Batchdatei mit erhöhten Rechten ausführen / Progress Netsetup Installation

[maxi_ybl]

Moin in die Runde,

ich hab aktuell die Problematik bei der Erstellung eines Skripts für eine netsetup Installation von einem Server.
Vorab ich habe es bereits kurzeitig versucht als normales Installationspaket zu erstellen, aber das erwies sich als schwieriger.
Bei unserem noch im Einsatz befindlichen Deployment System wird bei dem Job einfach der cmd pfad \\Server\...\...\setup.exe aufgerufen und dann mit weiteren Gui Parametern installiert.
Vorgehen:
Da wie gesagt das standard Installationspaket nicht funktioniert und die Installation auch standardmäßig auf Fehlerlaufen muss (Sche*** Programm), will ich so vorgehen.
1: Konfig Datei für Installation über Batch im Silent erstellt (funktioniert)
2: Batch erstellt (*\\Server\....\netsetup\setup.exe -psclogC:\temp\progress\ -s -f1C:\temp\progress\konf\conf.ini) (funktioniert)
3: Opsi Script erstellt das die beiden Dateien nach Temp ablegt und dann die Batch aus führt.
Skript:

Code: Alles auswählen

encoding=utf8


[Actions]
requiredOpsiscriptVersion >= "4.12.4.23"


;---- Kopiert Konfig und Setup nach Temp
Files_konf
;---- Kopiert Bach Dateien
Files_bach
;---- Rufft die Batchauf 
DosInAnIcon_Progress


[Files_konf]
copy -s "%ScriptPath%\Files1\*.*" "C:\temp\progress\konf"


[Files_bach]
copy -s "%ScriptPath%\Files2\*.*" "C:\temp\progress\inst"


[DosInAnIcon_Progress]
"C:\temp\progress\inst\progressinst.bat"

Funktioniert auch an sich gut; Die Dateien werden kopiert und richtig ausgeführt.
Händisch (CMD mit Admin Rechten gestartet) funktioniert auch alles.

Wenn ich jetzt das Opsi Paket ausrolle steht im Log
das größtenteils alles sauber durch läuft aber sobald die setup.exe aufgerufen wird
"Benutzername und Passwort falsch"
Das liegt vermutlich dran das beim ausführen der Batch ohne Adminrechte eine Sicherheitsabfrage kommt (ohne Authenfizierung)

Ich hab jetzt schon länger Recherchiert wie ich dem Script eventuell Admin Berechtigungen geben könnte. ( Im Forum und in der Doku )
Opsi Admin Template mit reboot ist schwierig weil wir eine Personalisierete FDE Verschlüsselung haben.
Des Weiteren habe ich versucht eine Verknüpfung auf die Batch (mit Adminrechten) mit zu kopieren und auszuführen; Selbes Problem andere Sicherheitsabfrage.

Da in unserem aktuel Deploymenttool das einfach mit erhöhten rechten ausgeführt werden kann, wäre meine Frage gibt es in Opsi nen weg das Skript nicht als "SYSTEM" laufen zu lassen.

Ich habe auch weitere Lösungsansätze probiert und sonst auch noch die genauen Logs falls nötig.
Abschließend die Batchdatei mit Klartext Authentikationdaten auszustatten kommt nicht wirklich in Frage.

[feltel]

Ja, SYSTEM hat per-default keinen Zugriff auf Netzwerk-Shares. Du könntest im AD einen Deployment-User erzeugen, der dann entsprechende Share- bzw. NTFS-Berechtigungen hat. Diesen könntest Du dann nutzen, um innerhalb des Install-Scripts den Share zu mounten und die Installation durchzuführen. Wir machen (noch) etwas in der Art für das Deployment von Microsoft365.

Das Paket hat u.a. diese zwei Properties, wo man den Usernamen und das Kennwort des Hilfsusers hinterlegen kann:

Code: Alles auswählen

Set $PasswordDeploymentHelper$ = GetConfidentialProductProperty("password_deployment_helper", "12345")
Set $UsernameDeploymentHelper$ = GetProductProperty("username_deployment_helper", "foo")

Damit kannst Du dann den Share mounten (und nach dem Ende auch unmounten):

Code: Alles auswählen

[DosInAnIcon_Mount_Installsource]
net use O: $installation_source$ /user:$UsernameDeploymentHelper$ $PasswordDeploymentHelper$ /PERSISTENT:no

[DosInAnIcon_Unmount_Installsource]
net use O: /delete

und (bei diesem Beispiel) über o: bzw. den UNC-Pfad hast Du dann Zugriff auf den Share.

[maxi_ybl]

Danke für die schnelle Antwort, habe das mit einem Kollegen Besprochen, weil wir zuvor eine ähnliche Idee hatten (ohne das Mounten) und es anprobiert

Neuer Nutzer wurde erstellt und Sicherheitsbrechtigung auf den Pfad gegeben
Versucht über CMD mit dem Nutzer zu mounten (funktioniert)
Opsi Skript angepasst (allerdings ohne $Set$)
sondern einfach mit ner DosinAcon direkt zum testen und Anmelde Daten

Im Log läuft jetzt auch alles Fehlerfrei durch und gibt durch Befehl wurde ausgeführt.
(zumindest beim mounten)
Aber auf der Testmaschine ist das neue Laufwerk nicht hinzugefügt nachdem das Skript durch ist
;; Ich habe noch nicht unmount in das Skript eingebaut weil es ums testen ging ;;
Wenn ich das Skript aber über Opsi Winst starten lasse auf der Testmaschine, dann wird das Laufwerk hinzugefügt
Jedoch kommt dann danach auch wieder die Windowssicherheitsabfrage, weswegen es nicht weiter geht.

Code: Alles auswählen

[DosInAnIcon_mountshare]
net use W: \\Server\... /user:name@domain password

Aber ich muss auch dazusagen:

Selbst als ich händisch das Netzlaufwerk über den CMD hinzugefügt hab und dann die Abgeänderte Batch gestartet kam (ohne Adminberechtigung)
Die Sicherheitsabfrage. Deswegen bin ich mir unsicher ob das mit dem mouten funktioniert

[feltel]

Das Mounten des Shares innerhalb des Scriptes ist ja auch nur so lange gültig wie die Session für SYSTEM aktiv ist. Danach ist das Laufwerk wieder weg und auch für (möglicherweise andere angemeldete User) ist das Laufwerk nicht zugänglich. Das ist in Windows per design so.

Kannst ja mal ausprobieren, indem Du eine DOS-Box als anderer User ausführen lässt, darin ein "net use ...." absetzt und gleichzeitig im Explorer schaust. Das Laufwerk, was Windows in der DOS-Box verbunden hat ist im Explorer (richtigerweise) nicht sichtbar/nutzbar/zugreifbar.

[maxi_ybl]

Hab heute noch etwas herumgetestet und an sich war vorher alles korrekt.
Problem war nur das ich im Share eine ebene höher gehen muss weil sonst die Installation direkt auf Fehler läuft.
Des Weiteren muss ich dann die config einmal an passen und das Skript etwas umschreiben. Teste ich dann alles am Monat.
Danke für die Hilfe
Im Anschluss folgt dann O365 da freu ich mich auch schon drauf ^^

[koepkek]

Hallo
nur zur Info, für das Office365 bieten wir auch ein Template für die Installation als Abo+ Paket an. Vielleicht wäre das eine Option für euch?
https://www.uib.de/de/support-schulung/ ... ick-to-run

Gruß Karsten