Discussion:
Powershell
(zu alt für eine Antwort)
Maximilian Tescher
2010-04-30 05:34:04 UTC
Permalink
Hallo,

ich habe ein Problem bei dem ich nicht weiterkomme, hoffe jetzt das
Ihr mir ein Tipp oder eine passende Gruppe nennen könnt.

Auf unseren Systemen ist es dem Anwender nicht erlaubt in die Registry
zu schreiben, soweit ja noch gut. Nun muss ich ein Reg-File
importieren, was auch kein Problem bereitet wenn ich an der Maschine
bin und ich das Script zum Import als Admin laufen lasse.

Da ich nicht an alle Maschinen laufen möchte (und auch nicht kann),
wollte ich mit Powershell ein Script schreiben mit dem ich die RegKeys
auf der entfernten Maschine in die Registry schreiben kann, nur das
klappt nicht da ich nicht auf die Lösung komme den Zugriff als Admin
durchzuführen.

Im Prinzip muss ich mir ja "nur" ein Object mit Admin-Credentials
holen um dann darüber die Registry anzusprechen, aber ich komme
irgendwie überhaupt auf keine Lösung.

Könntet Ihr mir hier auf die Sprünge helfen?

Wäre toll und damit mein Tag gerettet bevor ich noch aus dem Fenster
im Erdgeschoss springe :-)


Viele Grüsse,
Maximilian
Thomas D.
2010-04-30 12:43:00 UTC
Permalink
Hallo,

wie kommst Du darauf, dass PowerShell die Lösung sei?
Das PowerShell Skript müsste doch auch mit administrativen Rechten
gestartet werden. Sofern Du also die Credentials nicht in das Skript
reinpacken möchtest, würdest Du weiterhin jeden Rechner besuchen müssen.

schon einmal daran gedacht, dass ganze per Active Directory, sprich GPO, zu
machen oder die Registry entfernt zu bearbeiten?
--
Grüße
Thomas
Maximilian Tescher
2010-04-30 15:19:03 UTC
Permalink
Hallo Thomas,

GPO etc scheidet aus da es nicht alle Rechner betrifft, leider...
Im Script möchte ich schon mit Get-Credentials den Dialog zur Eingabe
des Admin-Account anfordern und so weiter verwenden.

Daher suche ich nach der Möglichkeit die Registry als Object mit Admin-
Credentials zu binden und so die Registry zu bearbeiten.

Wäre eben schön da wir in unserer Gruppe künftig PowerShell verstärkt
einsetzen wollen.

Viele Grüsse,
Maximilian
Winfried Sonntag [MVP]
2010-04-30 17:31:47 UTC
Permalink
Post by Maximilian Tescher
GPO etc scheidet aus da es nicht alle Rechner betrifft, leider...
Und wo ist jetzt das Problem? Du kannst ein GPO ja mit einer Gruppe in
der sicherheitsfilterung einschränken.
Post by Maximilian Tescher
Im Script möchte ich schon mit Get-Credentials den Dialog zur Eingabe
des Admin-Account anfordern und so weiter verwenden.
Daher suche ich nach der Möglichkeit die Registry als Object mit Admin-
Credentials zu binden und so die Registry zu bearbeiten.
Und nächste Woche brauchst Du neue Turnschuhe.
Post by Maximilian Tescher
Wäre eben schön da wir in unserer Gruppe künftig PowerShell verstärkt
einsetzen wollen.
Aber doch nicht für sowas.

Servus
Winfried
--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: www.gruppenrichtlinien.de
Gruppenrichtlinien Mailingliste "gpupdate":
http://frickelsoft.net/cms/index.php?page=mailingliste
Thomas D.
2010-05-02 20:45:31 UTC
Permalink
Hallo,
Post by Maximilian Tescher
Im Script möchte ich schon mit Get-Credentials den Dialog zur Eingabe
des Admin-Account anfordern und so weiter verwenden.
Das würde doch bedeuten, dass trotzdem jemand mit administrativer
Berechtigung jeden dieser Rechner besuchen müsste.

Schreibe Dir in einer beliebigen Skriptsprache Dein Skript, was die
Änderungen durchführt. Erzeuge eine Verknüpfung, die nur als Administrator
ausgeführt werden darf. Besuche jetzt jeden Rechner und Du hast erreicht,
was Du offenbar wolltest.

Der richtige Weg wäre GPO zu instrumentalisieren.


P.s.:
http://blogs.msdn.com/powershell/archive/2009/04/23/v2-quick-tip-starting-a-new-elevated-process-from-a-powershell-script.aspx
--
Grüße
Thomas
Winfried Sonntag [MVP]
2010-04-30 17:34:48 UTC
Permalink
Post by Maximilian Tescher
Auf unseren Systemen ist es dem Anwender nicht erlaubt in die Registry
zu schreiben, soweit ja noch gut. Nun muss ich ein Reg-File
importieren, was auch kein Problem bereitet wenn ich an der Maschine
bin und ich das Script zum Import als Admin laufen lasse.
In welchem Zweig soll denn geschrieben werden? HKLM oder HKCR?
Post by Maximilian Tescher
Da ich nicht an alle Maschinen laufen möchte (und auch nicht kann),
Doch, Du willst es, Du weißt es nur noch nicht.
Post by Maximilian Tescher
wollte ich mit Powershell ein Script schreiben mit dem ich die RegKeys
auf der entfernten Maschine in die Registry schreiben kann, nur das
klappt nicht da ich nicht auf die Lösung komme den Zugriff als Admin
durchzuführen.
GPO.
Post by Maximilian Tescher
Im Prinzip muss ich mir ja "nur" ein Object mit Admin-Credentials
holen um dann darüber die Registry anzusprechen, aber ich komme
irgendwie überhaupt auf keine Lösung.
Sei froh.
Post by Maximilian Tescher
Könntet Ihr mir hier auf die Sprünge helfen?
Nutz die neuen Group Policy Preferences. Das hättest Du schneller
fertig gehabt, als hier ein Posting zu schreiben.
Post by Maximilian Tescher
Wäre toll und damit mein Tag gerettet bevor ich noch aus dem Fenster
im Erdgeschoss springe :-)
http://www.grurili.de/Vista/GPP_Group_Policy_Preferences.htm

Servus
Winfried
--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: www.gruppenrichtlinien.de
Gruppenrichtlinien Mailingliste "gpupdate":
http://frickelsoft.net/cms/index.php?page=mailingliste
Loading...