Hallo zusammen,
ich habe generell ein paar Fragen zum remote_service_setup.cmd unter Windows 7 64-bit.
Wir setzen das bei uns in den Loginscripten nach der Anmeldung ein und prüfen aber davor kurz, ob die opsiconfd.conf existiert. Wenn ja = nichts tun, wenn nein = install. All das übernimmt bei uns der Höchste Admin der Domäne, der mit der SID -500 am Ende. Das finden wir unschön und im Bezug auf die Sicherheit mehr als kritisch.
Aber jetzt die eigentliche Frage: Wieso kann nur der lokale Administrator mit der SID-Endung -500 oder der Domänenadmin mit der SID-Endung -500 den Client Agent installieren. Da der lokale Admin wie sich das Microsoft wünscht komplett deaktiviert ist, bleibt uns nur noch der von Microsoft als heilig angesehene Domänenadmin mit SID Endung auf -500. Dieser soll aber laut Microsoft FAQ ausschließlich zur Installation der Domäne verwendet und danach nie wieder angelangt werden.
Nur als Beispiel kann ein "normaler" Domänenadmin der sich in der Gruppe mit der SID -512 befindet nichtmal in C:\Windows was anlegen und somit auch nicht Zeile 42 die cmd.exe in cmd64.exe kopieren.
Der lokale -500 Administrator ist wie Windows 7 das wünscht deaktiviert! Das Thema tritt nur MIT aktivierter UAC auf. Diese wird ja aber in Zeile 41 deaktiviert, was ich aber nicht ganz verstehe wie das funktionieren soll, da die UAC ja erst nach einem Neustart aktiv werden kann. (Local Machine Zweig) Dieser Neustart erfolgt aber bis dahin noch garnicht. Also kann das eigentlich auch nicht die Lösung des Problems sein.
Wisst ihr Rat?
opsi-client-agent mit UAC und Remote_Service_Setup.cmd
-
Valentino-46
- Beiträge: 284
- Registriert: 05 Aug 2011, 14:24
Re: opsi-client-agent mit UAC und Remote_Service_Setup.cmd
Hi,
Es ist vollkommen richtig das bei angeschaltetem UAC der Aufruf des service_setup.cmd fehlschlagen kann. Da aber in diesem Rahmen der UAC abgeschaltet wird funktioniert dann zumeist nach einem Reboot der zweite Versuch.
Die service_setup.cmd ist nicht für das massen rollout gedacht - dafür gibt es das opsi-deploy-client-agent script.
Und - na ja - es ist halt ein paradoxon wenn ein Rechner ohne vollen Zugriff administriert werden soll.
gruss
d.oertel
Da ist wohl die 'opsiclientd.conf' gemeintaber davor kurz, ob die opsiconfd.conf existiert
Es ist vollkommen richtig das bei angeschaltetem UAC der Aufruf des service_setup.cmd fehlschlagen kann. Da aber in diesem Rahmen der UAC abgeschaltet wird funktioniert dann zumeist nach einem Reboot der zweite Versuch.
Die service_setup.cmd ist nicht für das massen rollout gedacht - dafür gibt es das opsi-deploy-client-agent script.
Und - na ja - es ist halt ein paradoxon wenn ein Rechner ohne vollen Zugriff administriert werden soll.
gruss
d.oertel
Vielen Dank für die Nutzung von opsi. Im Forum ist unser Support begrenzt.
Für den professionellen Einsatz und individuelle Beratung empfehlen wir einen Support-Vertrag und eine Schulung.
Gerne informieren wir Sie zu unserem Angebot.
uib GmbH
Telefon: +49 6131 27561 0
E-Mail: sales@uib.de
-
Valentino-46
- Beiträge: 284
- Registriert: 05 Aug 2011, 14:24
Re: opsi-client-agent mit UAC und Remote_Service_Setup.cmd
Oh ja, das war natürlich die falsche Config File 
Danke für die infos. Hab jetzt laut Anleitung das ganze mit dem opsi-deploy-client-agent ausgerollt. Hat nach kleinen Modifikationen nun funktioniert.
Das Paradoxon scheint hier auch NICHT zu ziehen. Dh ich konnte einen ganz normalen Administrator nehmen und benötigte nicht den -500 Admin. So stelle ich mir das auch vor!
Danke also für den Tip! Ganz besonders gut find ich daran, dass er im Prinzip gar net neustarten will! Das lob ich mir!
Klasse! Wie gewohnt!
Danke,
Grüße Valentino
Danke für die infos. Hab jetzt laut Anleitung das ganze mit dem opsi-deploy-client-agent ausgerollt. Hat nach kleinen Modifikationen nun funktioniert.
Das Paradoxon scheint hier auch NICHT zu ziehen. Dh ich konnte einen ganz normalen Administrator nehmen und benötigte nicht den -500 Admin. So stelle ich mir das auch vor!
Danke also für den Tip! Ganz besonders gut find ich daran, dass er im Prinzip gar net neustarten will! Das lob ich mir!
Klasse! Wie gewohnt!
Danke,
Grüße Valentino