Jump to content

GPO - geplante Aufgabe als Admin (1 Minute nach Anmeldung) ausführen wird nicht ausgeführt

mcdaniels

Von mcdaniels
in Windows Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

mcdaniels Veteran

mcdaniels   29

Geschrieben
Geschrieben (bearbeitet)

Guten Morgen,

ich will  bzw. (in dem Fall) muss einen Updatetask (für einen Virenschutz) eine Minute verzögert (nach Anmeldung) ausführen.  Dieser Updatetask muss als Admin ausgeführt werden. Hierfür gibt es ein Batchfile, das ich erstellt habe. 

@echo off
set file="c:\Program Files\Fortinet\Forticlient\Forticlient.exe"

if not exist %file% (
exit   
) Else (

cd "c:\Program Files\Fortinet\Forticlient"
update_task.exe -s vd_01 >c:\fortiupdate.log
)

 

Damit ich die Möglichkeit habe, dass das Batchfile als Administrator ausgeführt wird (bitte korrigiert mich), zu lassen hab ich es via GPO:

 

  • Computerkonfig -> Einstellungen -> Systemeinstellungen -> geplante Aufgaben -> geplante Aufgabe (min Win7) eingebunden.
  • Ausführen als: User mit Adminrechten
  • unabhängig von der Benutzeranmeldung ausführen
  • Mit höchsten Berechtigungen ausführen
  • Trigger: Bei Anmeldung (Jeder Benutzer)
  • Aufgabe verzögern für: 1 Minute

 

Ich sehe auch, dass die GPO entsprechend umgesetzt wird (GPRESULT /Scope Computer), allerdings wird das Batchfile offenbar nicht ausgeführt, denn ich müsste (wenn es läuft) auf den PCs unter c:\ ein logfile sehen (fortiupdate.log).

 

Fragen dazu:

Ist die Vorgangsweise grundsätzlich korrekt?

Gehe ich recht in der Annahme, dass das File bei Ausführung auf C:\ abgelegt werden müsste (auch wenn es via Computerkonfiguration läuft). Sollte ja unerheblich sein.

 

Starte ich das Batchfile (als Admin) lokal auf einem Client läuft es problemlos.

 

Im Eventlog (auf den Clients) sehe ich unter Anwendungs- und Dienstprotokolle / Windows / Taskscheduler mein Batchfile nirgendwo...

 

Danke euch!

bearbeitet von mcdaniels
Link zu diesem Kommentar
BOfH_666 Veteran

BOfH_666   577

Geschrieben
Geschrieben (bearbeitet)

Ich würde mir das Leben leichter machen und einfach die "update_task.exe" als Task ausführen - nicht das Script.  ¯\_(ツ)_/¯

 

vor 31 Minuten schrieb mcdaniels:

Ausführen als: User mit Adminrechten

Welcher User ist das? Üblicherweise nimmt man hier den lokalen Built-In User "SYSTEM"

 

vor 31 Minuten schrieb mcdaniels:

allerdings wird das Batchfile offenbar nicht ausgeführt

Hast Du denn dafür gesorgt, dass das Batchfile auf dem Computer auf existiert? :aha2:

 

vor 31 Minuten schrieb mcdaniels:

Ist die Vorgangsweise grundsätzlich korrekt?

Erstmal schon - wenn alle Voraussetzungen erfüllt sind. 

 

vor 31 Minuten schrieb mcdaniels:

Gehe ich recht in der Annahme, dass das File bei Ausführung auf C:\ abgelegt werden müsste (auch wenn es via Computerkonfiguration läuft).

Der Pfad ist egal ... Du hast ihn ja hoffentlich korrekt angegeben, oder? Wo liegt die Datei denn?

bearbeitet von BOfH_666
  • Danke 1
Link zu diesem Kommentar
mcdaniels Veteran

mcdaniels   29

Geschrieben
  • Autor
Geschrieben
vor 1 Minute schrieb BOfH_666:

Welcher User ist das? Üblicherweise nimmt man hier den lokalen Built-In User "SYSTEM"

 

Das ist in dem Fall unser "Deployuser" der Adminrechte hat. Ich stell das mal auf System um.

 

vor 6 Minuten schrieb BOfH_666:

Hast Du den ndafür gesorgt, dass das Batchfile auf dem Computer auf existiert? 

hätte ich erwähnen müssen, ich hab den UNC Pfad zum Skript angegeben (im Task) und den Ordner wo es drinnen liegt für alle (lesbar) freigegeben. Getestet von den Clients.

 

vor 11 Minuten schrieb BOfH_666:

Ich würde mir das Leben leichter machen und einfach die "update_task.exe" als Task ausführen - nicht das Script.  ¯\_(ツ)_/¯

 

Ok, dann würde mir aber die Abfrage wegfallen, ob denn der "Forticlient" auf den PCs etc. installiert ist. (Momentan ist das noch nicht überall der Fall), wäre aber sicher einfacher.

 

Dann bräuchte ich das Scirpt gar nicht mehr und würde mir allerdings auch die Verrenkung ersparen, dass ich das Script von den Clients aus zugänglich machen muss. Werde darüber nachdenken.

 

Grundsätzliche Frage: Müsste ich den geplanten Task der via GPO an die Clients geht nicht in deren Taskplaner sehen?

 

Danke für  deine Hilfe!

Link zu diesem Kommentar
cj_berlin Veteran

cj_berlin   1.312

Geschrieben
Geschrieben (bearbeitet)

Moin,

 

Du kannst ja seit gefühlt 7 Jahren (und genauer seit Mai 2014 - da siehst Du, wie die Gefühle trügen bei einem alten Mann ;-) ) in GPOs keine Passwörter mehr speichern. Das heißt, ein Schtask mit einem benannten User kann nur unter der Voraussetzung laufen, dass dieser User interaktiv angemeldet ist. 

 

Kann man SYSTEM nicht verwenden, kannst Du gMSA nehmen, da ist es aber ein wenig fummelig, die Policy zu erstellen, da der Editor gMSA nicht auswählen lässt.

bearbeitet von cj_berlin
  • Danke 1
Link zu diesem Kommentar
mcdaniels Veteran

mcdaniels   29

Geschrieben
  • Autor
Geschrieben (bearbeitet)
vor 1 Stunde schrieb cj_berlin:

Du kannst ja seit gefühlt 7 Jahren (und genauer seit Mai 2014 - da siehst Du, wie die Gefühle trügen bei einem alten Mann ;-) ) in GPOs keine Passwörter mehr speichern. Das heißt, ein Schtask mit einem benannten User kann nur unter der Voraussetzung laufen, dass dieser User interaktiv angemeldet ist. 

Naja, da warst du eh nicht so knapp daneben.  Somit kann ich das knicken.

 

vor 1 Stunde schrieb BOfH_666:

Richtig. Das Ergebnis wäre aber das gleiche. Wenn der Client noch nicht installiert ist, schlägt der Task eben fehl. ¯\_(ツ)_/¯

 

Fehlschläge mag ich nicht ;-) Ne, Scherz bei Seite, ich wollt's halt abfragen, aber wenn es nicht sein muss, ist's auch gut.

 

vor 1 Stunde schrieb cj_berlin:

Kann man SYSTEM nicht verwenden, kannst Du gMSA nehmen, da ist es aber ein wenig fummelig, die Policy zu erstellen, da der Editor gMSA nicht auswählen lässt.

Hm, schau ich mir mal an, danke!

 

Melde mich mit dem Ergebnis.

bearbeitet von mcdaniels
Link zu diesem Kommentar
mcdaniels Veteran

mcdaniels   29

Geschrieben
  • Autor
Geschrieben (bearbeitet)
vor 50 Minuten schrieb cj_berlin:

Mach's einfach als SYSTEM. Wenn Du das ganze z.B. für SCCM paketieren würdest, müsste das Paket auch als SYSTEM laufen.

Ich hab das jetzt (wie oben erwähnt) als GPO aktiv als Task mit User SYSTEM / Befehlszeile: "c:\Program Files\Fortinet\FortiClient\update_task.exe" -s vd_01 > fortiupdate_av.log

 

Es wird mir am Client zwar keine fortiupdate_av.log erstellt. Der Task ist aber am Client angekommen.

 

lt. gpresult (scope Computer) scheint die Aufgabe jedenfalls anzukommen.

update_task_gpresult.thumb.JPG.6a9aa2eb5ac160ff26022c5557a6742c.JPG

 

Es wird mir sogar in der Aufgabenplanung angezeigt (am Client)

taskplaner.JPG.e1ca6fdd6d4e89a83f5aea181bf56c9f.JPG

 

Ergebnis ist allerdings 0x41301 (Task läuft schon..)

 

Mal weiter suchen...

 

 

 

bearbeitet von mcdaniels
Link zu diesem Kommentar
mcdaniels Veteran

mcdaniels   29

Geschrieben
  • Autor
Geschrieben

Es sieht nun wie folgend aus:

 

Ich habe den Task angepasst.

Trigger: Jeden Tag um 06:00h, täglich

Aktion: Programm starten: "c:\Program Files\Fortinet\FortiClient\update_task.exe"

Argumente hinzufügen (optional): -s vd_01

 

Einstellungen angehakt:

Ausführung bei Bedarf zulassen 

Aufgabe so schnell wie möglich nach einem verpassten Start ausführen

Falls Aufgabe scheitert, neu starten alle: 10 Minuten

Neustartversuche max: 1x 

Aufgabe beenden, falls Ausführung länger: 1h

Beenden der aktiven Aufgabe erzwingen, falls sie auf Aufforderung nicht beendet wird

und

Keine neue Instanz starten, falls bereits ausgeführt.

 

Die Umleitung der Ausgabe via > c:\update.log hat nie funktioniert, weshalb ich selbige raus genommen hab. 

 

Wenn ich am Client den Task auslöse (im Taskplaner) sehe ich im Forticlient, dass Updates gesucht werden. D.h. der Task funktioniert.

 

Ich hoffe nun, dass mir die Clients nach dem hochfahren checken, dass  - wenn der Task um 06.00h nicht ausgeführt wurde - dieser eben so schnell wie möglich nachgeholt wird und im Fehlerfall dann noch 1x versucht wird den Task auszuführen.

 

Grund für die ganze Übung ist, dass der liebe Forticlient zwar schon Updates sucht, dies aber in der  Regel sehr stark verzögert (nach dem Systemstart) stattfindet. Dies wiederum löst das Windows  Security Center aus mit der Meldung "Dass der AV nicht mehr aktuell" ist. Ich hoffe nun, dass die Updates der Clients durch den Task kurz nach dem Client-Start erfolgen und somit diese Meldung unterbleibt.

 

Der Fortinetsupport war bislang übrigens keine große Hilfe.

 

Danke für eure Hilfe!

 

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...