Hallo Nils,
>> [...]
>> Aber wie kann man ein solches Tool laufen lassen?
>
> Das kommt darauf an, was du denn eigentlich erreichen willst. Das Setzen
> der Systemvariable ist ja auch nur ein Mittel - welcher Zweck steht
> dahinter?
Im Prinzip waere es fuer einige meiner Scripte
nuetzlich wenn man die WANIP aus dem Environment
einfach auslesen koennte.
Es hat aber auch einen theroetischen Hintergrund und ich
bin einfach an diesen Dingen und wie/ob es funktioniert
interessiert :-)
Also geht es oder gibt es da absolut keine Moeglichkeit.
Und es geht auch aus dem HKCU\Environemnt, aber ich
denke es kann doch sehr nuetezlich sein wenn man "solche"
Umgebungsvariablen beim Systemstart setzen koennte.
Eben dessen Werte erst dann abgerufen werden koennen.
In diesem Beispiel halt die WAN-IP
Z.B. habe ich einen ssh server laufen und wenn der
Rechner (Server) einfach hochgefahren ist, koennte man
sich remote einloggen, ohne das der gleiche User sich
am Rechner einloggen muss, um eine solche oder andere
Umgebungsvariable nutzen.
Was meinst du denn mit anderer Moeglichkeit?
Also "Wie laesst man das Tool setx laufen und wie
kann das Tool, bzw. der ausfuehrende user, dann
auf den HKLM\[...]Environment Zweig waehrend des
(Rechner) Startups _schreibend_ zugreifen"
> Eine Möglichkeit wären z.B. die GPP, wenn es denn vom Konstrukt her
> passt. Aber um das zu beurteilen, muss man wissen, was du vorhast.
>
> [GPP - Group Policy Preferences - Gruppenrichtlinien Einstellungen]
> http://www.grurili.de/Vista/GPP_Grou...references.htm
Ich habe das Gefuehl das die GP wohl die einzigste
Moeglichkeit sind Alles was ich da versucht habe funkt nicht.
Aber das wirkt noch recht komplex auf mich.
Durch den Hinweis von Hans-Peter, habe ich mir die
Tools psexec und runasspc angeschaut.
Danmit geht es mit beiden Tools auch prima in der
Kommandozeile und auch mit einem
_normalem_ User per setx auch im HKLM\[...]\Environment
eine Umgebungsvarable zu setzen. Allerdings nur wenn
man eingelogt ist und nicht beim Rechnerstart :-(
Oder auch beim Login GPO->[..User..]->Scripts(Login/Logoff)
Dabei ist es wohl _zwingend_ (man korrigiere mich) erforderlich
im Registyzweig die Rechte Query, Set, Create Subkey und
ReadControl fuer einen User zu setzen. Unabhaengig ob es
ein User aus der Gruppe Adminsitraors (mit UAC) ist oder ein
normaler User ist.
btw: Mich irritiert hier das es kein einfaches
"Schreibrecht gibt" und man "Create Subkey" waehlen
muss, damit man darin Werte schreiben kann. Das doofe
ist das so auch Subkeys (was ja eventuell nicht
erwuenscht ist) erzeugt werden koennen. Auch ist es
verwirrend das es ein extra Set Recht gibt, das aber
alleine nicht funkt...
per psexec geht es prima so:
psexec.exe \\%COMPUTERNAME% -u batchusr -p batchpw \
-e -w C:\bat setx.exe WANIP /f _wanip_.dat /a 0,0 /m
wobei in _wanip_.dat die IP Adresse ist (ohne CRLF)
und vorausgesetzt das die Rechte fuer den ausfuehrenden
User in der Registry gesetzt sind.
btw: Wie kann ich ueber die Kommandozeile (batchscript)
Rechte in der Registry setzen? Mit dem Tool cacls.exe
Oder eignet sich hier (geht es nur) ein tool aus den
versch. Support tools und reskits besser? Hier habe ich
auch immer das nervige UAC Problem und das ein Fehler
kommt, aber keine Aufforderung zum Erhohen der Rechte
Wie gestaltest du als Profi Scripte (egal ob auf das
Dateisystem oder Registry) die in einem Rutsch die Rechte
von gewissen Verzeichnissen, etc. setzen/wiederherstellen
sollen? Im professionelem Umfeld kommt das doch sicherlich
haeufiger vor und man macht das nicht per Hand - oder?
Mit runasspc geht es auch prima mit dem crypt-file
Vorteil hierbei ist das verschluesselte Passwort. Allerdings
ist die Nutzung von psexec IMHO auch im kommerziellen
Umfeld kostenlos und runasspcadmin ist auf meinem System ein
paarmal abgesemmelt und hat alle bisherigen Einstellungen
dabei geloescht...
Dennoch: Schlussendlich scheitert es daran, das die
Scripte nicht ausgefuehrt werden (sollen/koennen?),
wenn diese beim Rechnerstart, also:
GPO-Editor->Computer Configuration->Windows Settings->
Scripts(Startup/Shutdown), eingetragen sind :-(
> Geht nicht. Soll auch nicht gehen.
Warum nicht und was kann ich da noch tun, bzw. wie
macht man das denn sonst?
GPO finde ich noch heftig verwirrend. Kannst du das mal
anhand von diesem (setx) Beispiel beschreiben?
btw: Das von Hans-Peter erwaehnte Verfahren des TaskShedulers
funktioniert leider auch nicht. Ich denke das es ein Problem
gibt das diese Tools nicht laufen/starten koennen, wenn diese
beim Rechnerstart gestartet werden sollen, bzw. keine Console
haben, oder?
>> Ich habe auch versucht das Tool ueber die Properties
>> mit den Eigenschaften "Als Adminsitrator ausfuehren"
>> zu versehen. Aber auch das hilft nicht. Ist ja auch
>> disabled...
>
> Das hat nichts miteinander zu tun. "Als Administrator" meint je nach Modus
> irgendein Adminkonto bzw. das Freischalten der vorhandenen Adminrechte.
> Siehe Link unten.
ja, das UAC finde ich imemr wieder irritierend .
Ich verstehe nur nie warum sich ein User in der
Gruppe Adminstratoren befindet und offensichtlich
mehr kann als ein "normaler" User darf (oder doch nicht?
Aber warum gibt es dann diese Gruppe noch, bzw. waeren
dann die Optionsangabe "Als Administrator" bei den
Properties ueberfluessig - nicht?), aber bei
manchen Dingen scheitert....
Wenn ich z.B. als Adminbenutzer (mit UAC) ein
ntrights -u batchusr +r SeBatchLogonRight
ausfuehren will, dann geht das mit einem
---snip---
Granting SeBatchLogonRight to batchusr OpenPolicy:
***Error*** OpenPolicy -1073741790
---snap---
schief und ich werde auch
nicht zum Bestaetigen zum Erhohen der Rechte aufgefordert
Dann muss ich erst auf Kommandozeile und "run as Adminstrator"
gehen damit ich "volle" Rechte habe.
Wenn die Adminrechte fuer ein Administratorkonto
(ein user den in der Gruppe Administratoren ist) freigeschaltet
werden. Dann sollte dieser doch alles machen koennen.
Das geht aber wie eben beschrieben nicht, bzw. werde
ich nicht aufgefordert...
btw: Wie kann ich einen Link fuer eine Kommandozeile
anlegen, die mir automatisch das "Runas Administrator"
ausfuehrt. Ohne das ich nochmal aufgefordert werde?
So geht es ja nicht:
Runas /noprofile /savecred /user:Administator cmd.exe
>> btw: Gibt es nicht ein Tool das "normale" Programme
>> quasi zur Ausfuehrung und fuer solche Zwecke in einen
>> erhoeten Sicherheitskontext setzen kann, so das diese
>> dann (als Adminstrator) automatisch auszufuehren gehen?
>
> Geht nicht. Soll auch nicht gehen.
Ja mit dem wie von Hans-Peter erwaehntem Verahren ueber TaskSheduler
geht es auch nicht ... Aus irgendweinem Grund werden die
Programme nicht ausgefuehrt oder das Schreibrecht fuer den
batchusr gilt nicht bei Rechnerstart... egal ob ueber einen Starup
Eintrag per GPO oder ueber den TaskSheduler... Kann mir das moemtan
nich anders erklaeren...
> Das geht grundsätzlich, und zwar genauso wie auch bei Dateien oder
> Ordnern.
Ja, das komische ist nun das ich zwar dem user
die Schreibrechte erteilt habe, aber das es wie oben
beschrieben dennoch nicht geht...
Alles nicht ganz so trivial wie ich mir das zu Anfang
vorgestellt habe...
Thomas
Linear Mode
