Seite 1 von 3
Benutzerkontensteuerung
Verfasst: 15 Mär 2012, 07:38
von djdodo
Guten Morgen!
Nachdem wir dem opsi-client-agent_4.0.1-26 ausgerollt haben, ist plötzlich wieder auf jedem Rechner die UAC oder Benutzerkontensteuerung aktiv.
Diese schalten wir per GPO aus, es wirkt aber nicht mehr.
Nur wenn ich ein gpupdate /force durchführe.
Woran liegt das?
Die UAC muss bei uns aus sein, da z.B. unser ERP-System mir Userrechten Dateien im Root-Verzeichnis ablegen muss.
Manche Oracle-Funktionen gehen mit UAC auch nicht mehr.
Re: Benutzerkontensteuerung
Verfasst: 15 Mär 2012, 08:31
von Valentino-46
Guten Morgen djdodo,
über den Opsi Config Editor kannst du den Opsi-Client-Agent doch ausrollen. Dort gibt es auf der Rechten Seite 4 Schalter. Einer davon ist "uac_level". 4 = low security und müsste eigentlich dann AUS sein.
Hast das schon getestet?
Grüße Valentino
Re: Benutzerkontensteuerung
Verfasst: 15 Mär 2012, 09:36
von djdodo
Naja, das habe ich jetzt auch gesehen.
Aber nun ist das Kind schon in den Brunnen gefallen...
Wie gesagt, trotz Gruppenrichtlinie ist die UAC an.
Ich möchte jetzt ungern den Client erneut ausrollen...
Re: Benutzerkontensteuerung
Verfasst: 15 Mär 2012, 09:53
von djdodo
Wenn ich die Properties global setzen will, bekomme ich für mehrere Rechner die Meldung:
Code: Alles auswählen
Thu Mar 15 09:51:57 CET 2012 -- Opsi service error: [Exception] ProductPropertyState needs existing file '/var/lib/opsi/config/clients/fih2288.fibro.local.ini' ident '{'objectId': u'fih2288.fibro.local', 'propertyId': u'allow_reboot', 'productId': u'opsi-client-agent'}', fileType 'ini'
Re: Benutzerkontensteuerung
Verfasst: 15 Mär 2012, 09:55
von Valentino-46
Oke soweit verstanden. Aber was hindert dich daran UAC über ein OPSI Paket zu deaktivieren? Hab ich da was noch nicht verstanden?
Das könntest du erstellen, bei allen ausrollen und dann wieder das Paket aufm OPSI Server deinstallieren...also nur eine Art temporäres Bereinigunspaket.
Hierzu müsstest du ja nur einen einzigen Registry Eintrag ändern, das dauert wenige Sekunden. Das hat den Vorteil, dass du deinen Opsi-Client nicht nochmal ausrollen musst, was natürlich zwingend einen Neustart zur Folge hätte und deshalb natürlich nicht "schön" wäre.
UAC Eintrag wäre ja dieser:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Eintrag EnableLUA auf 0 setzen dann ist UAC deaktiviert. Da es ein Local Machine Eintrag ist denke ich ist das easy.
Dann aber trotzdem nicht vergessen alle Clients zu markieren und über den Produktkonfigurator den UAC Level umstellen. Du willst dann zwar nicht das setup auch ausführen, aber die Schalterkonfiugration kannst du dir ja schonmal einstellen und mit dem grünen Haken sichern, damit wenn du irgendwann mal einen opsi-client-agent nochmal updaten willst nicht das UAC WIEDER aktiviert wird.
Meinst das wär ne Lösung?
Alternative wäre natürlich einfach überall ein gpupdate /force zu machen. Aber da ist sicher das temporäre Bereinigungspaket das bessere...
Hoffe ich konnte helfen. Sonst schreib wieder ^^
Re: Benutzerkontensteuerung
Verfasst: 15 Mär 2012, 10:04
von Valentino-46
djdodo hat geschrieben:Wenn ich die Properties global setzen will, bekomme ich für mehrere Rechner die Meldung:
Code: Alles auswählen
Thu Mar 15 09:51:57 CET 2012 -- Opsi service error: [Exception] ProductPropertyState needs existing file '/var/lib/opsi/config/clients/fih2288.fibro.local.ini' ident '{'objectId': u'fih2288.fibro.local', 'propertyId': u'allow_reboot', 'productId': u'opsi-client-agent'}', fileType 'ini'
Ich denke das könnte daran liegen, dass das aktuelle opsi-client-agent paket auf dem rechner noch nicht installiert ist und somit in der config die properties dazu noch gar nicht eingetragen sind und er sie somit auch nicht setzen kann? Das könnte ich mir vorstellen...Die datei selbst gibts aber schon oder???
Es gibt dazu noch folgenden Eintrag, vielleicht hilft der dir ein wenig weiter. Hier will jemand ProductProperties setzen...:
https://forum.uib.de/viewtopic.php?f=7&t=2214
Re: Benutzerkontensteuerung
Verfasst: 15 Mär 2012, 10:08
von Valentino-46
Geh mal in /var/lib/opsi/config/depots
fih2288 ist dein depotserver oder? dann müsste hier seine config natürlich liegen und dort drin dann ein Eintrag zu:
[opsi-client-agent-install]
allow_reboot = [true]
loginblockerstart = ["off"]
on_uninstall = ["deactivate"]
uac_level = ["2"]
schau mal ob hier alles "sauber" ist
Re: Benutzerkontensteuerung
Verfasst: 15 Mär 2012, 10:27
von djdodo
Der FIH2288 ist ein Client.
Die Datei existiert nicht.
Aber selbst wenn ich eine bestehende Datei kopiere und unter diesem Namen speicher, funktioniert es nicht.
Es handelt sich um etliche Rechner!
Re: Benutzerkontensteuerung
Verfasst: 15 Mär 2012, 10:37
von d.oertel
Hi,
ein paar Anmerkungen:
1. der opsi-client-agent stellt im aktuellen Default die MS Default einstellungen wieder her und rebootet dann.
Wenn es eine GPO gibt die den UAC ausschaltet müsste diese beim nächsten start dies auch tun. Mir ist nichts bekannt, wie opsi eine GPO bei der Arbeit behindern könnte.
2.
Was meinst Du mit:
Wenn ich die Properties global setzen will
Zum setzen der Defaultproperties am besten das Produkt auf dem Server neu einspielen mit
opsi-package-manager -p ask -i <package file>
3.
Die Fehlermeldung
needs existing file '/var/lib/opsi/config/clients/fih2288.fibro.local.ini
deutet auf Probleme im file backend hin - gibt es den Client ? gibt es die Datei ?
gruss
d.oertel
Re: Benutzerkontensteuerung
Verfasst: 15 Mär 2012, 10:46
von djdodo
Den Client gibt es, er ist auch online.
Die genannte Datei gibt es nicht.
Wie erwähnt habe ich eine Datei dieses namens erstellt (kopiert von anderm Client, IP-Adresse daraus entfernt)
Global setzen heißt,
Alle Clients markieren ->
Produktkonfiguration ->
opsi-client-agent ->
Konfiguration für Client ->
uac_level auf 4
Wie ändere ich denn die Default-Werte um das Paket dann neu auf den Server zu schieben?
Ich habe doch nur die .opsi-Datei.