Re: caspol

Tech-Archive recommends: Repair Windows Errors & Optimize Windows Performance

Günter Prossliner <g.prossliner/gmx/at> schrieb:
Hallo Dirk!

ich möchte gerne mittes caspol die Rechte der Zone "Intranet" per
loginscript auf allen Rechnern einer Domäne auf "Full" setzen, weil
eine Applikation dies braucht. Aufruf ist: caspol.exe -m -ag 1.2
-zone Intranet FullTrust

Unter Admin kein Problem, als normaler User reichen die Rechte nicht.

Das dürfte daran liegen, dass ein normaler User für %WINDIR% keine
Schreibrechte hat. caspol.exe wirkt sich auf die .xml security
Konfigurationsdateien aus, welche im .Net Framework Runtime Config
Ordner (C:\Windows\Microsoft.Net\Framework\v....\CONFIG) liegen.

Welche Rechte brauche ich bzw. wie kann ichs noch automatisch
hinbekommen?

Vor allem Schreibrechte für dieses Verzeichnis. Ob es sinnvoll ist
diese dem User zu geben steht auf einem anderen Blatt. Als PowerUser
hat man darauf Zugriff.

Umgehen wirst Du das nicht können, da die CAS eine _zusätzliche_
Security - Schicht für der des Betriebssystems ist. .Net kann also
auf keinen Fall die NTFS - Security umgehen. Eventuell gibt es
Software zur Clientverwaltung, über welche sich Installationen mit
anderen Rechten durchführen lassen. Ist nicht so mein Thema.

Etwas würde mir noch einfallen: Du könntest ein Windows - Service
schreiben, welches als Admin läuft, und selbst caspol aufruft.

Moment ... gibt es nicht ein PsExec von Sysinternal, das das "behind
the scenes" macht? ==> Doch!

http://www.sysinternals.com/Utilities/PsExec.html

PsExec arbeitet AFAIK so, dass auf dem Remoterechner ein temporäres
Service registriert, gestartet und wieder entfernt wird. Die
Parameter erlauben die Angabe eines Usernamens.

z.B.:

pxexec \\computer -u DOMAIN\Administrator -p AdminPassword caspol.exe
-m -ag 1.2

pxexec \\* -u DOMAIN\Administrator -p AdminPassword caspol.exe -m -ag
1.2
\\* ==> alle Computer in der Domaine (VORSICHT!!! zuerst auf einem
testen!)


OK?
mfg GP


Hallo Günther,

vielen Dank für Deine ausführliche Antwort.
An psexec habe ich auch schon gedacht, mal sehen wie ich es umsetzte.
Problem ist, dass nie alle Rechner in der Domäne an sind und ich nie weiss,
ob ich alle erwischt habe. Alternativ bliebe loginscript, dann hätte ich
aber das (ein) Adminpasswort im Klartext drin stehen, auch nix.

Danke Dir!


--
--------------------------------------
Gruß
Dirk


.

Relevant Pages

  • Re: caspol
    ... Unter Admin kein Problem, als normaler User reichen die Rechte nicht. ... welche im .Net Framework Runtime Config Ordner ... PsExec arbeitet AFAIK so, dass auf dem Remoterechner ein temporäres Service ...
    (microsoft.public.de.german.entwickler.dotnet.framework)
  • (no subject)
    ... Look at the Navy-Marine Corps Internet, a contract ... Security is secuirty and penetration means exactly that. ... You just hit a sore spot w/ me...the CSI/FBI survey. ... it's probably an admin who has ...
    (comp.security.misc)
  • (no subject)
    ... Look at the Navy-Marine Corps Internet, a contract ... Security is secuirty and penetration means exactly that. ... You just hit a sore spot w/ me...the CSI/FBI survey. ... it's probably an admin who has ...
    (comp.os.ms-windows.nt.admin.security)
  • Re: Food for Thought
    ... Look at the Navy-Marine Corps Internet, a contract ... Security is secuirty and penetration means exactly that. ... that telling the reader to do a Google search for sources isn't going to ... it's probably an admin who has ...
    (microsoft.public.win2000.security)
  • Re: Grant Administrative Access to a Domain Controller
    ... Anyone with a good understanding of AD and Windows security will easily see ways of compromising the environment. ... Do not give enhanced rights to Domain Controllers to anyone you don't trust with Domain and/or Enterprise Admins. ... Just know that minimal access can be parlayed into even more access and try as you might, you cannot secure Active Directory from people with server operator or admin or several other levels of access rights on a DC. ...
    (microsoft.public.windows.server.active_directory)