Agent / Administrationsrechte des Anwenders

[empuser2]

Hallo zusammen,

ich möchte einer Datei im Windows-Profil des Anwenders die NTFS-Rechte ändern. Der Anwender soll nur noch die Datei lesen dürfen, damit er diese nicht ändern kann.
Nun gibt es aber einige Anwender die Administrationsrechte haben müssen, wenn ich aber eine Veränderung an der Datei per Empirum-Paket (Legacy) vornehmen möchte, habe ich genau in dieser Konstellation ein Problem. Da der Agent nun nicht unter seinem Kontext/Rechte das Paket installiert sondern mit denen des Anwenders, da dieser ja Administrationsrechte hat.
Wie kann ich Empirum/dem Agent/dem Paket mitteilen, das er dieses doch bitte unter dem Kontext des Empirum Agent/ mit dessen Rechte installiert?

[mniemann]

Hier gibt es auf konventionellem Weg nur die Möglichkeit im Depot die Einstellung von UseSetupService=2 auf 1 zu ändern.
2 = Installationen werden nur an den Empirum Agenten weitergegeben, wenn der angemeldete Benutzer nicht in der Gruppe der LocalAdmins ist
1 = Installationen werden immer an den Empirum Agenten weitergegeben

Problem hierbei ist jedoch, dass diese globale Einstellung dazu führt, dass nun keine Pakete mehr direkt nach Betriebssysteminstallation (Agent.bat) durchgeführt werden können. In der Agent.bat wird der Dienst installiert und danach wieder gestoppt. Installationen gelingen, da der für den AutoLogon verwendete Benutzer der lokale Admin ist.

Andere Möglichkeit: Die SetupCli.exe kann als "RunAsEmpAgent" verwendet werden. Alle Aufrufe, welche an diese EXE angehängt werden, werden dem Empirum Agent zur Ausführung weitergegeben. Man könnte also in der Setup.inf die SetupCli.exe aufrufen, mit der man wiederum eine Setup.exe / Setup.inf aufruft, die dann die Rechte setzen soll.

Wie SetupCli.exe verwendet wird, findet man in der Hilfe, welche man im Depot öffnen kann (EMC > Konfiguration > Software Management > Depot > [F1]) Hier einfach nach "verschlüsselte Anwendung" suchen.

[empuser2]

Vielen Dank für die schnelle Antwort!

Würde das heißen, wenn ich UseSetupService=1 gesetzt habe das z.B. der Aufruf aus der Agent.bat:

"Call \\%EmpirumServer%\Configurator$\User\Setup.exe \\%EmpirumServer%\Configurator$\Packages\matrix42\OS-Message\Install\Setup.inf /S0"

Dann auch nicht mehr funktionieren würde? Oder würde nur Pakete die über den SWDepot Aufruf installiert werden könnten nicht mehr installiert, wie z.B. bei diesem Aufruf aus der Agent.bat?:

"\\%EmpirumServer%\Configurator$\User\SWDepot.exe /I\\%EmpirumServer%\Values$\MachineValues\%%DomainName%%\%ComputerName%.ddc /B /F /S /Q /T2 /X10 /Z0"

[empuser2]

Meinen Sie die "Software ManagementDeu.chm"? Dort habe ich leider nichts gefunden, auch nicht unter dem Suchbegriff setupcli"!

[mniemann]

letzters! Alle Installationsaufrufe über das SwDepot können nicht abgearbeitet, da das SwDepot diese unbedingt an einen nicht laufenden Agenten-Dienst zuweisen muss.

Rufe ich die Hilfe "Software ManagementDeu.chm auf und verwende in der Suche "verschlüsselte Anwendung" wird mir der korrekte Eintrag "verschlüsselte Anwendung erzeugen" angezeigt.

Vielleicht hangelst du dich selbst dort hin:
Software Management > Depot > Zusätzliche Befehle > Verschlüsselte Anwendung erzeugen

[empuser2]

Was spricht dagegen den Dienst einfach wieder in der Agent.bat zu starten? Ich teste dieses gerade aus und es werden alle Pakete installiert, der Dienst ist sauber gestartet und sonst kann ich auch keine weiteren Probleme erkennen. Ich finde im Moment keine Erklärung warum der Dienst gestoppt wird bzw. warum dieser anschließend nicht standardmäßig wieder gestartet wird.

Ich kann beim besten Willen nichts in der Hilfe finden. Ich habe die chm vom 31.03.2008. Evtl. liegt das daran. Ist aber auch nicht so wichtig.

[empuser2]

Auch wenn UseSetupService=1 gesetzt ist und der Agent alle Rechte auf die Datei hat, kann er diese nicht ändern!?