Hallo Support,
ist es eigentlich angedacht, die Client Commands an die (doch recht invasive) Änderung aus 5.4.7, dass die Console nichtmehr als Admin gestartet wird, anzupassen? Viele Client Commands funktionieren nichtmehr wie erwartet, da die Ausführung nichtmehr im Admin-Kontext stattfindet (ein gutes Beispiel ist sind Dateioperationen auf UNC-Pfaden), entsprechend wäre eine Angabe des zu verwendenden Accounts von Nöten oder eine UAC-Abfrage.
Die Ausführung als Benutzer mit höchstmöglichen Rechten stellt hierzu leider keinen nutzbaren Workaround dar, da User gängigen Sicherheitspraktiken entsprechend über keine Admin-Berechtigungen verfügen.
Überarbeitung Client Commands <> 5.4.7
-
ngottschalk
- Beiträge: 293
- Registriert: Mi Sep 08, 2010 12:57 pm
Mit freundlichen Grüßen
Niklas Gottschalk (gottschalk@zoller-usa.com)
IT Systems Administrator
Zoller Inc.
Niklas Gottschalk (gottschalk@zoller-usa.com)
IT Systems Administrator
Zoller Inc.
-
Dennis Koch
- Beiträge: 501
- Registriert: Di Nov 20, 2012 4:03 pm
Hi Niklas,
du vermischt hier zwei Sachen. Die Änderung bzgl. Admin-Kontext betrifft ja nur den Consolenanteil. Das was Du dir wünscht sind doch Erweiterungen von bestimmten Befehlen zur Angabe eines Benutzers.
Alternativ kann man für Dateioperatoren auch Shell execute command in Verbindung mit copy oder robocopy oder dergleichen nutzen. Solltest du aber Bedarf bei bestimmten Befehlen sehen so erstell doch einmal eine Liste
sodass hierzu ggf. Verbesserungsvorschläge erstellt werden.
du vermischt hier zwei Sachen. Die Änderung bzgl. Admin-Kontext betrifft ja nur den Consolenanteil. Das was Du dir wünscht sind doch Erweiterungen von bestimmten Befehlen zur Angabe eines Benutzers.
Alternativ kann man für Dateioperatoren auch Shell execute command in Verbindung mit copy oder robocopy oder dergleichen nutzen. Solltest du aber Bedarf bei bestimmten Befehlen sehen so erstell doch einmal eine Liste
sodass hierzu ggf. Verbesserungsvorschläge erstellt werden.
Mit freundlichen Grüßen / Best regards
Dennis Koch
Aagon GmbH
Dennis Koch
Aagon GmbH
-
ngottschalk
- Beiträge: 293
- Registriert: Mi Sep 08, 2010 12:57 pm
Hallo Dennis,
nein, ich vermische keine zwei Aspekte, sondern das Eine bedingt das Andere; Bestimmte Client Commands funktionieren einfach seit dieser Änderung nichtmehr und zur Lösung dieses Problems müsste man (theoretisch) die Commands (oder die gesamte Funktionsweise) dahingehend anpassen, dass sie in einem erhöhten Kontext laufen, ob das jetzt durch eine Anpassung der Commands im Editor oder durch eine Änderung der zuständigen Runtime im Hintergrund erfolgt, ist erstmal nebensächlich.
Momentan verhält sich die Console nicht anders als die Legacy-Console und kommt daher auch mit den selben Nachteilen daher. Hier sollte man den MS Designguidelines folgen und entweder das Ganze mittels des Admin Broker Models oder Admon COM Object Models umsetzen, sofern man die Console nicht einfach als Mixed Application kompilieren will.
Wie zudem bereits Fabian via Email mitgeteilt, kommt erschwerend hinzu, dass die Ausführung mit erhöhten Rechten in der Console im Shell Execute Command im Consolenskript nicht funktioniert, sodass ich keinen Weg sehe, diese Funktionalitäten ohne Workaround wiederherzustellen (also auch kein Robocopy, etc., zumal das nur den Zugriff auf das Ziel sicherstellen würde, aber Nichts am Zugriff auf die Quelle ändert):
Eine Liste der Commandkategorien (einzelne Commands wäre jetzt zu mühselig), die im Consolenskript ohne Adminberechtigungen Fehler verursachen können und daher potenziell durch das Update nichtmehr wie gewohnt funktionieren könnten, je nach Anwendungsfall:
Natürlich könnte man jetzt argumentieren, dass consolenseitig ja nur XYZ gemacht werden sollte, weil ja die Clients verwaltet werden sollen und nicht der PC mit der Console, aber dann sollte die Console das widerspiegeln und nicht alles mögliche anbieten, was teilweise sogar standardmäßig nicht funktionieren kann.
Das beste Beispiel ist wahrscheinlich die Dienstverwaltung: Angenommen ich müsste einen Dienst starten (z.B. TeamViewer), bevor ich in meinem Skript (Verbindung zu PC) weitermache. Dies wäre in der Vergangenheit absolut kein Problem gewesen, ist nun aber ohne Workarounds nichtmehr abzubilden.
nein, ich vermische keine zwei Aspekte, sondern das Eine bedingt das Andere; Bestimmte Client Commands funktionieren einfach seit dieser Änderung nichtmehr und zur Lösung dieses Problems müsste man (theoretisch) die Commands (oder die gesamte Funktionsweise) dahingehend anpassen, dass sie in einem erhöhten Kontext laufen, ob das jetzt durch eine Anpassung der Commands im Editor oder durch eine Änderung der zuständigen Runtime im Hintergrund erfolgt, ist erstmal nebensächlich.
Momentan verhält sich die Console nicht anders als die Legacy-Console und kommt daher auch mit den selben Nachteilen daher. Hier sollte man den MS Designguidelines folgen und entweder das Ganze mittels des Admin Broker Models oder Admon COM Object Models umsetzen, sofern man die Console nicht einfach als Mixed Application kompilieren will.
Wie zudem bereits Fabian via Email mitgeteilt, kommt erschwerend hinzu, dass die Ausführung mit erhöhten Rechten in der Console im Shell Execute Command im Consolenskript nicht funktioniert, sodass ich keinen Weg sehe, diese Funktionalitäten ohne Workaround wiederherzustellen (also auch kein Robocopy, etc., zumal das nur den Zugriff auf das Ziel sicherstellen würde, aber Nichts am Zugriff auf die Quelle ändert):
- beispiel.jpg (76.18 KiB) 7611 mal betrachtet
- Archive
- BITS Commands
- Custom Scripts
- Devices
- Dialogs
- Files
- Fonts
- Functions
- Ini files
- MSI
- Network
- NTFS Security
- Pagefile
- Printer
- Processes and Shell
- Registry
- Scheduled tasks
- Usermanagement
- Windows OS
- WMI
- XML
Natürlich könnte man jetzt argumentieren, dass consolenseitig ja nur XYZ gemacht werden sollte, weil ja die Clients verwaltet werden sollen und nicht der PC mit der Console, aber dann sollte die Console das widerspiegeln und nicht alles mögliche anbieten, was teilweise sogar standardmäßig nicht funktionieren kann.
Das beste Beispiel ist wahrscheinlich die Dienstverwaltung: Angenommen ich müsste einen Dienst starten (z.B. TeamViewer), bevor ich in meinem Skript (Verbindung zu PC) weitermache. Dies wäre in der Vergangenheit absolut kein Problem gewesen, ist nun aber ohne Workarounds nichtmehr abzubilden.
Mit freundlichen Grüßen
Niklas Gottschalk (gottschalk@zoller-usa.com)
IT Systems Administrator
Zoller Inc.
Niklas Gottschalk (gottschalk@zoller-usa.com)
IT Systems Administrator
Zoller Inc.
-
Dennis Koch
- Beiträge: 501
- Registriert: Di Nov 20, 2012 4:03 pm
Vermischen schrieb ich weil es ja weiterhin möglich ist die Console als Administrator zu starten. Damit wäre ja alles wie vor der Umstellung.
So wie ich es gelesen habe gab es bei Dir im administrativen Kontext keine Probleme, von daher wäre das für Dich doch schon ein gängiger Weg ohne auf
Funktionalität zu verzichten. Mit der Umstellung haben wir ja nur den default von Admin- auf nicht Adminkontext geändert. Ansonsten verhält sich die Console
natürlich wie die alte "legacy" Console. Das was Du ansprichst sind ja mitunter sinnvolle Verbesserungen der einzelnen Befehle im Client Command Center.
Das sind für mich aber erstmal unterschiedliche Punkte.
1. Console wird per Default nicht mehr als Administrator gestart --> Lösung, als Administrator starten
2. Angabe eines Benutzers und die Möglichkeit diese mit erhöhten Rechten auszuführen --> Verbesserungsvorschlag.
Ich schau mir die List einmal an und gebe entsprechend Rückmeldung.
So wie ich es gelesen habe gab es bei Dir im administrativen Kontext keine Probleme, von daher wäre das für Dich doch schon ein gängiger Weg ohne auf
Funktionalität zu verzichten. Mit der Umstellung haben wir ja nur den default von Admin- auf nicht Adminkontext geändert. Ansonsten verhält sich die Console
natürlich wie die alte "legacy" Console. Das was Du ansprichst sind ja mitunter sinnvolle Verbesserungen der einzelnen Befehle im Client Command Center.
Das sind für mich aber erstmal unterschiedliche Punkte.
1. Console wird per Default nicht mehr als Administrator gestart --> Lösung, als Administrator starten
2. Angabe eines Benutzers und die Möglichkeit diese mit erhöhten Rechten auszuführen --> Verbesserungsvorschlag.
Ich schau mir die List einmal an und gebe entsprechend Rückmeldung.
Mit freundlichen Grüßen / Best regards
Dennis Koch
Aagon GmbH
Dennis Koch
Aagon GmbH
-
Dennis Koch
- Beiträge: 501
- Registriert: Di Nov 20, 2012 4:03 pm
Hi Niklas,
für die Anpassung der Befehle habe ich den Verbesserungsvorschlag mit der ID ACMP-29985 erstellt.
für die Anpassung der Befehle habe ich den Verbesserungsvorschlag mit der ID ACMP-29985 erstellt.
Mit freundlichen Grüßen / Best regards
Dennis Koch
Aagon GmbH
Dennis Koch
Aagon GmbH