startup POWERSHELL script not running

[hagaluly]

startup POWERSHELL script not running

הסקריפט נראה כך
$hostname = hostname
(Get-BitLockerVolume -MountPoint C).KeyProtector | Out-File \\XXX\bitlockerkeys\$hostname.txt

המיני סקריפט הזה לוקח מפתחות RECOVERY של הביטלוקר ומאכסן אותם ברשת בקובץ TXT (אני לא מעוניין לאכסן אותם ב AD)

הכנתי GPO קטן תחת COMPUTER/STARTUP SCRIPT והרצתי
לא עובד

הרצתי ידנית ישירות מהתיקייה של ה GPO POLICY והכל עובד מעולה
הרצתי gpupdate /r ווידיתי שהמחשב חוטף את הפוליסי
החלתי אותו על DOMAIN COMPUTER והכל נראה סבבה
מה לעזאזל אני מפספס?!?!?

 

[F00D Is G00D]

שני דברים

1.לחתום את הסקריפט.
2. בוונידוס 8.1 ומעלה מייקרוסופט (הגאוניים!!) מעכבים את הריצה של ה logon script בחמש דקות בשביל לתת למשתמש את האשליה שה LOGON מהיר כשה sys admin אדיוט (או סתם לא אכפת לו שהסקריפט מעכב את הכניסה....).

 

[hagaluly]

לחתום סקריפט???

לגבי הריצה טיפלתי בהרצה מיידית דרך gpo. כבר נתקלתי בשטות הזו

 

[F00D Is G00D]

יאפ

אתה וודאי מכיר את פקודת ה ExecutionPolicy שיותר מדי אנשים עושים לה SET למשהוא - בלי לדעת מה הוא.
&nbsp
אז המנגנון הזה נועד שסקריפטים יוכלו לרוץ רק אם נחתמו ע"י code signer מורשה בארגון או בכל שרת CA שהמחשב סומך עליו.
הדיפולט בכל מחשב הוא כזה. אם שינית אותו באחד לא אומר ששינית בכולם. ואת האמת, אני לא יודע אם השינו הזה בכלל תופס על startup script או לא (אין לי מושג, צריך לבדוק).
&nbsp

 

[Motel]

שוב פעם הסאגה של ExecutionPolicy ?

&nbsp
אין צורך לשנות את הדיפולט כדי להריץ סקריפט שכתבת, רק על מה שהורדת מהאינטרנט. כבר דיברנו על זה מספר פעמים, כנראה אתה עובד בסביבה מוקשחת...
&nbsp

 

[hagaluly]

עוד צעד קדימה.....

הבנתי שסקריפטים שרצים מהLOGON רצים עם BAYPASS ככה שאם אתה יודע מה אתה עושה יש לך הרשאה להריץ מכל מחשב.

מה שאני לא בין זה
אני נמצא על מחשב של יוזר
הסקריפט רץ וזורק לוג ריק
אם אני עושה לוגין עם יוזר אדמין הכל עובד
אם אני מריץ מתוך הפרופיל של היוזר עם UNRESTRICTED הכל עובד

 

[hagaluly]

טוב זה חצי נפתר

אכן יש דיליי מטומטם עד שהסקריפט רץ (מסתבר שלא המתנתי מספיק)
הבעייה החדשה היא שאני לוגין עם יוזר דומיין אדמין הכל רץ יופי
שאני רץ עם משתמש רגיל הלוג נוצר אבל אין כלום בפנים (מניח שזה עיניין של הרשאות)
עכשיו אני מבין שהSHELL רץ עם הרשאות אדמין אז אני לא מבין למה הפקודה של הביטלוקר לא רצה תחתיו.... כי מקומית הכל עובד יופי

 

[hagaluly]

טוב הצלחתי להבין את הבעייה

אדמיניסטרטור מצליח להריץ
יוזר רגיל צריך set-executionpolicy unrestricted בשביל לרוץ
יש לך מושג לפני שאני חופר לעומר איך אני מריץ חד פעמי ונועל שוב רק לזמן הריצה של הסקריפט?

 

[F00D Is G00D]

אתה ייכול להריץ את ה powershell.exe עם ep שאתה שם כפרמטר....

אבל אתה בעצם שובר כאן מנגנון אבטחה אחרי מנגנון אבטחה

 

[hagaluly]

איך אני מכניס את זה?

ניסיתי להגדיר set-execution policy מתוך הסקריפט אבל זה לא פתר את הבעייה

 

[F00D Is G00D]

Powershell.exe -ExecutionPolicy WhatEver script.ps1

 

[Motel]

עשית Reboot ?

&nbsp
סקריפטים של STARTUP רצים אך ורק ב-STARTUP, לא דרך gpupdate או משהו אחר.
אגב, ברור לך שמה שאתה עושה סותר לגמרי את השימוש בביטלוקר?

 

[hagaluly]

הסביבה לא מוקשחת

ולמה אני נוגד את עיקרון הביטלוקר? ניסיתי גם logon וגם startup הסקריפט רץ ידני לא רץ דרך gpo למרות שהמחשב או המשתמש חוטפים את הפוליסי...