Exécuter patch(exe) depuis poste sur domaine -no privilège [Activ Dir] - Windows & Software
Marsh Posté le 09-06-2004 à 20:32:51
Tu peux essayer de voir si tu ne peux pas deployer ton patch via les options de déploiement d'applications de l'AD.
Sinon tu peux egalement dans ton script lancer l'installer de ton exe avec psexec, mais ca implique que tu rentres en clair dans ton script le login/mdp d'un compte ayant le droit d'installer des applis sur les stations.
Marsh Posté le 09-06-2004 à 20:35:13
Merci El Pollo Diablo
Je me demandais jsutement si on pouvais lancer, à partir d'un script, l'equivalent d'un "Executer en tant que..."
Marsh Posté le 09-06-2004 à 20:35:52
El Pollo Diablo a écrit : Tu peux essayer de voir si tu ne peux pas deployer ton patch via les options de déploiement d'applications de l'AD. |
runas en gros
Sinon je pense que la première chose dont tu parles est le déploiment d'archives msi c'est ça ?
Marsh Posté le 09-06-2004 à 20:37:42
finality182 a écrit : runas en gros |
Sauf que contrairement a runas, on peut avec psexec mettre le mdp directement dans la ligne de commande.
Citation : Sinon je pense que la première chose dont tu parles est le déploiment d'archives msi c'est ça ? |
Voila, sachant qu'il existe des outils pour créer des msi si ton patch n'est pas dans ce format.
Marsh Posté le 09-06-2004 à 20:41:45
El Pollo Diablo a écrit : Sauf que contrairement a runas, on peut avec psexec mettre le mdp directement dans la ligne de commande.
|
je suis absolument d'acord, le mdp doit être entré avec runas, c'est embétant pour un script.
Pour les packages msi, j'aimerais tout de même comprendre pourquoi une archive msi aurait les droits de s'exécuter correctement sur un poste, alors que la meme archive exe n'a pas ces droits (autorisations)
Marsh Posté le 09-06-2004 à 20:43:55
ReplyMarsh Posté le 09-06-2004 à 20:45:08
finality182 a écrit : correctif sécurité windows. |
Ha ben dans ce cas, SUS c'est pas juste fait pour faire des jeux de mot vaseux : http://forum.hardware.fr/forum2.ph [...] =0&subcat=
Marsh Posté le 09-06-2004 à 20:47:14
El Pollo Diablo a écrit : Ha ben dans ce cas, SUS c'est pas juste fait pour faire des jeux de mot vaseux : http://forum.hardware.fr/forum2.ph [...] =0&subcat= |
non tout un script a déja été rédigé longuement et durement , il me faut passer par un script, qui lance un patch sur un ordinateur du domaine, avec un compte sans privilèges spéciaux.
Je vais cependant essayer avec l'archive MSI, mais j'aimerais quand même comprendre pourquoi une archive msi aurait les privilèges, et pas l'exectutable..
Marsh Posté le 09-06-2004 à 20:48:51
kill9 a écrit : Grilled by El Pollo Diablo d'au moins 2mn |
disons que sa réponse m'avait l'air plus orientée "résolution de mon problème"
Marsh Posté le 09-06-2004 à 20:49:08
finality182 a écrit : non tout un script a déja été rédigé longuement et durement , il me faut passer par un script, qui lance un patch sur un ordinateur du domaine, avec un compte sans privilèges spéciaux. |
je pense parceque l'archive msi est considere dans ce cas au meme titre qu'un GPO
Marsh Posté le 09-06-2004 à 20:51:54
ReplyMarsh Posté le 09-06-2004 à 20:53:33
finality182 a écrit : non tout un script a déja été rédigé longuement et durement , il me faut passer par un script, qui lance un patch sur un ordinateur du domaine, avec un compte sans privilèges spéciaux. |
Oui mais bon, s'il existe une solution simple et qui marche pour faire ce que tu veux, faut peut etre pas trop s'obstiner a vouloir conserver le systeme actuel.
Citation : Je vais cependant essayer avec l'archive MSI, mais j'aimerais quand même comprendre pourquoi une archive msi aurait les privilèges, et pas l'exectutable. |
Une archive msi ne donne pas plus ou moins de droits qu'un exe, si tu as compris que dans ton script en allant chercher le msi a la place de l'exe il s'installera c'est que je me suis mal fait comprendre, ce n'est pas le cas du tout.
Par contre tu peux deployer les archives MSI via les GPO et l'AD, ou c'est l'admin qui décide quels sont les postes et/ou utilisateur qui doivent l'installer, la question des droits de l'utilisateur ne rentre pas du tout en ligne de compte par ce moyen.
Marsh Posté le 09-06-2004 à 21:02:07
El Pollo Diablo a écrit : Oui mais bon, s'il existe une solution simple et qui marche pour faire ce que tu veux, faut peut etre pas trop s'obstiner a vouloir conserver le systeme actuel.
|
J'avais bien compris que c'était en utilisant "Paramètres du logiciel >> Installation de logiciel" dans GPMC.
Mais à partir du moment où la procédure "GPMC MSI" installera une archive, alors que la même archive en exécutable n'aura pas les droits, il y a quand même une notion de droits en quoi la procédure MSI laissera l'ordinateur sur le domaine l'exécuter, et pas le script avec l'exécutable.
Idée : la procédure MSI doit exécuter en interne un runas avec les privilèges sur l'ordinateur connecté au domaine.
Sinon, tu pensais à quel utilitaire pour convertir un exe en msi ? (WinINSTALL Discover ?)
Marsh Posté le 09-06-2004 à 21:08:26
finality182 a écrit : J'avais bien compris que c'était en utilisant "Paramètres du logiciel >> Installation de logiciel" dans GPMC. |
Ca n'a rien a voir, l'installation de cette facon ne se fait pas de la meme facon qu'un bete double clique, elle est faites par des comptes systemes.
Citation : Idée : la procédure MSI doit exécuter en interne un runas avec les privilèges sur l'ordinateur connecté au domaine. |
C'est pas comme ca que ca marche, mais le resultat est la : on se fout des droits de l'utilisateur connecté pendant l'install, si l'admin dit qu'il faut deployer une appli sur un poste l'appli sera déployée sur ce poste, point barre.
Citation : Sinon, tu pensais à quel utilitaire pour convertir un exe en msi ? (WinINSTALL Discover ?) |
Y'a Wininstall Lite de fourni sur le CD de 2k.
Mais franchement je persiste a dire que tu compliques la vie pour rien, SUS ca marche au poil.
Marsh Posté le 09-06-2004 à 22:36:25
ok bon, je viens de réaliser beaucoup de test :
j'ai essayé de mettre une archive msi en guise de test dans une GPO, en éditant la gpo avec GPMC ainsi : "Paramètres du logiciel >> Installation de logiciel". J'ai mis l'archive msi, gpupdate, puis je logue un ordinateur sur le domaine, je ne vois rien se lancer ...
Plusieurs tests .. rien : /
Marsh Posté le 10-06-2004 à 14:10:09
On peut donner des privilèges d'administrateur au deploiement MSI :MODELES D ADMINISTRATION >> COMPOSANTS WINDOWS /WINDOWS INSTALLER / TOUJOURS INSTALLER AVEC DES DROITS ELEVES
Je ne guarantis pas que cela fonctionne pour T patchs mais en ce ki me concerne (deploiment logiciel) c genial
eXarkun
Marsh Posté le 09-06-2004 à 20:29:33
Bonjour,
un contrôleur de domaine est installé, avec base Active Directory.
Une GPO est chargé de faire exécuter un script a chaque démarrage de chaque ordinateur se loguant sur le domaine.
Problème : le script va exécuter un programme (patch) qui se trouve sur le contrôleur de domaine. Malheureusement, l'ordinateur (de test) se loguant sur le domaine est un Utilisateur (sans privilèges). Il n'a donc pas les autorisations pour exécuter ce programme, qui dès qu'il se lance, alerte qu'il n'a pas les autorisations.
Quelqu'un a-t-il une solution ? (j'espere avoir été clair)