MSDE Onboarding > WindowsDefenderATPOnboardingScript.cmd via Taskplaner > 0x1

[andrew 15]

Hallo zusammen

 

Führe ich das cmd File auf einem PC manuell aus, dann erscheint kurze Zeit später der PC im Windows Defender Online Portal als "Onboarding erfolgreich"
Will ich das cmd File via Taskplaner auf alle PCs verteilen, kriege ich in der Aufgabenplanung immer die Status Meldung 0x1.

 

Ich bin gemäss diesem Link  hier vorgegangen, Punkt 1 - 12.

Bei Punkt 6 habe ich die normale Task Form gewähnt (ab Windows 7) 

 

Im Reiter "Aktionen" habe ich im Feld "Programm/ Skript: 

den folgenden, ganzen Pfad eingegeben: \\Servername\LOGON\Scripts\WindowsDefenderATPOnboardingScript.cmd

 

Ich habe angefangen, mit den Feldern "Argumente hinzufügen" oder mit dem Feld "Starten in (optional)" zu arbeiten > bis jetzt lief das Skript noch nie mit 0x0 durch.

Hat Jemand eine Idee?

 

cheers
Andrew

[q617 1]

Hast du keinen Support mitgekauft bei Microsoft Azure?

[Sunny61 806]

Den Rest hast Du genauso eingestellt wie beschrieben? Öffne doch auf dem PC eine cmd und starte das Script direkt aus dem Pfad manuell: \\Servername\LOGON\Scripts\WindowsDefenderATPOnboardingScript.cmd

[andrew 15]

Genau, ich werde in meiner Firma der zentralen IT dieses Problem unserer Gesellschaft prüfen lassen und wenn notwendig sollen die bei Microsoft einen Support Case eröffnen

 

Cheers

Andrew

Suny61

Ja, Punkt 1-12 wie im Artikel gemacht.

Bei Punkt einfach einen anderen Aufgabe Typ genommen.

 

Verwendet man den Aufgaben Typ wie MS bei Punkt 6 beschreibt, verschwindet der erstellte Task dann nach kurzer Zeit wieder aus der Aufgabenplanung.

 

Das ist ok, wenn man einen Task einmalig laufen lässt, dieser auch zuverlässig durchläuft und somit im Anschluss wieder entfernt wird.

 

In meinem Fall will ich das nicht, darum habe ich nicht den Auflagen Typ wie MS bei Punkt 6 beschreibt, verwendet.

 

Zu deiner Frage, ob es funktioniert, wenn ich via UNC Pfad das Skript direkt starte?

 

Auf meinem persönlichen PC hatte ich bereits die Funktionalität das Skripts genau auf diese getestet und stellte fest, dass es funktioniert und mein NB Online bei Windows bei der Online Plattform als «Onboarding erfolgreich» aufgeführt wird.

 

Da ich nun ein paar hundert PCs in Bezug Windows Defender onboarden muss, habe ich eine GPO erstellt, diese erzeugt auf den PCs in der Aufgabenplanung einen Task (dieser Teil funktioniert) und eben, der komflgurierte Task macht das gleiche, als User ist der System User für den Task konfiguriert und der Rest, wie ich schon beschrieben habe.

 

Resultat des Tanks: stets 0x1

bearbeitet 19. August 2023 von andrew

[testperson 1.680]

Hi,

 

die Computerkonten haben auch Zugriff auf die Freigabe?

 

Gruß

Jan

[andrew 15]

Warum sollten die Computerkonten Zugriff auf den Share haben, wo die cmd Datei liegt?

 

Darauf muss doch nur der User Zugriff haben, welcher in der Aufgabenplanung im Task hinterlegt ist oder nicht?

 

Cheers

André

bearbeitet 19. August 2023 von andrew

[testperson 1.680]

vor 5 Stunden schrieb andrew:

Warum sollten die Computerkonten Zugriff auf den Share haben, wo die cmd Datei liegt?

 

Darauf muss doch nur der User Zugriff haben, welcher in der Aufgabenplanung im Task hinterlegt ist oder nicht?

 

vor 9 Stunden schrieb andrew:

als User ist der System User für den Task konfiguriert

 

Darum (vermutlich). ;)

[Nobbyaushb 1.472]

Wir haben bei solchen Aufgaben die meist kleine Datei per GPO erts auf den Rechner kopiert und dann lokal gestartet

Aber auch dafür braucht der eingerichtete User Lese-Rechte auf das share

Von daher bin ich bei Jan - prüfe das zuerst

[andrew 15]

Es lag tatsächlich daran,. dass wenn in der Aufgabenplanung der NT Services/System User hinterlegt ist, anscheinend keine Berechtigung auf dem UNC Pfad (Jahre) hatte.

 

Die Aufgabe läuft nun mit 0x0 durch, Hammer mässig geil.

 

Da ich immer wa lernen möchte: wie hätte ich nun genaue diese Problematik mit dem System User, welcher im Task der Aufgabenplanung hinterlegt ist und fehlende Rechte auf den Share hat, mit LOGs oder dergleichen herausfinden können?

 

Würde ich nun irgendwo diese Problematik auf dem Server, welcher diesen Share beherbergt, in seiner Ereiignisanzeige Hinweise auf die fehlendem Berechtigungen finden?

 

Man müsste wohl irgendwo LOG Hinweise finden, dass der Zugriff nicht via System User geschah, sondern via ComputernameXY$ ?

 

Danke für eure Inputs

 

cheers

Andrew

[testperson 1.680]

Option 1) Selber Logging in das / die Script/e einbauen

Option 2) Auditing aktivieren

Option 3) Scripte bspw. mit PSExec (PsExec - Sysinternals | Microsoft Learn / bspw. psexec.exe -i -s powershell.exe) als System ausführen und testen

 

vor einer Stunde schrieb andrew:

System User geschah, sondern via ComputernameXY$

Siehe: Security identifiers | Microsoft Learn

Zitat

S-1-5-18 / System (or LocalSystem):

 

An identity that's used locally by the operating system and by services that are configured to sign in as LocalSystem. System is a hidden member of Administrators. That is, any process running as System has the SID for the built-in Administrators group in its access token. When a process that's running locally as System accesses network resources, it does so by using the computer's domain identity. Its access token on the remote computer includes the SID for the local computer's domain account plus SIDs for security groups that the computer is a member of, such as Domain Computers and Authenticated Users.

 

[andrew 15]

Interessant, danke für die Inputs

[Sunny61 806]

BTW: Out of the Box können Authentifizierte Benutzer dort lesen, habt ihr das manuell angepasst? In der Gruppe der Authentifizierten Benutzer sind auch die Computerkonten enthalten.

[andrew 15]

Share seitig habe ich die Gruppe Authentifizierte User hinterlegt, NTFS seitig spezifische Gruppe, diese aber nicht.