CallRunAs funkt weder mit Encryption noch mit Plain-Password

[Gandrobar]

Guten Morgen,
wir haben das Problem das wir für ein Update einer Software nun eine reg.cmd Datei vom entsprechenden Server auf den Clients ausführen müssen. Auf den UNC-Pfad kommt der Agent mit SYSTEM natürlich nicht drauf. Also wollte ich CallRunAs mal testen.

Wenn ich es mit [Encryption] versuche, was wir ohnehin wollen, kommt folgende Meldung:

Code: Select all

29.11.2017 11:37:40, Section [Set:InstallMSI], Line 17: 
Kann Befehl 'CallRunAS /U:Domain\Benutzer /P:%PW% "\\winenaio\d$\osecm\clients\Zusatzkomponenten\ASV\osvhCsAddBenutzerGruppen\Reg.cmd"' nicht ausführen.
Fehler 1326!
OK

Das Password habe ich weiter oben über [Product] deklariert:

Code: Select all

[Encryption]
PW=*Kv}kxbo

Hier scheint er ein Problem mit der Encryption zu haben, da 1326 ja fehlerhafte Anmeldedaten sein sollen.
DAs Tool habe ich über die cmd gestartet und mit /setup Password benutzt.
Ich habe diverse User getestet. Überall kommt der Fehler Selbst als Domänen-Admin geht es nicht. Kennwörter sind natürlich die richtigen. Es sei denn ich muss im Encryption noch etwas anderes einstellen.

Wenn ich die Zeile mit blankem Passwort benutze kommt folgende Fehlermeldung:

Code: Select all

29.11.2017 11:47:42, Section [Set:InstallMSI], Line 17: 
Kann Befehl 'CallRunAS /U:Domain\Benutzer /P:Password "\\winenaio\d$\osecm\clients\Zusatzkomponenten\ASV\osvhCsAddBenutzerGruppen\Reg.cmd"' nicht ausführen.
Fehler 1008!
OK

edit: UAC ist übrigens per Gruppenrichtlinie deaktiviert

Mir gehen jetzt leider die Ideen aus. Kann mir eventuell jemand weiterhelfen was ich falsch mache?

Vielen Dank

Gruß
Sebastian

[r.wiegel]

Hallo Sebastian,

welche Empirum-Version ist im Einsatz? Was macht reg.cmd, nur Registry-Einträge setzen?.

Versuche erst z.B. cmd oder Notepad mit deinem Plain-Passwort auszuführen:
CallRunAS /U:Domain\Benutzer /P:feind "\\winenaio\c$\Windows\System32\cmd.exe"

Wenn es klappt, dann noch mal das Gleiche mit [Encryption] und %pw%.

[Gandrobar]

Hallo Roman,
danke für die Antwort.

Die Version ist: 16.1.3.4867

CMD starten klappt leider auch nicht.

Code: Select all

29.11.2017 14:36:26, Section [Set:InstallMSI], Line 18: 
Kann Befehl 'CallRunAs /U:Domäne\Benutzer /P:Password "\\winenaio\c$\Windows\System32\cmd.exe"' nicht ausführen.
Fehler 1008!
OK

[r.wiegel]

vielleicht doch so was mit psexec?
Call "%src%\psexec.exe" \\%computername% -u Domäne\Benutzer -p %pw% \\winenaio\c$\Windows\System32\notepad.exe
Call "%src%\psexec.exe" \\%computername% -u Domäne\Benutzer -p %pw% \\winenaio\d$\osecm\clients\Zusatzkomponenten\ASV\osvhCsAddBenutzerGruppen\Reg.cmd

[Gandrobar]

Mit psexec scheint er den Punkt einfach zu überspringen. Jedenfalls wird die CMD nicht ausgeführt.
Nutze ich hingegen den Matrix Package Editor und lasse die Setup.Inf darüber mit meinem Admin User laufen, wird die CMD gestartet und es funktioniert.
Über die übliche Verteilung leider nicht. Da ist es dann auch egal ob Admin oder nicht.

[f48614]

Hallo zusammen,

callrunas funktioniert soweit ich weiß im Systemcontext nicht und kann nur im Usercontext verwendet werden.

Du kannst aber im systemcontext ein mapping mit übergabe von user und passwort durchführen und dann auch per UNC pfad im systemcontext installieren.

Gruß
Thomas

[Gandrobar]

Kann ich das Mapping dann auch über die Encryption ganz normal Verschlüsseln?
Denn Klartext-Password geht nunmal gar nicht.

Beim Userteil bekomme ich leider exakt die gleichen Fehlermeldungen wie beim Eingangspost erwähnt.

Danke für die Tipps

[koepkel]

Hallo,
wir verwenden dieses auch im Systemkontext um auf Freigaben zuzugreifen.
Da sich die Benutzerdaten ändern können, haben wir Computervariablen erstellt und das PW verschlüsselt hinzugefügt.
Mit diesen Teilen kannst Du es testen

Code: Select all

[Environment]
SEE_MASK_NOZONECHECKS=1
VM_PW1=%%%V_MachineValuesPath%\%ComputerName%.ini,%ComputerName%,PW1_SETUP%%
VM_RunasUser=%%%V_MachineValuesPath%\%ComputerName%.ini,%ComputerName%,RunasUser%%


[Encryption]
PW1=%VM_PW1%

[Product]
;hier wird die Varibable mit dem Wert ersetzt
;ReplaceEnv Runasusername
;ReplaceEnv VM_PW1

ReplaceEnv VM_PW1
ReplaceEnv VM_RunasUser

[Install]

;Echo [Install]

Echo VM_PW1=%VM_PW1%
Echo PW1=%PW1%
;Echo VM_RunasUser=%VM_RunasUser%
;Echo CallRunAs /U:%VM_RunasUser% /P:%VM_PW1% C:\Windows\System32\Notepad.exe
;Echo CallRunAs /U:%VM_RunasUser% /P:%VM_PW1% %InstallFile% %InstallSwitch%

LG

Lars