2 Replies Latest reply on Sep 20, 2017 11:59 AM by Klaus Salger

    Benutzerteile von Admins

    Klaus Salger Expert

      Hi all,

       

      bin kürzlich über ein Problem gestolpert, das vielleicht dem einen oder anderen ebenfalls mal begegnen könnte oder begegnet ist.

      Es geht um die Ausführung von Benutzerteilen von Paketen bei Benutzern mit lokal administrativen Rechten.

       

      Wenn der Agent über GPO logon script gestartet wird, dann läuft der Agent immer im User Context - das ist gut.

      Wenn der Benutzer lokaler Admin ist, dann wird der Agent aber elevated (UAC) gestartet - das ist schlecht.

       

      Wenn der Agent elevated gestartet wird, dann wird auch der Autoinstaller-Prozess elevated gestartet und hat dann keine Rechte auf vom Benutzer gemappte Laufwerke.

      Wenn im Benutzerteil eines Pakets jetzt auf gemappte Laufwerke zugegriffen wird, dann scheitert das bei lokalen Admins.

       

      Lösung: Agent anders starten, z.B. per Run Key oder den Zugriff auch in diesem Fall ermöglichen per EnableLinkedConnections Policy.

       

      Ich habe meinen konkreten Fall incl. des Troubleshooting-Prozesses (the case of the...) im AXOQUENT Blog dokumentiert.

      Ein paar mehr Details gibt's also hier.

       

      Ciao

        Klaus

        • 1. Re: Benutzerteile von Admins
          derniwi Master

          Hallo Klaus,

           

          naja, das Problem mit lokalen Admins besteht ja schon lange, wenn Du Laufwerke im Logon-Skript verbindest. Dann bleibt eigentlich nur der Weg, die EnableLinkedConnection-Policy zu verwenden. Jedenfalls ist mit hier nichts anderes bekannt.

           

          Aber trotzdem versuche ich es uz vermeiden, die Laufwerksbuchstaben in Skripten zu verwenden, denn ein Benutzer kann durchaus diese ja geändert haben (also Verbindung getrennt und neu zugeordnet), oder manchmal macht das auch Probleme, wenn der erste Buchstabe, der verwendet wird, relativ weit vorne im Alphabet liegt, man noch zwei USB-Sticks und einen Multi-Kartenleser angeschlossen hat. Dann wird i.d.R. durch die Verbindung eines Netzwerklaufwerkes der Buchstaben eines solchen Gerätes überschrieben, aber wenn man die Verbindung trennt, käme man jetzt wieder an das richtige Gerät.

           

          Wie auch immer, lokale Administratoren haben Vor- aber auch Nachteile.

           

          Gruß

          Nils

          • 2. Re: Benutzerteile von Admins
            Klaus Salger Expert

            Hi Nils,

             

            ja, das Problem, dass man von elevated Prozessen nicht auf die mit dem normalen Benutzer gemappten bzw. authentifizierten Laufwerke zugreifen kann ist bekannt.

            Mir war allerdings bis vor kurzem nicht bekannt, dass der Agent (und alle anderen so gestarteten Prozesse) und damit auch der Installer bei lokalen automatisch elevated gestartet werden wenn der Start über ein GPO-Script erfolgt.

            Und falls das sonst noch jemandem nicht klar war  - jetzt ist es klar.

             

            Ciao

              Klaus