12.2021 um 09:47 schrieb Sunny61:

Mit SYSTEM Rechten, vom Client, ausgestattet sollte das IMO schon funktionieren. Leg doch so einen Task manuell an, den SYSTEM dann vom SYSTEM verwenden, funktioniert das dann? Mit erhöhten Rechten ausführen.

 

So, musste mir gerade mal einen zusätzlichen Account anlegen.

 

Also hab mal testweise einen Task angelegt, der testweise nen Explorer öffnen soll.

Soll ausgeführt werden als "System".

Mit höchsten Berechtigungen ausführen.

 

Startet man den Task mit nem User der Adminrechte hat => läuft 1a.

Startet man den Task als Ottonormalo => Access Denied!

(Wenn man "Mit höchsten Berechtigungen ausführen." weg nimmt, ebenso Access Denied)

 

bearbeitet 13. Dezember 2021 von TitusPullo

[Sunny61 806]

Es bringt nichts den Explorer als SYSTEM ausführen zu wollen, wenn eigentlich NETSH ausgeführt werden. soll.

[TitusPullo 0]

Gerade eben schrieb Sunny61:

Es bringt nichts den Explorer als SYSTEM ausführen zu wollen, wenn eigentlich NETSH ausgeführt werden. soll.

Es ist sch*ißegal was ich nehme. explorer, notepad,cmd,netsh - es funktioniert nicht.

Hab auch mal eine Programm versucht was nicht im Windows oder System32 Verzeichnis liegt.

Jedesmal Access Denied.

[NorbertFe 2.034]

vor 4 Minuten schrieb TitusPullo:

ist sch*ißegal was ich nehme

Nö. Und vor allem der Explorer ist die bl…este Idee. ;)

[TitusPullo 0]

Gerade eben schrieb NorbertFe:

Nö. Und vor allem der Explorer ist die bl…este Idee. ;)

Es war einfach nur einer von X Tests.

[cj_berlin 1.315]

Moin,

ein User ohne Adminrechte hat per Default nicht die Berechtigung, einen Scheduled Task zu starten, den er nicht selbst erstellt hat. Da musst Du nachhelfen (Permissions in C:\Windows\Tasks für AT-Tasks, Fummeln in der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\ für moderne Tasks).

[TitusPullo 0]

vor 21 Minuten schrieb cj_berlin:

Moin,

ein User ohne Adminrechte hat per Default nicht die Berechtigung, einen Scheduled Task zu starten, den er nicht selbst erstellt hat. Da musst Du nachhelfen (Permissions in C:\Windows\Tasks für AT-Tasks, Fummeln in der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\ für moderne Tasks).

 

Hmmmm.

 

Ich habe der Gruppe "Authentifizierte Benutzer" auf den Pfad  

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\$GUID

Leserechte gegeben.

 

Ich kann den Task allerdings immer noch nicht in der Aufgabenplanung sehen oder ausführen. Auch nach nem Neustart nicht.

Ich habe eben mal probiert irgendeinen geplanten Task als Ottonormal User zu starten - geht nicht.

"Das Benutzerkonto hat keine Berechtigung zum Ausführen dieser Aufgabe"

 

Auf 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks

VOLLZUGRIFF für Authentifizierte Benutzer gegeben.

Ebenso auf 

C:\Windows\System32\Tasks

 

pffffff....................... PERMISSION DENIED!!!

 

Sehe auch keinen einzigen Task in der Aufgabenplanung außer Adobe Acrobat Update Task und den darf ich nicht starten....

Typisch Microsoft Rotz. An sowas kann man sich echt tagelang aufhalten.

[cj_berlin 1.315]

vor 56 Minuten schrieb TitusPullo:

Typisch Microsoft Rotz. An sowas kann man sich echt tagelang aufhalten.

Damit motivierst Du natürlich andere, Dir zu helfen  Vielleicht beschreibst Du mal, wie es auf anderen Plattformen geht, dass man einen Normaluser befähigt, einen Task mit Root-Rechten zu starten, denn nichts anderes versuchst Du hier. Und Spoiler: Mit Windows geht's.

[TitusPullo 0]

vor 1 Minute schrieb cj_berlin:

Damit motivierst Du natürlich andere, Dir zu helfen  Vielleicht beschreibst Du mal, wie es auf anderen Plattformen geht, dass man einen Normaluser befähigt, einen Task mit Root-Rechten zu starten, denn nichts anderes versuchst Du hier. Und Spoiler: Mit Windows geht's.

 

Klar, da gebe ich dir recht. Es ist halt einfach unfassbar frustrierend, dass man an einer einfachen Aufgabe sich so dermaßen den Wolf frickeln muss, bis es evtl. mal funktioniert.

Ich kann hier Rechte auf Registry und Pfade vergeben wie ich will, es funktioniert nicht. Man sieht weder die Tasks, noch kann man sie ausführen.

 

 

 

[cj_berlin 1.315]

Schau mal *in* die Registry, nicht nur auf die Rechte dort.

Oder lege den Task im Legacy-Modus mit AT an, dann helfen Dir Rechte im Dateisystem.

[TitusPullo 0]

Ich kann mit deiner Aussage nichts anfangen, tut mir leid.

[Sunny61 806]

Task über die Kommandozeile anlegen:

https://docs.microsoft.com/de-de/windows-server/administration/windows-commands/schtasks

Nimm doch mal einen Rechner und verschieb ihn Computers im AD, dann dort das gleiche nochmal probieren. Funktioniert es dort?

[TitusPullo 0]

vor 9 Minuten schrieb Sunny61:

Task über die Kommandozeile anlegen:

https://docs.microsoft.com/de-de/windows-server/administration/windows-commands/schtasks

Nimm doch mal einen Rechner und verschieb ihn Computers im AD, dann dort das gleiche nochmal probieren. Funktioniert es dort?

Habe ich gemacht - funktioniert nicht! Zugriff verweigert.

Der Normale User sieht die Tasks nicht und kann sie wie gesagt auch nicht starten.

bearbeitet 13. Dezember 2021 von TitusPullo