none
Policy (Windows Server 2008 R2 STD) utilizzo file .exe con privilegi elevati da utenti Users in Windows 7 Pro RRS feed

  • Domanda

  • Buongiorno,

    con Windows XP gli utenti (domain users) del dominio eseguivano senza problemi i miei applicativi di teleassistenza,

    ora invece windows 7 richiede privilegi elevati.

    Mi scoccia abbassare la sicurezza aumentando i privilegi in locale, oppure fornire delle credenziali amministrative.

    Vorrei sapere se (e come) è possibile da group policy rendere "attendibili" ed eseguibili in automatico con priivilegi elevati alcuni .exe ben definiti, per es: \\Server\Applicativi\Teleassistenza.exe anche dai domain users.

    grazie,
    Paolo

    venerdì 15 marzo 2013 16:33

Risposte

  • Ciao, Edoardo,

    Ho risolto in modo definitivo, scoprendo il Perchè mi appariva UAC.

    L'eseguibile è uno ZIp autoscompattante. L'ho quindi scomposto nei suoi files, installato in una cartella in sola lettura agli utenti del dominio e condivisa come Teleassistenza$. Ho creato un link al file .exe e dstribuisco direttamente il link a \\ Teleassistenza$\Teleassistenza.exe. Ovviamente la cartella di lavoro è \\ Teleassistenza$\ in modo che l'eseguibile recuperi tutti gli altri files scompattati che gli servono per girare.

    Una domanda, come posso fare ad aggiungerlo se non alle risposte alle segnalazioni utili in modo che la soluzione salti all'occhio ad altri che hanno il mio stesso problema?

    Grazie, Paolo

    lunedì 22 aprile 2013 17:02

Tutte le risposte

  • Ma se lo lanci ti dice che non è trusted\sicuro o non te lo apre proprio? Perchè se ti da il non sicuro puoi metterlo nei percorsi attendibili di intranet di IE in modo da non farglielo controllare.

    A.

    venerdì 15 marzo 2013 17:00
    Moderatore
  • Mi appare la schermatina UAC e mi chiede delle credenziali amministrative per eseguirlo.

    Anche mettendolo per assurdo sul desktop dello user che lo deve usare.

    Paolo

    venerdì 15 marzo 2013 17:10
  • Be certo, è un .exe...ma dubito che un semplice user possa bypassare il controllo anche con una policy...di solito gli utenti sono almeno admin sulle loro macchine se no per eseguire qualcosa serve sempre un utente admin... A.
    venerdì 15 marzo 2013 20:31
    Moderatore
  • dovresti disabilitare UAC ma non è bello.

    quali applicativi usi per teleassistenza e quale tipo di assistenza offri ?


    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    sabato 16 marzo 2013 14:06
    Moderatore
  • Normalmente uso VNC single click. Mi viene generato dal sito di Ultravnc un .exe da me configurato, su quale porta uscire per interrogare il mio PC della ditta che rimane in ascolto. Ha una sua crittografia che ho impostato ed è veloce, quindi lo reputo una soluzione a costo 0 che a me va bene.

    In varie realta con domain controller di questo tipo gli utenti sono volutamente Users, vedo che i PC rimangono puliti, non arriva lo smanettone di turno che installa questo e quello e virus che bypassano gli antivirus/piuttosto che malware generici o spyware non si possono ovviamente installare.

    Non esiste la possibilità, nelle centinaia di  policy, di destinare dei determinati .exe (anche con eventuuale hash) ad essere eseguiti con privilegi amministrativi anche dagli users?

    Ho trovato un'escamotage che mi faceva creare un'operazione pianificata da eseguire con privilegi elevati, ma non sono riuscito a renderla funzionante al volo quindi ho lasciato perdere.

    Qualche idea?

    Grazie, Paolo

    sabato 16 marzo 2013 21:31

  • In varie realta con domain controller di questo tipo gli utenti sono volutamente Users, vedo che i PC rimangono puliti, non arriva lo smanettone di turno che installa questo e quello e virus che bypassano gli antivirus/piuttosto che malware generici o spyware non si possono ovviamente installare.


    In realtà dove di solito c'è un sysadmin interno che passa il tempo a connettersi a questa o quella macchina ed a sbloccare\installare\eseguire lui quello che gli utenti non possono fare.

    Una config che non va bene se fail il sysadmin esterno delle aziende a mio avviso perchè se hai anche solo 10 aziende in quelle condizioni sei perennemente al cellulare a dare retta ai poveracci che non possono nemmeno installarsi una printer...oppure come in questo caso non riesci a fargli eseguire un sw di assistenza remota che è la cosa più banale del mondo.

    C'è questa mania di "controllare" gli altri, che non si sposa affatto col mio pensiero, sono più per la consapevolezza di quel che fai altrimenti ci saranno sempre e solo utenti Dummy.

    Nel tuo caso specifico senza abbassare i filtri non credo che raggiungerai il tuo scopo su W7...su W8 ancora meno...

    A.

    Mi è venuta in mente una cosa però, potresti fare un deployment automatico dell'assitenza.exe in una cartella locale di ogni client tramite una policy..dovrebbero poter lanciare un eseguibile locale se lo metti tra in programmi installati...no?
    domenica 17 marzo 2013 09:56
    Moderatore
  • ma tu hai bisogno di connetterti ai singoli clients o solo ai domain controllers ?

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    domenica 17 marzo 2013 10:53
    Moderatore
  • con il programma cpau ho risolto il problema di lanciare un programma con diritti amministrativi lasciando l'utente user.

    Se ti può interessare.

    domenica 17 marzo 2013 13:49
  • Posso essere d'accordo con te sulle troppe restrizioni....

    ....La politica Aziendale dettata in questo caso è comunque questa e vedo che una volta a regime non ci sono problemi. Poi ho una persona interna (fidata) che ha un utente delegato ad installare eventuali software.

    E' interessante la soluzione che mi proponi di mettere assistenza.exe in cartella localetramite policy...

    ...preventivamente ho però provato a mettere assistenza.exe in C:\windows, ma mi chiede sempre le credenziali.

    Qual'è il trucco secondo te per cui non mi chieda le credenziali...

    Ti ricordi la policy eventualmente che posso usare per copiare (magari al logon) il file nella cartella locale dei client?

    Grazie,

    Paolo

    lunedì 18 marzo 2013 10:35
  • Ai singoli clients. Praticamente quando un'utente ha un problema mi chiama, gli faccio avviare la Teleassistenza e mi connetto (a richiesta).

    Ciao, Paolo

    lunedì 18 marzo 2013 10:36
  • Ho dato un' occhiata in internet, ma il prompt per lanciare CPAU richiede privilegi elevati del command, quindi probabuilmente non ho capito come lo usi tu.

    Mi sai dare indicazioni più precise?

    grazie,

    Paolo

    lunedì 18 marzo 2013 10:47
  • http://us.generation-nt.com/execute-program-administrator-rights-review-24798-3.html

    http://www.ogmdevelopment.com/forum/showthread.php?37820-cpau-exe-ottimo-per-distribuzioni-ed-installazioni-come-amministratore

    Ciao

    lunedì 18 marzo 2013 10:54
  • la soluzione potrà anche andare bene a Paolo... certo che però possono fare anche dei danni incalcolabili :)


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    lunedì 18 marzo 2013 11:07
    Moderatore
  • sono d'accordo con Edoardo, io lo uso solo su un software (scritto male), altrimenti che alternative abbiamo per eseguire un exe senza dare i privilegi. Sarei contento di adottare una soluzione migliore e nei canoni Microsoft.

    Saluti

    lunedì 18 marzo 2013 11:12
  • Sai se esiste una policy di dominio per mettere uno specifico utente di dominio nel gruppo locale dei power users o degli administrators?

    Grazie,

    Paolo

    martedì 19 marzo 2013 10:46
  • Grazie Renzo,

    ho provato e funziona correttamente.

    Farò i conti con i problemi di sicurezza e vedrò se implementarlo, non vedendo altre soluzioni.

    Grazie,

    Paolo

    martedì 19 marzo 2013 10:48
  • Di nulla, aspetto ancora una risposta da Edoardo in merito ad una alternativa.

    Ciao

    martedì 19 marzo 2013 10:54
  • L'alternativa è usare dei sw professionali di teleassistenza che aprano demoni on demand, magari legati a java. Di solito si acquista il pacchetto e si pubblica sul proprio sito web, al cliente si comunica solo il link. In questo modo si bypassano tutti i problemi di policy legate agli eseguibili. Un esempio è GOTO Assist della Citrix.

    Ciao!.

    A.

    martedì 19 marzo 2013 11:00
    Moderatore
  • questo lo si fa con uno script che puoi propagare con le group policies

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    martedì 19 marzo 2013 12:01
    Moderatore
  • Di nulla, aspetto ancora una risposta da Edoardo in merito ad una alternativa.

    Ciao

    non ho una soluzione alternativa e sinceramente non mi sono mai trovato nella necessità di dover dare assistenza interattivamente ad un utente per qualcosa che non potessi fare da remoto senza la presenza dell'utente stesso. questa dell'intervento mentre un utente è in sessione mi sembra più un caso di formazione che di intervento tecnico.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    martedì 19 marzo 2013 12:05
    Moderatore

  • non ho una soluzione alternativa e sinceramente non mi sono mai trovato nella necessità di dover dare assistenza interattivamente ad un utente per qualcosa che non potessi fare da remoto senza la presenza dell'utente stesso. questa dell'intervento mentre un utente è in sessione mi sembra più un caso di formazione che di intervento tecnico.


    Be' Edo questo solamente perchè non fai il sistemista conto terzi...nella nostra tipologia di intervento, l'utente mi chiama, mi connetto al volo anche dal cellulare e risolvo il problema. Che sia un file sparito, una mail non configurata od una stampante da installare al volo non importa.

    Rapidità e disponibilità della connessione la fanno da padrone. Lo user deve stare li davanti, tante volte per spiegare il problema, tante altre per provare subito dopo se funziona. Noi con queste cose ci magnamo ;-) sui server come dici tu, l'interattività non serve..ma non è questione di "formazione" l'utente non si forma fa solo da "cavia" per vedere se poi funziona. :-)

    A.

    martedì 19 marzo 2013 12:53
    Moderatore
  • nel mio caso, mi sono imbattuto in un software per le spedizioni che una volta installato con diritti amministrativi possono lavorare come utenti, quando aprono il software e ci sono aggiornamenti da fare, si reinstalla di nuovo il programma e richiede i diritti amministrativi. Tramite cpau quando l'utente vede l'aggiornamento lancia il programma tramite il collegamento con cpau ed una volta installato può usarlo come prima. Ho chiesto delucidazioni all'azienda che ci ha dato il software ma dopo aver ammesso il problema non ha saputo trovare la soluzione. Penso che ci sia ancora parecchi software in giro con questi problemi e per noi tenere gli utenti come user è una battaglia.

    Ciao

    martedì 19 marzo 2013 13:08
  • Ciao, Edoardo,

    Ho risolto in modo definitivo, scoprendo il Perchè mi appariva UAC.

    L'eseguibile è uno ZIp autoscompattante. L'ho quindi scomposto nei suoi files, installato in una cartella in sola lettura agli utenti del dominio e condivisa come Teleassistenza$. Ho creato un link al file .exe e dstribuisco direttamente il link a \\ Teleassistenza$\Teleassistenza.exe. Ovviamente la cartella di lavoro è \\ Teleassistenza$\ in modo che l'eseguibile recuperi tutti gli altri files scompattati che gli servono per girare.

    Una domanda, come posso fare ad aggiungerlo se non alle risposte alle segnalazioni utili in modo che la soluzione salti all'occhio ad altri che hanno il mio stesso problema?

    Grazie, Paolo

    lunedì 22 aprile 2013 17:02