Executar script pelo AD (instalar programa + alterar sistema).

Correr · 28 de dezembro de 2018

Olá a todos,

Hoje, quando um usuário é criado no AD, sempre temos que lembrar de ir nas propriedades desse usuário e adicionar o script que ele terá de executar ao fazer logon. Mas tem dois problemas:

1 - Vez ou outra sempre é esquecido de adicionar esse script nas propriedades e só vamos descobrir isso depois de "meses ou anos".

2 - No script, tem uma linha onde instalamos o software papercut. No windows 10 a instalação não ocorre (ele exige modo administrador), somos obrigado a executar o script como administrador e aí sim a instalação ocorre. Sem falar que se o script for efetuar uma alteração no sistema ou em pastas específicas, o windows 10 também barra.

Minha pergunta:

Existe alguma função e/ou ferramenta no AD onde eu possa adicionar esse script e ele seja executado sempre como administrador (ou algum nível que permita a instalação de programas + alterações de sistema).

O AD roda em 2 servidores, 2008R2 e 2012R2.

ciro-mota · 28 de dezembro de 2018

Mas a instalação deste programa não seria somente uma vez, feita por um Admin/Suporte?

Correr · 31 de dezembro de 2018

Seria somente 1x, mas de tempo em tempo atualizamos a versão do programa e apesar de não haver problemas, a desenvolvedora orienta atualizar o programa nos computadores.

Basicamente hoje está assim o script de logon.

powercfg -h off
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power" /V HiberbootEnabled /t REG_DWORD /D 0 /F

echo Atualizando SoftwareP ..
if not exist "%programfiles%\PaperCut NG\17-3-4-41948.txt" (
\\172.16.0.134\PCDirectPrintMonitor\win\pc-direct-print-monitor.exe  /TYPE=secondary_print /VERYSILENT
versao > "%programfiles%\PaperCut NG\17-3-4-41948.txt"
)


gpupdate /force

(explicação: linha 1 desativa hibernação, linha 2 desativa inicialização rápida, linha 3 a 7 é onde "instalo ou atualizo" o programa que tenho que ter em todas as máquinas, última linha é para forçar a sincronização de GPO)

Em computadores até o windows 7 e com UAC desativado, funciona que é uma beleza. Ative o UAC e o script não funciona.

Se tiver o smartscreen (windows 8 ou server 2012 ou superior) também não funciona (mesmo com UAC desativado).

Logo, para passar pelo UAC ou smarscreen preciso manualmente executar o script como administrador.

Existe alguma forma de rodar esse script como administrador na hora que qualquer usuário iniciar a sessão ?

ciro-mota · 31 de dezembro de 2018

Resumo, precisa que o script rode em privilégios elevados, pensei no "runas /savecred" ou "psexec -u domain\user -p password" Veja também se essa pequena ferramenta não te ajuda.

Correr · 2 de janeiro de 2019

Dei uma conferida por aqui e tenho uma dúvida.

Se eu abrir uma GPO qualquer, editar ela no seguinte caminho: computer configuration > policies > windows settings > script (startup/shuwtdown) o script não será executado como administrador ? Ou ele será executado de forma normal ?