none
GPO para Copiar DLL, Asignarle Permisos y Registrarla. RRS feed

  • Pregunta

  • Este es mi primer post, soy amateur en este tema y recién comenzando con politicas.

    He leído muchas páginas de este foro, pero no encontré una solución a mi problema, si bien realicé varias pruebas de scripts que fui encontrando en el mismo.

    Les plantéo el escenario para que se den una idea de lo que necesito.

    Tengo un dominio con 2003 y los clientes con XP y 7, los clientes son usuarios que se loguean al dominio. No tienen permiso de administrador.

    Debido a un software adquirido necesito copiar en todos los equipos el archivo javaupload.dll dentro de windows\system32, a su vez a ese archivo darle permisos de control total a todos o bien al usuario que se logueó en algún momento en ese equipo y además registrar esa DLL.

    Se me había ocurrido realizar un cmd de esta manera:

    copy \\servidor\Loyal\javaupload.dll c:\Windows\System32 /y /z
    icacls "c:\Windows\System32\javaupload.dll" /grant Todos:F
    regsvr32 c:\Windows\System32\javaupload.dll
    Este cmd lo coloqué dentro de una GPO en Configuración de usuario -> Directivas -> Configuración de Windows -> Scripts -> Iniciar sesión

    Como prueba, para ver si realmente leía, al archivo cmd le agregue una línea que contiene instrucciones de bginfo y confirmé que cambia el papel tapiz.

    Como vi que realmente por cmd no iba a funcionar me dediqué a buscar scripts.

    Para la copia utilizo el siguiente script:

    01-copia.vbs

    Const DontOverwriteExisting = FALSE
    Set obj_FS = CreateObject("Scripting.FileSystemObject")
    On Error Resume Next
    obj_FS.CopyFile "\\ds01\Loyal\javaupload.dll" , "C:\Windows\system32\", DontOverwriteExisting
    On Error Goto 0
    El Script me funciona, pero solo si coloco al usuario del dominio como administrador del equipo cosa que no quiero hacer.

    Por otro lado para los demás pasos no encontré script que me funcionara correctamente.

    A alguno de los MVP que los hay y muchos con conocimiento de sobra se les ocurre alguna idea?

    Que puedo estar haciendo mal? Que deberia hacer?

    Agradezco desde ya cualquier respuesta.

    Saludos


    Gustavo Mingo
    Carcarañá, Santa Fe
    Repúbica Argentina
    martes, 1 de marzo de 2011 13:11

Respuestas

  • Darle permisos adicionales a los usuarios en esa carpeta es muy riesgoso.

    Yo usaría otra técnica. En lugar de hacer por Logon Script (por usuario), lo haría con un Startup Script (por equipo), en cuyo caso no hay que hacer ningún cambio en la seguridad porque se ejecuta con la cuenta System.

     


    Guillermo Delprato - Buenos Aires, Argentina
    Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    martes, 1 de marzo de 2011 18:23
    Moderador

Todas las respuestas

  • Actualizo la pregunta...

    Ya logré también registrar la DLL con el siguiente Script

    02-registra.vbs

    Set WshShell = WScript.CreateObject("WScript.Shell")
    REM Nota una comilla simple antes del %
    cadena = "REGSVR32 c:\windows\system32\javaupload.dll /s"
    WshShell.Run (cadena)

    Lo que me queda es que esta GPO copie y registre el archivo en C:\Windows\System32 cuando no es un usuario administrador del equipo.

    A alguno de los MVP que los hay y muchos con conocimiento de sobra se les ocurre alguna idea?

    Que puedo estar haciendo mal? Que deberia hacer?

    Agradezco desde ya cualquier respuesta.

    Saludos


    Gustavo Mingo
    Carcarañá, Santa Fe
    Repúbica Argentina

    martes, 1 de marzo de 2011 15:10
  • Darle permisos adicionales a los usuarios en esa carpeta es muy riesgoso.

    Yo usaría otra técnica. En lugar de hacer por Logon Script (por usuario), lo haría con un Startup Script (por equipo), en cuyo caso no hay que hacer ningún cambio en la seguridad porque se ejecuta con la cuenta System.

     


    Guillermo Delprato - Buenos Aires, Argentina
    Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    martes, 1 de marzo de 2011 18:23
    Moderador
  • Guillermo, Agradezco tu respuesta y fue la correcta... No le di permisos a la carpeta System32, y coloqué los scripts en el inicio del equipo. Al principio por mas que reiniciara el equipo no funcionaba... pero después hizo todo lo necesario en forma correcta pero con obligandolo con gpupdate /force. Nuevamente muchas gracias por la respuesta. Saludos!

    Gutavo Mingo - Carcarañá, Santa Fe, Argentina
    miércoles, 2 de marzo de 2011 12:04