Configurazione UAC preferita in Aziende che utilizzano gli script di Login per mappare le unità?

Question

Configurazione UAC preferita in Aziende che utilizzano gli script di Login per mappare le unità?

#1 da (1 voti)
#2 da (1 voti)
#3 da (0 voti)
#4 da (0 voti)

7

In Windows 7, Vista e sistemi operativi più recenti, UAC impedirà agli script di accesso di mappare i dischi rigidi in modo che il seguente codice script di accesso non funzioni:

Dim WshNetwork
Set WshNetwork = WScript.CreateObject("WScript.Network")

WshNetwork.MapNetworkDrive "g:", "\\Saturn\data\"
WshNetwork.MapNetworkDrive "k:", "\\Saturn\stuff\"

Gli amministratori hanno alcune scelte quando si tratta di questo problema:

Disattiva controllo dell'account utente
Microsoft launchapp.wsf
Connessioni collegate
Preferenze dei criteri di gruppo
???

Quale approccio è l'approccio più pratico e sostenibile per fare in modo che gli script di login "funzionino" solo negli ambienti Enterprise?

Se la soluzione "più preferita" non è quella che le imprese stanno facendo nel mondo reale, quale approccio stanno adottando?

windows active-directory uac

posta random65537 27.04.2012 - 17:16

fonte

4 risposte

Leggi altre domande sui tag windows active-directory uac

Qual è la procedura migliore per la separazione delle zone affidabili da una DMZ con un singolo firewall? Programmazione ROP / Sfruttamento su ARM - Catena di gadget

score 1 · Answer 1

Usa PowerShell e imposta la modalità di esecuzione su AllSigned. È la migliore delle peggiori opzioni per i metodi di esecuzione di PowerShell, emette un certificato di firma del codice dalla CA interna e firma gli script di accesso.

(new-object -com WScript.Network).MapNetworkDrive("g:","\Saturn\data")
(new-object -com WScript.Network).MapNetworkDrive("k:","\Saturn\stuff")

Il valore predefinito di Powershell è l'esecuzione di asInvoker, quindi, a meno che non mi sbagli, dovresti eseguire il prompt di sans UAC.

score 1 · Answer 2

Che ne dici di chiamare il comando "net use" dal tuo script di accesso VBS?

Anche se lo script è eseguito sotto il token amministratore, tutti i programmi avviati dallo script verranno eseguiti con un token utente standard, il che significa che le unità mappate in questo modo saranno disponibili per l'utente.

Il tuo esempio potrebbe essere adattato in questo modo:

Set shell = CreateObject("Wscript.Shell")

shell.Run "net use g: \Saturn\data", 7, True
shell.Run "net use k: \Saturn\stuff", 7, True

(Il '7' fa in modo che il comando venga ridotto a icona, per evitare che il prompt dei comandi compaia sullo schermo e 'True' attende il completamento del comando prima di continuare)

score 0 · Answer 3

Non ho questo negli ambienti aziendali ma ne ho esperienza in un ambiente di piccole dimensioni.

Suggerirei la net use s: \server\share di base suggerita da Safado, ma se hai bisogno di logica ti consiglierei kixtart, mi è stato consigliato da un appaltatore di terze parti e tutto ciò che ho visto è stato impressionante, incluso logiche di base, mappature di unità e stampanti basate su un numero di variabili incluso OU, gruppi e nome del PC. Ha anche alcune funzionalità di sicurezza di base se si desidera negare agli utenti la possibilità di visualizzare la logica dello script di accesso.

score 0 · Answer 4

Il problema con cui io e molti altri mi sono imbattuto è se l'account utente del dominio fa parte del gruppo degli amministratori locali, quindi non verrà eseguito lo Script di accesso GPO risultante che non mapperà le unità / condivisioni di rete.

link

Ecco una discussione che stavo guardando .... NET USE non funzionerà in un oggetto Criteri di gruppo sia con Win 7 o Win 8, ma Ori potrebbe avere qualcosa che potrebbe funzionare, l'unico problema è che è un altro processo complesso rispetto a quello che dovrebbe funzionare senza un certificato.