EmmKay 2 Geschrieben 12. November Melden Teilen Geschrieben 12. November @ALL Per Aufgabenplanung möchte ich ein PowerShell-Skript ausführen, welches in der NETLOGON-Freigabe abgelegt und zusätzlich signiert ist. Die Aktion der Aufgabe habe ich ich wie folgt angegeben. C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoProfile -NoExit -ExecutionPolicy ByPass -File \\meine_domäne.de\netlogon\myscript.ps1 -Path \\server\freigabe (Parameter -NoExit NUR für Testzwecke) Die PowerShell-Konsole gibt mir folgende Sicherheitswarnung aus: Führen Sie ausschließlich vertrauenswürdige Skripts aus. Skripts aus dem Internet .... Wenn Sie diesem Skript vertrauen, lassen Sie mit dem CmdLet "Unblock-File" die .... Möchten Sie "\\meine_domäne.de\netlogon\myscript.ps1" ausführen? .... Unblock-File habe ich für das Skript ausgeführt. Get-Item myscript.ps1 -Stream 'zone.identifierr' -ErrorAction SilentlyContinue gibt mir auch nichts zurück. Die Auflistung der Ausführungsrichtlinien für die unterschiedlichen Bereiche sieht wie folgt aus: MachinePolicy -> Unrestricted UserPolicy -> Undefined Process -> ByPass CurrentUser -> Undefined LocalMachine -> RemoteSigned Die effektive Ausführungsrichtlinie wäre dem nach Unrestricted. Wie kann ich das Skript per Aufgabenplanung aus der NETLOGON-Freigabe ohne Bestätigungsaufforderung ausführen? Für eine Lösung wäre ich sehr dankbar. Zitieren Link zu diesem Kommentar
Beste Lösung cj_berlin 1.315 Geschrieben 12. November Beste Lösung Melden Teilen Geschrieben 12. November (bearbeitet) Moin, nein, LocalMachine überschreibt MachinePolicy, somit ist Deine resultierende Policy RemoteSigned, was Du auch lt. PowerShell-Ausgabe erlebst. Und hier beißt Dich etwas, was tatsächlich kontraintuitiv ist: Wenn Execution Policy über GPO gesetzt ist, kann sie nicht an der Kommandozeile übersteuert werden, auch wenn die GPO eine schwächere Einstellung hat als die resultierende Policy. Check mal, warum etwas, was aus einem UNC-Pfad aufgerufen wird, als "Remote" angesehen wird - by default sind UNC-Pfade Teil der Zone "Lokales Intranet". Vielleicht wurde das Skript bereits bei der Übertragung NACH NETLOGON als "Remote" markiert... vergiss es, habe es jetzt gelesen. Alternative wäre, das signierende Skript zu "Trusted Publishers" hinzuzufügen. EDIT: Das hinzufügen von "meine_domäne.de" zu der LocalIntranet-Zone scheint zu helfen. bearbeitet 12. November von cj_berlin Zitieren Link zu diesem Kommentar
EmmKay 2 Geschrieben 12. November Autor Melden Teilen Geschrieben 12. November vor 1 Stunde schrieb cj_berlin: nein, LocalMachine überschreibt MachinePolicy, somit ist Deine resultierende Policy RemoteSigned, was Du auch lt. PowerShell-Ausgabe erlebst. Und hier beißt Dich etwas, was tatsächlich kontraintuitiv ist: Wenn Execution Policy über GPO gesetzt ist, kann sie nicht an der Kommandozeile übersteuert werden, auch wenn die GPO eine schwächere Einstellung hat als die resultierende Policy. Ja. Das verwirrt mich immer wieder. Ich dachte immer, dass Get-ExecutionPolicy ohne Parameter die effektive Ausführungsrichtlinie anzeigt. vor einer Stunde schrieb cj_berlin: EDIT: Das hinzufügen von "meine_domäne.de" zu der LocalIntranet-Zone scheint zu helfen. Leider funktioniert es nicht. Die Domäne hatte ich bereits in der Zonenzuweisung eingetragen. Es ist doch richtig unter Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet-Explorer\Internetsystemsteuerung\Sicherheitsseite\Liste der Site zu Zonenzuweisungen Vielleicht sind die Einträge verkehrt? Dort steht: \\meine_domäne.de -> 1 file://meine_domäne.de -> 1 \\server -> 1 file://server -> 1 Danke schon mal. Zitieren Link zu diesem Kommentar
cj_berlin 1.315 Geschrieben 12. November Melden Teilen Geschrieben 12. November Versuch's nur mit dem Domänen-FQDN, ohne Protokoll. So hat's hier auf Anhieb funktioniert. Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 12. November Melden Teilen Geschrieben 12. November Prüf doch mal gem. diese Artikel: https://www.gruppenrichtlinien.de/artikel/konfiguration-der-internet-explorer-zonenzuweisung-internet-explorer-zonemapping https://www.gruppenrichtlinien.de/artikel/fehler-beim-anwenden-internet-explorer-zonemapping-liste-der-site-zu-zonenzuweisungen Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 13. November Melden Teilen Geschrieben 13. November vor 16 Stunden schrieb EmmKay: Vielleicht sind die Einträge verkehrt? Dort steht: \\meine_domäne.de -> 1 file://meine_domäne.de -> 1 \\server -> 1 file://server -> 1 Ja, sind verkehrt... Die 2 mit "file://" funktionieren, helfen hier aber nicht. Die zwei mit "\\" funktionieren nicht. https://evilgpo.blogspot.com/2016/03/internet-explorer-site-zu.html Und 1 ist auch falsch, das sollte 2 sein (lokales Intranet). Zitieren Link zu diesem Kommentar
EmmKay 2 Geschrieben 13. November Autor Melden Teilen Geschrieben 13. November vor 22 Stunden schrieb cj_berlin: Versuch's nur mit dem Domänen-FQDN, ohne Protokoll. So hat's hier auf Anhieb funktioniert. vor 6 Stunden schrieb daabm: Ja, sind verkehrt... Die 2 mit "file://" funktionieren, helfen hier aber nicht. Die zwei mit "\\" funktionieren nicht. https://evilgpo.blogspot.com/2016/03/internet-explorer-site-zu.html Und 1 ist auch falsch, das sollte 2 sein (lokales Intranet). Bei funktioniert es leider nicht. FQDN der Domäne (meine_domäne.de) mit dem Wert 2 in die Gruppenrichtlinie eingetragen. Die Zonenzuweisung wurde erfolgreich auf dem Testsystem aktualisiert. Evtl. hilft dieser Eintrag aus dem Anwendungs- und Dienstprotokoll Microsoft/Windows/PowerShell weiter: Wo wurde festgelegt, dass das Skript nicht ausgeführt werden kann. Ist damit die Ausführungsrichtlinie gemeint? Vielen Dank. Zitieren Link zu diesem Kommentar
cj_berlin 1.315 Geschrieben 13. November Melden Teilen Geschrieben 13. November Wieso 2? Ich dachte, 1 wäre Local Intranet? Zitieren Link zu diesem Kommentar
MurdocX 949 Geschrieben 13. November Melden Teilen Geschrieben 13. November Behandeln von Fehlern bei der Internet Explorer-Zonemapping bei der Verarbeitung von Gruppenrichtlinien - Browsers | Microsoft Learn Zitat Die Richtlinie "Site to Zone Assignment List" Das Format der Richtlinie für die Website-Zu-Zonen-Zuweisungsliste wird in der Richtlinie beschrieben. Mit dieser Richtlinieneinstellung können Sie eine Liste von Websites verwalten, die Sie einer bestimmten Sicherheitszone zuordnen möchten. Diese Zonennummern weisen Sicherheitseinstellungen auf, die für alle Websites in der Zone gelten. Internet Explorer verfügt über vier Sicherheitszonen, die von dieser Richtlinieneinstellung verwendet werden, um Websites zonen zuzuordnen. Sie werden nummeriert 1 und 4 in absteigender Reihenfolge von am wenigsten vertrauenswürdig definiert: Zone "Lokales Intranet" Zone der vertrauenswürdigen Sites Zone „Internet“ Zone eingeschränkter Sites Als Hilfestellung. Zitieren Link zu diesem Kommentar
EmmKay 2 Geschrieben 13. November Autor Melden Teilen Geschrieben 13. November vor 5 Minuten schrieb cj_berlin: Wieso 2? Ich dachte, 1 wäre Local Intranet? Lt. Hilfetext zum GPO-Einstellung Liste der Site zu Zonenzuweisungen ist Intranet die Zone 1. Aber auch damit funktioniert es nicht bei mir. Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 13. November Melden Teilen Geschrieben 13. November vor einer Stunde schrieb cj_berlin: Wieso 2? Ich dachte, 1 wäre Local Intranet? Bring ich ständig durcheinander, bitte hilf mir über die Straße vor 2 Stunden schrieb EmmKay: Die Zonenzuweisung wurde erfolgreich auf dem Testsystem aktualisiert. Und wirkt sie auch? Dazu Internet Explorer starten, eine beliebige Datei auf dem Share öffnen (txt oder Dummy-html) und in den Eigenschaften nachschauen, in welche Zone die einsortiert wurde. Ist der einfachste mir bekannte Weg... BTW: Applocker ist nicht zufällig auch noch beteiligt? Am 12.11.2024 um 14:52 schrieb EmmKay: Get-Item myscript.ps1 -Stream 'zone.identifierr' Das doppelte r hinten ist hoffentlich nur ein Tippfehler im Forum? Zitieren Link zu diesem Kommentar
EmmKay 2 Geschrieben 14. November Autor Melden Teilen Geschrieben 14. November vor 15 Stunden schrieb daabm: vor 17 Stunden schrieb EmmKay: Die Zonenzuweisung wurde erfolgreich auf dem Testsystem aktualisiert. Und wirkt sie auch? Dazu Internet Explorer starten, eine beliebige Datei auf dem Share öffnen (txt oder Dummy-html) und in den Eigenschaften nachschauen, in welche Zone die einsortiert wurde. Ist der einfachste mir bekannte Weg... Die Werte unterhalb von HLM\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings werden entsprechend gesetzt. Zusätzlich habe ich in der Gruppenrichtlinie den Einstellung Sicherheitszonen: Nur Computereinstellungen verwenden aktiviert. (Der Wert Security_HKLM_only i.d. o.g Schlüssel wurde auf 1 gesetzt.) Leider alles ohne Erfolg. Die geöffnete Dummyhtmlseite von NETLOGON wurde der Zone Internet zugeordnet. Nachdem ich die Gruppenrichtlinie wieder deaktiviere habe, um die Domäne manuell zur Zone Lokales Intranet hinzufügen, wird das Skript anstandslos ausgeführt und die Dummyhtmlseite auch der Zone Lokales Intranet zugeordnet. vor 15 Stunden schrieb daabm: BTW: Applocker ist nicht zufällig auch noch beteiligt? Der Dienst Application Identity läuft nicht. vor 15 Stunden schrieb daabm: Das doppelte r hinten ist hoffentlich nur ein Tippfehler im Forum? Ja. Das war ein Tippfehler im Forum. Vielen Dank. Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 14. November Melden Teilen Geschrieben 14. November vor 2 Stunden schrieb EmmKay: Die Werte unterhalb von HLM\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings werden entsprechend gesetzt. Zusätzlich habe ich in der Gruppenrichtlinie den Einstellung Sicherheitszonen: Nur Computereinstellungen verwenden aktiviert. (Der Wert Security_HKLM_only i.d. o.g Schlüssel wurde auf 1 gesetzt.) Leider alles ohne Erfolg. Die geöffnete Dummyhtmlseite von NETLOGON wurde der Zone Internet zugeordnet. Nachdem ich die Gruppenrichtlinie wieder deaktiviere habe, um die Domäne manuell zur Zone Lokales Intranet hinzufügen, wird das Skript anstandslos ausgeführt und die Dummyhtmlseite auch der Zone Lokales Intranet zugeordnet. Dann ist wohl "irgendwas" in deinen Zonenzuordnungen nicht in Ordnung. Was, weiß ich nicht. Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 14. November Melden Teilen Geschrieben 14. November vor 3 Stunden schrieb EmmKay: Nachdem ich die Gruppenrichtlinie wieder deaktiviere habe, um die Domäne manuell zur Zone Lokales Intranet hinzufügen, wird das Skript anstandslos ausgeführt und die Dummyhtmlseite auch der Zone Lokales Intranet zugeordnet. Dann solltest Du jetzt in der Registy Details sehen und das so nachbauen können. Zitieren Link zu diesem Kommentar
EmmKay 2 Geschrieben 14. November Autor Melden Teilen Geschrieben 14. November Peinlicherweise habe ich den Fehler gefunden; Internet Explorer Enhanced Security Configuration war aktiviert. Zum Deaktivieren von Internet Explorer ESC habe ich bisher keine Einstellung in den Gruppenrichtlinien gefunden. Es doch richtig, dass ich die entsprechende Registierungseinträge per GPP setzen muss? Danke nochmal für Eure Hilfe. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.