HKCU Registry Key bei jeder Anmeldung schreiben

[kallii]

Hallo, ich würde gerne bei jeder Useranmeldung einen Task bzw. ein Script starten, welches Userbezogen einen HKCU (Current User) Registry Key erstellt. Leider funktioniert das ganze nur, wenn ich es manuell starte. Wie kann ich beispielsweise einem Task mitgeben, dass dieser je nach User der sich anmeldet auch mit dessen rechten gestartet wird?

Ist es ohne Admin Rechte für einen User überhaupt möglich einen Registry Key im CU zu erstellen ? Eigentlich schon oder?
Ich hab natürlich die Möglichkeit den Task als lokalen oder als Domänen Admin anzulegen..

 

[ntloader]

Was genau willst du damit erreichen? Einen Task als Domänen Admin anlegen lass mal lieber sein.

 

[eightcore]

Warum nicht per Gruppenrichtlinie?

 

[Zensai]

Per GPOs vermutlich....

Im HKCU kann man aber auch Werte als User eintragen. Da muss dann halt jedesmal der User sein Passwort ein zweites mal eingeben. (Zumindest war das mal so, falls es nicht mehr so ist bitte ich um Korrektur )

 

[Galaxy9000]

Sowas lässt sich leicht per GPO realisieren, da gibt's im Internet auch schöne Anleitungen dazu. Und als Domain Admin lass sein!

 

[kallii]

Das ganze hat folgenden Grund: Ich habe ein PowerShell Script geschrieben, welches beim Ausführen überprüft, ob sich ein Computer innerhalb bzw. außerhalb des Unternehmensnetzwerkes befindet. Ist ein Client außerhalb, ist er automatisch via "Direct Access" verbunden. Einziges Problem an der ganzen Geschichte ist, dass innerhalb des Unternehmens ein Proxy genutzt wird, dieser lässt sich aber bisher mit keinen mir bekannten mitteln nicht automatisch außerhalb des Unternehmens deaktivieren. Weder per PAC File, in welchem vermerkt ist: Erreichst du deinen Proxy nicht gehe den direkten weg. Dies funktioniert nur teilweise und auch mit sehr langen Wartezeiten (IE11).

Da die Benutzer beim Verlassen des Unternehmens das Notebook zuklappen oder gar ausschalten, müssen Sie sich am nächsten Standort zunächst an ihrem Gerät anmelden, hier möchte ich also dann zur Anmeldung hin das Script starten, welches eben dies überprüft und die Proxy Settings automatisch einsetzt oder eben entfernt..

Vielleicht gibt es ja mit Windows Bordmitteln eine noch einfachere Lösung.

Per GPO ... naja ist schwierig... jedoch können die GPo's auch per Direct Access aktualisiert werden... (außerhalb des Firmennetzes)

 

[stage]

Das ganze hat folgenden Grund: Ich habe ein PowerShell Script geschrieben, welches beim Ausführen überprüft, ob sich ein Computer innerhalb bzw. außerhalb des Unternehmensnetzwerkes befindet. Ist ein Client außerhalb, ist er automatisch via "Direct Access" verbunden

Warum wird kein VPN verwendet wenn sich der Rechner außerhalb des Unternehmens befindet?
Richtig konfigurier ist so eine Verbindung dann gleichbedeutend als wenn der Rechner sich im Netzwerk des Unternehmens befindet und somit würde der Proxy da auch funktionieren.

 

[kallii]

Warum wird kein VPN verwendet wenn sich der Rechner außerhalb des Unternehmens befindet?.

Wird es doch, Direct Access verbindet sich automatisch mit dem Unternehmensnetzwerk sobald auf irgendeine Art und Weise das Internet am Endgerät verfügbar ist. Ja natürlich funktioniert der Proxy theoretisch auch über den VPN aber das macht absolut gar keinen Sinn. Wieso macht das keinen Sinn? Antwort: Würde jeder direkt Access Client zusätzlich noch den Proxy des Unternehmens von Außerhalb nutzen, würde dies selbstverständlich die Leitung des Unternehmens stark belasten..

Zur Info: https://de.wikipedia.org/wiki/DirectAccess

 

[0711]

Birgt gefahren (clients surfen ungefiltert im web) aber bringt auch Vorteile

Wie verteilst du das pac/wpad file? Über die automatische Konfiguration des Browsers oder fix eingetragen? I.d.R. trifft man auf solche Probleme nicht wenn man die automatische Konfiguration (dns und/oder dhcp) nutzt anstatt nen fixen eintrag. Wobei es über DA auch mit fixen Eintrag gehen sollte wenn die Datei über DA erreichbar ist und die konfig passt - muss halt zwingend erreichbar sein.

Bezüglich deiner eigentlich frage, simpler und zuverlässiger als eine geplante aufgabe beim start ausführen ist einfach der aufruf über den autostart (alternativ natürlich logon Skript das lokal liegt), gerade wenn mehrere user an einem rechner arbeiten sollen - da hab ich für geplante Tasks bei so ner Anforderung noch keine zufriedenstellende und vor allem zuverlässige lösung gesehen.
Über GPP könntest du über den standort filtern ob der reg key gesetzt wird oder entfernt wird, irgendwie auch nicht richtig schön - ich würde schauen dass ich das Problem anderweitig löse und nicht über sowas.

 

[kallii]

Das Pac File wird per DNS verteilt. Über den Aufruf per Autostart habe ich auch schon nachgedacht, das werde ich mir dann wohl mal anschauen. Die Clients sind glücklicherweise mit einer eigenen Firewall ausgestattet (Software) und somit auch ohne Proxy im Web geschützt.
Die Lösung via Pac File ist dank IE11 leider nur halbwegs brauchbar, da die Timeouts, bis er erkennt, dass er den direkten Weg nehmen soll, zu lange andauern. Hier ist Firefox und Co schneller, wird jedoch nicht eingesetzt (wird es auch niemals). Ich vermute mal, dass wie du schon sagst, der Autostart der beste Weg sein wird. (Zumal wie du schon erkannt hast, sich mehrere User am selben Gerät anmelden)

 

[0711]

Wenn du nur den IE (und chrome aber nicht FF) nutzt könnte die Verteilung der WPAD/PAC Adresse über DHCP eine Lösung sein.

-> Extern haben die leute nicht den inhouse dhcp und die rechner suchen demnach nicht danach
-> intern haben die leute den inhouse dhcp und bekommen die wpad Adresse mitgeteilt

edit Denkfehler, kommt ja eh aufs gleiche raus ob nun dns oder dhcp
warum suchen deine Clients denn extern nach dem wpad file bzw bekommen es überhaupt?