בעיה למנוסים שבנינו......בעיה בACTIVE DIRECTORY והרשאות אדמין.

שלום רב,

אני עובד בחברה, יש לי הרשאות מנהלן להכל, אני צריך להתקין FLASH, בשביל פלאש, צריך הרשאות לוקאליות על המחשב של אדמין.

כמובן שאני יכול לעבור מחשב מחשב ב-DESKTOP ב-ACTIVE DIRECTORY ושם ב-MANAGE ולעשות להם הרשאות PER USER של אדמיניסטרטור.

האם יש דרך מהירה יותר להריץ סקריפט? אולי דרך ה-GROUP POLICY? אם כן אני אשמח לרעיונות והצעות.

גם בשבילי להתקין תוכנות שהם לא MSI זה היה קצת כאב ראש, עד שמצאתי את www.autoitscript.com

הורדתי את זה:

http://www.adobe.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash

וכתבתי לך login script קטן, שלקח לי 30 דקות (הפסקת קפה שלמה).

הנה הקוד מקור שלו:

#cs ----------------------------------------------------------------------------

‎08:41 ‎18/‎02/‎2007

#ce ----------------------------------------------------------------------------

#NoTrayIcon


$Force    = False; 	/* Don't ask the user */
$Select   = False;	/* Let the user select the language */
$Reinstall	 = False;  
$SleepTIME  = 5000;	

$PATH 	   = @AppDataDir&"\Script_files"; 

$USR		 = "FlashSetup"; 	/* 	 default user name	 */ 
$PWD		 = "F1@$_iN$taLL"; 	/* 	 default password	 */ 
$Domain		 = @LogonDomain;	  



if $CmdLine[0] Then ; /* 	check for command line switches */

	For $i = 1 to $CmdLine[0]  Step +1 ; /* 	loop form 1 to the last argument */


		Switch StringUpper($CmdLine[$i]) ; /*	and check each one... 	*/

			Case "/USR"
				 $i+=1;
				 $USR = $CmdLine[$i];
			Case "/PWD" 
				 $i+=1;
				 $PWD = $CmdLine[$i];
			Case "/DOMAIN"
				 $i+=1;
				 $Domain = $CmdLine[$i];	
			Case "/FORCE"
				 $Force = True;

			Case "/SELECT"
				 $Select = True;

			Case "/REINSTALL"
				 $Reinstall = True;		 

			Case "/SLEEP"
				 $i+=1;
				 If StringIsDigit ($CmdLine[$i]) Then
					$SleepTIME = $CmdLine[$i] * 1000;
				 Endif	

		EndSwitch


	Next ;/* END loop	*/

Endif 


Sleep ($SleepTIME);  


Select  		

			; 	/* 	Dont Reinstall if you not allowed, exit... 	*/  
		Case ($Reinstall == False) AND (FileExists (@WindowsDir&"\system32\Macromed\Flash\NPSWF32.dll") ) 

				Exit(0);
			; /* IF the user cancelled last time, and you cant force, Exit... */	
		Case ($Force == False) AND  ( FileExists ($PATH&"\flash.txt") ) 

				Exit(0);

EndSelect


If NOT $Force Then ; /*	IF NOT $Force Then ask the user... 	*/ 	

	$Msg = MsgBox(35, "Flash installation script", "Install flash plugin now?");

			If $Msg == 7 Then ; /* 7 == no */ 

				Exit(0);

			ElseIf $Msg == 2 Then	;	/*	2 == cancel */

				$file = FileOpen ($PATH&"\flash.txt" ,9); /* IF the user cancelled write an empty file */	

					If $file == -1 Then ;/* FileOpen returned an error */ 	
						Exit(1);	
					EndIf

					FileClose($file);

						Exit(0);

			EndIf


EndIf 



If NOT DirCreate ($PATH) Then 
	MsgBox(16, "Script error", "Cannot Create: "&$PATH);
	Exit(1);
EndIf


If NOT FileInstall ("flash.exe",$PATH&"\flash.exe",1) Then 
	MsgBox(16, "Script error", "Cannot copy the file to: "&$PATH);
	Exit(1);
EndIf


RunAsSet( $USR, $Domain, $PWD ); /* use the Secondary Logon service */

Run ($PATH&"\flash.exe"); 	/* run flash.exe as admin	*/ 

If WinWaitActive ("Select Language","",45) AND ( NOT $Select) Then ; /* if Select is true let the user
																	;	 select his language, if select is 
																	;	zero, use the default (english) */		

	Send ("{SPACE}{ENTER}", 0);	/*	send keys	*/ 

EndIf

הקוד קצת מבולגן, אבל עבד לי על XP SP2 שנמצא בדומיין. הרעיון הוא שאני משלב את ה player בתוך ה EXE , מעתיק אותו

למקום אחר, מפעיל את ההתקנה עם שם משתמש אחר וזהו... פשוט קח את זה ודחוף את זה כ logon script ב GPO .

אה כן, והוספתי כמה אפשרויות לסקריפט:

/usr <username> 
/pwd <password>
/domain <domain name>

אתה יכול לספק שם משתמש וסיסמה לחשבון עם הרשאות של ADMIN , ואני ממליץ שתיצור חשבון מיוחד לזה ואחרי שלכולם

יהיה הכל מותקן תמחק אותו. כ default הסקריפט משתמש בשם FlashSetup ובסיסמה F1@$_iN$taLL .

/force

כ default הסקריפט ישאל את המשתמש האם להתקין או לא, האפשרות הזאת תגרום לו לא לשאול. וגם אם המשתמש בוחר ב cancel

פעם קודמת הסקריפט לא ינסה להתקין יותר, אבל אם אתה משתמש ב /force הוא יתעלם מזה ויתקין.

ובגלל שאני עצלן הדרך שהוא יודע אם המשתמש ביטל פעם קודמת זה בזכות קובץ טקסט ריק שהוא יוצר (כן אני יודע שזה נשמע דפוק...)

/reinstall

הסקריפט מוגדר לחפש קובץ DLL מסויים שקשור להתקנה, אםהוא קיים סימן שפלאש מותקן

והוא לא ינסה שוב, אם אתה משתמש באפשרות הזאת הוא יתעלם ויתקין בכל מקרה.

/SELECT

כ default הסקריפט מגדיר את השפה בשבילך (אנגלית), אבל האפשרות הזאת תתן למשתמש לבחור לבד.

/SLEEP

מספר השניות שיעברו לפני הסקריפט יתחיל לרוץ.

אם אתה רוצה לעשות את זה הכי אוטמטי שיש תעשה:

flash_script.exe /usr <userName> /pwd <password> /force 

ואם אתה רוצה לקמפל אותו בעצמך אל תשכח להוריד את ה player. ואל תשכח לבדוק את

הסקריפט הזה על מחשב ניסוי לפני שאתה מפיץ אותו ברשת שלך.

צירפתי לך גם את ה EXE...

http://uploadhut.com/view.php/386585.zip

בזמן שאנשים מתקינים את זה, הם לא יכולים להשתמש במשתמש ADMIN שנוצר כדי לקבל הרשאות ?

הסקריפט לא יוצר חשבון משתמש, הוא משתמש ב Secondary Logon service

בשביל להריץ את קובץ ההתקנה, אחרי שהוא מעתיק אותו כמובן. זה אותו אפקט כמו להריץ

הפקודה runas ("ה sudo של ווינדוס") רק אוטומטי. מה שמזכיר שה service הזה אמור להיות

פעיל אחרת תקבל שגיאה מכוערת. בתאוריה (לא ניסיתי) אתה יכול לחלץ את הסיסמה מה EXE ,בגלל זה בניתי אותו לקבל את הפרמטרים האלה:

/usr <username> 
/pwd <password>

למרות שהם לא חובה... ושוב אני ממליץ להקים חשבון משתמש מיוחד ואז למחוק אותו.

עריכה:

ושכחתי להגיד שאם אתה לא משתמש ב select/ וכן משתמש ב force/ ההתקנה תהיה 100% אוטומטית,

ורוב הסיכויים שהמשתמש לא יהיה מודע לזה בכלל.

ועוד דבר: אפשר גם להוסיף לו את היכולת ללכת לאתר מסויים בשביל לוודא שיש פלאש.