andy
Hallo,
mein erster Beitrag, nachdem ich dieses Programm ausprobiert hatte.
Der erste Eindruck ist gut und ich bin begeistert das sich einer die Mühe macht der Probleme anzunehmen.
betreiben eine Kleine "Übungsdomäne" daheim, meine Familie sind meine User und ich deren admin! (ach was sie zu leiden haben... :D)
Um zb. manche Programme bzw. Spiele zum laufen zu bringen habe ich bisher Berechtigungen per GPO vergeben (registry zweige und Ordner/dateien) was sehr zeitaufwendig war, bis ich beschloss dieses Kleine Proggi zu verteilen.
Also schnell MSI gestrickt einstellungen vergeben, datei auf den 2003'er Dom-Controller.
Das war der Erste Schritt! leider Fehl anzeige, MSI-Packet war zwar gut aber ich wollte auch nicht das meine DAU's was davon mitkriegen.
Der Zweite anlauf:
1 - Gpo erstellen
2 - MSI dem Computer zuweisen (softwareeinstellungen)
3 - startscript erstellen (bat mit nix anderem als "Net localgroup SuRunner /ADD /comment:"Programme als Admin starten"
4 - Benutzer per "eingeschränkte Gruppen" in die Gruppe SuRunner (die ja zuvor per script local erstellt wurde) reinschiessen!
!!!! aber Vorsicht !!! wurde die funktion "Eingeschränkte Gruppen" noch nie benutzt, kann es sein das andere benutzer oder Gruppen von lokalen PC's wieder herausgeschmissen werden!!! die auf anderen wegen da erstellt wurden!!!
Nun meine Probleme bzw. Wünsche:
1- Die einstellungen werden per MSI nicht komplett übermittelt, zb. Administrator als datei inhaber oder andere.
2 - starte Als Admin eintrag und Systemsteuerungssymbol bleiben sichtbar obwohl verstecken angeklickt ist.
3 - Möglichkeit die Programmpfade per ADM Vorlage in die Registry reinzuschiessen oder noch besser auch einstellungen per ADM zu übermitteln. (ADM kann sich jeder selber stricken :) )
4 - Proggi komplett auf "Stealth" zu stellen, Die anwender sollten nix vermuten nur Programme starten.
5- ansonsten Vielen Dank für Programm, und wenn ich was tun kann dann bitte.
Andy.
Kay
Hallo Andy,
um gute Antworten zu geben muss ich zunächst relativ genau wissen/nachvollziehen, über was Du schreibst.
Ich verwende keine Domäne und habe auch keine Server-Lizenz (darum verwende ich keine Domäne), habe aber eine Test-Installation von MS-Server 2003 in einer VM. Test-Installationen von anderen Windows habe ich auch. Als ich (vor 2003) beruflich noch mit Servern und Software-Deployment zu tun hatte, war Microsoft SMS so schlecht, dass er von uns nicht benutzt wurde. Gruppenrichtlinien und AD waren zwar bekannt aber genau so schlecht zu verwalten. Deshalb habe ich mich damit nie richtig beschäftigen müssen. Mit eigener Software waren wir schneller am gleichen Ziel.
Läuft das Verteilen von Software/Rechten immer/meistens, wie in Deinen Schritten 1-4 des zweiten Anlaufs?
Wie kann ich das hier simulieren (um das SuRun-"Deployment" zu verbessern)?
Zu Deinen Problemen:
1.: Das ist Absicht. Der AdminOwner kann in Windows per GPO gesetzt werden. Die anderen Einstellungen, die nicht importiert werden, sind auch Windows-spezifisch. Es gab hier einige Diskussionen darüber in denen klar wurde, SuRun darf automatisch keine Windows-Einstellungen setzen. All diese Optionen sind aber per RegEdit bzw. "subinacl" aus einer Batch setzbar.
2.: Ist leider historisch so gewachsen und hat nur einen Grund: Wenn ich einen Link mit Kommandozeilen-Optionen starten will und das aus SuRuns Kontext-Menü-Erweiterung, bekomme ich die Kommandozeilenparameter nicht mit, sondern nur die EXE. Wenn ich SuRun in die Registry eintrage, bekomme ich die Kommandozeile voll aber alle sehen aber "Starte als Administrator". Das Ganze ist aber als "zu untersuchen" noch auf der ToDo-Liste in meinem Kopf. Ich möchte auch einen echten Stealth-Mode haben ;-)
3.: Was ist ADM? Die Programmpfade kannst Du selber stricken. Du brauchst nur Zugriff auf HKLM\Security, musst das MSI also als "SYSTEM" starten.
4.: hatten wir bei 2.
5.: Bitte gern: Wie kann ich ohne viel Zeitaufwand lernen, was ein AD-Admin so machen muss um Software zu verteilen und auf dem laufenden Stand zu halten? Wenn ich das weiß, kann ich das für SuRun erleichtern.
Es müßte IMHO auch möglich sein, SuRun komplett mit GPOs zu implementieren, dazu fehlt mir aber die genau Kenntnis, wie ich ein GPO erstellen und durchsetzen kann. Privilege Manager scheint das aber so zu machen.
andy
Hallo Kay,
Surun.msi habe ich mit Wininstaller LE auf einem "Sauberen" Rechner erstellt.
Habe Snapshot davor gemacht danach Surun installiert alle Häckchen gesetzt die ich habe wollte, und snapshot danach, aus der differenz wird dann ein Msi Packet gepackt.
dieses Packet wird in einer Freigabe "zb. meinserver\Install$" hinterlegt.
Danach erstelle ich eine GPO und weise dieses packet im "Software" zu, es wird auch vorm Anmelden installiert daher über "System konto".
In derselben GPO wird ein startscript erstellt mit der anweisung gruppe SuRunner zu erstellen, und weiter per "Eingeschränkte Gruppen" User dahin befördert.
Dies alles geschieht im Maschinenteil der GPO daher sind die Benutzerrechte der User zu mißachten, soweit klappt auch alles.
Zu ADM, es ist eine administrative vorlage um zb eigene Enstellungen per GPO zu verteilen, beispiel:
CLASS MACHINE
CATEGORY !!WindowsComponents
CATEGORY !!WMPCat
POLICY !!DisableSetupFirstUseConfiguration
KEYNAME "Software\Policies\Microsoft\WindowsMediaPlayer"
#if version >= 4
SUPPORTED !!SUPPORTED_WMP9
#endif
EXPLAIN !!DisableSetupFirstUseConfigurationExplain
VALUENAME "GroupPrivacyAcceptance"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END POLICY
POLICY !!PreventWMPDeskTopShortcut
KEYNAME "Software\Policies\Microsoft\WindowsMediaPlayer"
Eigens erstellte werden in die "GPO/Administrative Vorlagen" importiert (je nachdem Maschinen oder Userteil) und sind erst dann sichtbar wenn man die ansicht der GPO verändert. sonst sind nur die vollverwaltbare Adm's sichbar.
Man kann natürlich so eine wie oben stricken, oder eine wie ich die der "Holz und Hammer" methode entspricht und nur benötigte registry Parameter erstellt oder modifiziert oder löscht. (keinerlei IF Version abfragen etc...)
So könnte ich zb. in dem "HKLM/Software/Surun/optionen" die Programmpfade hinterlegen ohne das die Benutzer das merken.
Nun meine probleme:
Nach msi installation waren manche einstellungen/häckchen verschwunden bzw nicht mehr angehackt.
und "ausführen als" oder "Starte als admin" verraten dem anwender das da irgendwas im hintergrund läuft,
auch die PW abfrage erlaubt dem Benutzer sein eigenes kennwort einzugeben und schon kann er jegliches setup ausführen.
Man könnte Surun richtig per GPO steuern wenn in der Registry alle einstellungen abgebildet wären, zb.
"HKLM/software/Surun/Optionen". Reg_SZ "c:\programme\ccleaner.exe" (programmpfade)
und natürlich die Einstellparameter.
Die GPO's kannst du in einer vollfunktionierenden DNS Domäne (2003 Active Directory) den Clients zuweisen, und wenn alles richtig ist, ist fast jede einstellung zu übermitteln.
Alternativ kann man auch eine erstellte Adm Vorlage auch bei einem einzel PC importieren und testen:
XP>ausführen>gpedit.msc>Computerconfiguration(maschinenteil)>administrative Vorlagen (rechtsklick ansicht/filterung>"nur vollständig.... aushacken)) dann rechtsklick vorlagen hinzufügen und eine eigene zb. surun.adm hinzufügen.
der Editor meckert wenn an der ADM was nicht stimmt. :)
Andy
Kay
Sorry, dass ich mich lange nicht gemeldet habe. Hatte den Beitrag schon lange gelesen, aber noch keine Zeit zum Spielen gehabt.
Ich werde mir mal eine ADM machen und sehen, ob damit in HKLM\Security geschrieben werden kann.
Wenn das geht, kann man für alle SuRun Einstellungen ein ADM basteln.
Programmliste und Benutzer-Einstellungen würden so auch gemacht werden können.
Vielleicht kann man ja SuRun auch so verändern, dass man es nur auf dem PDC installiert und es sich selbst in der Domäne verteilt... aber dazu brauche ich Probierzeit.