¿Configuración de UAC preferida en empresas que usan scripts de inicio de sesión para asignar unidades?

Navega tus respuestas
7

En Windows 7, Vista y sistemas operativos más recientes, UAC evitará que los scripts de inicio de sesión asignen unidades de disco duro para que el siguiente código de script de inicio de sesión no funcione: 

Dim WshNetwork
Set WshNetwork = WScript.CreateObject("WScript.Network")

WshNetwork.MapNetworkDrive "g:", "\\Saturn\data\"
WshNetwork.MapNetworkDrive "k:", "\\Saturn\stuff\"

Los administradores tienen algunas opciones al tratar este problema:

¿Cuál es el enfoque más práctico y compatible para que los scripts de inicio de sesión "solo funcionen" en entornos empresariales?

Si la solución "más preferida" no es la que las empresas están haciendo en el mundo real, ¿qué enfoque están tomando?

    
pregunta random65537 27.04.2012 - 17:16
fuente

4 respuestas

1

Use Powershell y configure su modo de ejecución en allsigned. Es la mejor de las peores opciones para los métodos de ejecución de PowerShell, emita un certificado de firma de código de su CA interna y firme sus scripts de inicio de sesión. 

(new-object -com WScript.Network).MapNetworkDrive("g:","\Saturn\data")
(new-object -com WScript.Network).MapNetworkDrive("k:","\Saturn\stuff")

Powershell se ejecuta de forma predeterminada en Asvoker, por lo tanto, a menos que me equivoque, debería ejecutarse el sans indicador de UAC.

    
respondido por el Ori 26.06.2012 - 01:47
fuente
1

¿Qué hay de llamar al comando "uso neto" desde su secuencia de comandos de inicio de sesión VBS?

Incluso aunque la secuencia de comandos se ejecute bajo el token de Administrador, cualquier programa iniciado por la secuencia de comandos se ejecutará bajo un token de usuario estándar, lo que significa que las unidades asignadas de esta manera estarán disponibles para el usuario.

Tu ejemplo podría adaptarse para que se vea así: 

Set shell = CreateObject("Wscript.Shell")

shell.Run "net use g: \Saturn\data", 7, True
shell.Run "net use k: \Saturn\stuff", 7, True

(El '7' hace que el comando se ejecute minimizado, para evitar que aparezcan ventanas de la línea de comandos en la pantalla. Y 'Verdadero' espera que el comando se complete antes de continuar)

    
respondido por el benrwb 08.10.2012 - 13:31
fuente
0

No tengo esto en entornos empresariales, pero tengo cierta experiencia en entornos de pequeñas empresas.

Recomendaría el net use s: \server\share básico sugerido por Safado, pero si necesita lógica, recomendaría kixtart, me lo recomendó un contratista externo que teníamos y todo lo que he visto ha sido impresionante, incluido Lógica básica, asignaciones de unidades e impresoras basadas en una serie de variables que incluyen OU, grupos y nombre de PC. También tiene algunas características de seguridad básicas en caso de que desee negar a los usuarios la posibilidad de ver la lógica del script de inicio de sesión.

    
respondido por el Sam 26.06.2012 - 00:15
fuente
0

El problema que yo y muchos otros hemos encontrado es que si la cuenta de usuario del dominio es parte del grupo de administradores locales, entonces el script de inicio de sesión de GPO no se ejecutará, lo que no asignará las unidades / recursos compartidos de la red.

enlace

Aquí hay un hilo que estaba viendo ... NET USE no funcionará en un GPO, ya sea con Win 7 o Win 8, pero Ori podría tener algo que podría funcionar, el único problema es que es más Proceso complejo que lo que debería funcionar sin un certificado.

    
respondido por el Gump3rs 03.01.2013 - 23:03
fuente

Lea otras preguntas en las etiquetas

Seguridad, aislamiento y fortalecimiento de Hadoop ¿Cuáles son los problemas de seguridad al desactivar la protección ampliada para la autenticación en IIS7 en ADFS?