Agent / Administrationsrechte des Anwenders

Moderatoren: MVogt, moderators

Antworten
empuser2
Beiträge: 10
Registriert: 03. Mär 2009, 17:15
Kontaktdaten:

Agent / Administrationsrechte des Anwenders

Beitrag von empuser2 » 03. Mär 2009, 17:46

Hallo zusammen,

ich möchte einer Datei im Windows-Profil des Anwenders die NTFS-Rechte ändern. Der Anwender soll nur noch die Datei lesen dürfen, damit er diese nicht ändern kann.
Nun gibt es aber einige Anwender die Administrationsrechte haben müssen, wenn ich aber eine Veränderung an der Datei per Empirum-Paket (Legacy) vornehmen möchte, habe ich genau in dieser Konstellation ein Problem. Da der Agent nun nicht unter seinem Kontext/Rechte das Paket installiert sondern mit denen des Anwenders, da dieser ja Administrationsrechte hat.
Wie kann ich Empirum/dem Agent/dem Paket mitteilen, das er dieses doch bitte unter dem Kontext des Empirum Agent/ mit dessen Rechte installiert?
Viele Grüsse,
Thorsten Beuner

Empirum 2008 Addon 1 HF06a

Benutzeravatar
mniemann
Administrator
Administrator
Beiträge: 574
Registriert: 25. Nov 2005, 17:03
Wohnort: Mainz
Kontaktdaten:

Beitrag von mniemann » 03. Mär 2009, 19:18

Hier gibt es auf konventionellem Weg nur die Möglichkeit im Depot die Einstellung von UseSetupService=2 auf 1 zu ändern.
2 = Installationen werden nur an den Empirum Agenten weitergegeben, wenn der angemeldete Benutzer nicht in der Gruppe der LocalAdmins ist
1 = Installationen werden immer an den Empirum Agenten weitergegeben

Problem hierbei ist jedoch, dass diese globale Einstellung dazu führt, dass nun keine Pakete mehr direkt nach Betriebssysteminstallation (Agent.bat) durchgeführt werden können. In der Agent.bat wird der Dienst installiert und danach wieder gestoppt. Installationen gelingen, da der für den AutoLogon verwendete Benutzer der lokale Admin ist.

Andere Möglichkeit: Die SetupCli.exe kann als "RunAsEmpAgent" verwendet werden. Alle Aufrufe, welche an diese EXE angehängt werden, werden dem Empirum Agent zur Ausführung weitergegeben. Man könnte also in der Setup.inf die SetupCli.exe aufrufen, mit der man wiederum eine Setup.exe / Setup.inf aufruft, die dann die Rechte setzen soll.

Wie SetupCli.exe verwendet wird, findet man in der Hilfe, welche man im Depot öffnen kann (EMC > Konfiguration > Software Management > Depot > [F1]) Hier einfach nach "verschlüsselte Anwendung" suchen.
Visit my Blog: "DiEW - Das inoffizielle Empirum Weblog" (http://www.diew.eu)

Martin Niemann
Manager Support (Service Management)

Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of matrix42 AG or of the support team.

empuser2
Beiträge: 10
Registriert: 03. Mär 2009, 17:15
Kontaktdaten:

Beitrag von empuser2 » 04. Mär 2009, 07:59

Vielen Dank für die schnelle Antwort!

Würde das heißen, wenn ich UseSetupService=1 gesetzt habe das z.B. der Aufruf aus der Agent.bat:

"Call \\%EmpirumServer%\Configurator$\User\Setup.exe \\%EmpirumServer%\Configurator$\Packages\matrix42\OS-Message\Install\Setup.inf /S0"

Dann auch nicht mehr funktionieren würde? Oder würde nur Pakete die über den SWDepot Aufruf installiert werden könnten nicht mehr installiert, wie z.B. bei diesem Aufruf aus der Agent.bat?:

"\\%EmpirumServer%\Configurator$\User\SWDepot.exe /I\\%EmpirumServer%\Values$\MachineValues\%%DomainName%%\%ComputerName%.ddc /B /F /S /Q /T2 /X10 /Z0"
Viele Grüsse,
Thorsten Beuner

Empirum 2008 Addon 1 HF06a

empuser2
Beiträge: 10
Registriert: 03. Mär 2009, 17:15
Kontaktdaten:

Beitrag von empuser2 » 04. Mär 2009, 08:31

Meinen Sie die "Software ManagementDeu.chm"? Dort habe ich leider nichts gefunden, auch nicht unter dem Suchbegriff setupcli"!
Viele Grüsse,
Thorsten Beuner

Empirum 2008 Addon 1 HF06a

Benutzeravatar
mniemann
Administrator
Administrator
Beiträge: 574
Registriert: 25. Nov 2005, 17:03
Wohnort: Mainz
Kontaktdaten:

Beitrag von mniemann » 04. Mär 2009, 08:59

letzters! Alle Installationsaufrufe über das SwDepot können nicht abgearbeitet, da das SwDepot diese unbedingt an einen nicht laufenden Agenten-Dienst zuweisen muss.

Rufe ich die Hilfe "Software ManagementDeu.chm auf und verwende in der Suche "verschlüsselte Anwendung" wird mir der korrekte Eintrag "verschlüsselte Anwendung erzeugen" angezeigt.

Vielleicht hangelst du dich selbst dort hin:
Software Management > Depot > Zusätzliche Befehle > Verschlüsselte Anwendung erzeugen
Visit my Blog: "DiEW - Das inoffizielle Empirum Weblog" (http://www.diew.eu)

Martin Niemann
Manager Support (Service Management)

Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of matrix42 AG or of the support team.

empuser2
Beiträge: 10
Registriert: 03. Mär 2009, 17:15
Kontaktdaten:

Beitrag von empuser2 » 04. Mär 2009, 09:48

Was spricht dagegen den Dienst einfach wieder in der Agent.bat zu starten? Ich teste dieses gerade aus und es werden alle Pakete installiert, der Dienst ist sauber gestartet und sonst kann ich auch keine weiteren Probleme erkennen. Ich finde im Moment keine Erklärung warum der Dienst gestoppt wird bzw. warum dieser anschließend nicht standardmäßig wieder gestartet wird.

Ich kann beim besten Willen nichts in der Hilfe finden. Ich habe die chm vom 31.03.2008. Evtl. liegt das daran. Ist aber auch nicht so wichtig.
Viele Grüsse,
Thorsten Beuner

Empirum 2008 Addon 1 HF06a

empuser2
Beiträge: 10
Registriert: 03. Mär 2009, 17:15
Kontaktdaten:

Beitrag von empuser2 » 05. Mär 2009, 07:54

Auch wenn UseSetupService=1 gesetzt ist und der Agent alle Rechte auf die Datei hat, kann er diese nicht ändern!? :?:
Viele Grüsse,
Thorsten Beuner

Empirum 2008 Addon 1 HF06a

Antworten

Zurück zu „Software Management“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 18 Gäste