opsi-client-agent mit UAC und Remote_Service_Setup.cmd
Verfasst: 19 Mär 2012, 14:49
Hallo zusammen,
ich habe generell ein paar Fragen zum remote_service_setup.cmd unter Windows 7 64-bit.
Wir setzen das bei uns in den Loginscripten nach der Anmeldung ein und prüfen aber davor kurz, ob die opsiconfd.conf existiert. Wenn ja = nichts tun, wenn nein = install. All das übernimmt bei uns der Höchste Admin der Domäne, der mit der SID -500 am Ende. Das finden wir unschön und im Bezug auf die Sicherheit mehr als kritisch.
Aber jetzt die eigentliche Frage: Wieso kann nur der lokale Administrator mit der SID-Endung -500 oder der Domänenadmin mit der SID-Endung -500 den Client Agent installieren. Da der lokale Admin wie sich das Microsoft wünscht komplett deaktiviert ist, bleibt uns nur noch der von Microsoft als heilig angesehene Domänenadmin mit SID Endung auf -500. Dieser soll aber laut Microsoft FAQ ausschließlich zur Installation der Domäne verwendet und danach nie wieder angelangt werden.
Nur als Beispiel kann ein "normaler" Domänenadmin der sich in der Gruppe mit der SID -512 befindet nichtmal in C:\Windows was anlegen und somit auch nicht Zeile 42 die cmd.exe in cmd64.exe kopieren.
Der lokale -500 Administrator ist wie Windows 7 das wünscht deaktiviert! Das Thema tritt nur MIT aktivierter UAC auf. Diese wird ja aber in Zeile 41 deaktiviert, was ich aber nicht ganz verstehe wie das funktionieren soll, da die UAC ja erst nach einem Neustart aktiv werden kann. (Local Machine Zweig) Dieser Neustart erfolgt aber bis dahin noch garnicht. Also kann das eigentlich auch nicht die Lösung des Problems sein.
Wisst ihr Rat?
ich habe generell ein paar Fragen zum remote_service_setup.cmd unter Windows 7 64-bit.
Wir setzen das bei uns in den Loginscripten nach der Anmeldung ein und prüfen aber davor kurz, ob die opsiconfd.conf existiert. Wenn ja = nichts tun, wenn nein = install. All das übernimmt bei uns der Höchste Admin der Domäne, der mit der SID -500 am Ende. Das finden wir unschön und im Bezug auf die Sicherheit mehr als kritisch.
Aber jetzt die eigentliche Frage: Wieso kann nur der lokale Administrator mit der SID-Endung -500 oder der Domänenadmin mit der SID-Endung -500 den Client Agent installieren. Da der lokale Admin wie sich das Microsoft wünscht komplett deaktiviert ist, bleibt uns nur noch der von Microsoft als heilig angesehene Domänenadmin mit SID Endung auf -500. Dieser soll aber laut Microsoft FAQ ausschließlich zur Installation der Domäne verwendet und danach nie wieder angelangt werden.
Nur als Beispiel kann ein "normaler" Domänenadmin der sich in der Gruppe mit der SID -512 befindet nichtmal in C:\Windows was anlegen und somit auch nicht Zeile 42 die cmd.exe in cmd64.exe kopieren.
Der lokale -500 Administrator ist wie Windows 7 das wünscht deaktiviert! Das Thema tritt nur MIT aktivierter UAC auf. Diese wird ja aber in Zeile 41 deaktiviert, was ich aber nicht ganz verstehe wie das funktionieren soll, da die UAC ja erst nach einem Neustart aktiv werden kann. (Local Machine Zweig) Dieser Neustart erfolgt aber bis dahin noch garnicht. Also kann das eigentlich auch nicht die Lösung des Problems sein.
Wisst ihr Rat?
