MSI filer tillader argumenter som /quiet /norestart /silent mv. Det gør en .exe fil ikke. Du kan ofte generere en MSI fil udfra en .EXE fil, hvis du under installation af .exe filen kigger i %appdata%. Så vil den genere en temporær mappe med nuværende installation, hvor din MSI-fil ligger i. Når det er sagt, hvilken kontekst eksekverer i jeres bat script med? Som administrator? Er det domain administrator, og er de maskiner i vil ramme på domænet? Prøv evt. at få jeres bat script til at lave en "whoami" under eksekvering, så i kan se hvilken bruger den kører med.
--
“I will not let anyone walk through my mind with their dirty feet.” -Mahatma Gandhi

#0 en lidt mere enterprise tilgang ville være at deploye det med SCCM (System Center Configuration Manager) via Client settings :) Men den lidt lettere tilgang vil helt klar være at deploye det med msi pakker via GPO
--

det skal faktisk helst være så rigtigt som muligt, altså ikke noget fix fakseri, men den måde man vil gøre det på i en enterprise virksomhed med f.eks 500 brugere. at når de logger ind ude i firmaet med deres computer så installere den automatisk de programmer som er angivet for firmaet f.eks Office norton antivirus vil man så bruge System Center Configuration Manager ?
--
Pc - I5 2500K @ 4,5 Lc | Asrock ultimate6 | 4 gb Cl 7 | 6870 | Hifi - Denon 4308 | Dali mentor 8 | Cw HFA 18x | Samsung us6705 46" Led

Vi skulle deploy antivirus når en standard bruger loggede ind på en tilfældig computer på domænet. Jeg er nysgerrig. Hvordan kan i lade domain computer komme på jeres domain uden antivirus? Eller er der tale om noget BYOD?
--
Gæstebruger, opret dit eget login og få din egen signatur.

@OP - Ja i normale enterprise scenarier, ville man nok bruge et rigtigt deployment værktøj som MECM (tidligere SCCM), o.a. Jeres skole skal dog have adgang til System Center produkterne for at i kan bruge det. Samt det er "lidt" overkill at bruge MECM/SCCM til 1 applikation ?? Det vigtigste ved den måde i har valgt at gøre det på (og ja .exe filer kan godt installeres via GPO), er at sikre at Computer kontoen, har tilladelse til at læse i mappen hvor kildefilerne ligger.
--

Sidst redigeret 05-11-2020 19:29

jamen vi har nemlig givet samtlige tilladelser og de kan fint læse derfra, men lig så snart man logger ind ber den om admin konto for få lov installere programmet
--
Pc - I5 2500K @ 4,5 Lc | Asrock ultimate6 | 4 gb Cl 7 | 6870 | Hifi - Denon 4308 | Dali mentor 8 | Cw HFA 18x | Samsung us6705 46" Led

Er det lavet som user eller computer policy?
--

#6, det er ikke så underligt. Normal praksis er ikke at lade brugerne installere software på virksomhedens computer der er i domain'et. Hvordan kan det være, at I ikke installere antivirus når I udruller operativ systemet/tilføjer computer domain?
--
Gæstebruger, opret dit eget login og få din egen signatur.

Alle seriøse anti virus producenter har i forvejen en msi.. hvis de ikke har bør man nok lede videre efter en anden leverandør.. eller så skal du lave er bat script der køres med administrator rettigheder. Det bat script kan du så deploy via group policy, men det bliver et fandens rod :) hvis der bliver bedt om admin konto, så kan i også lave gruppe politikker som tillader brugerne at installere software selv, det burde fjerne elevation prompt
--

Sidst redigeret 05-11-2020 20:56

#3 er der nogen bestemt grund til at i bruger Norton og ikke bare Windows Defender som er indbygget i Windows 10 og Windows Server 2016 og fremad? Test eventuelt jeres installation med en MSI pakke lokalt med de korrekte parametre, og deploy det derefter via GPO
--

Software installation via GPO, vil altid kræve at blive eleveret hvis installationen skriver til steder, som den kontekst det eksekveres i ikke har tilladelse til at skrive. Hvilket et eller andet sted er fair nok. Problemet består nok i, at nogen tror, at selv hvis det er en computer policy, at det så bliver kørt i SYSTEM kontekst. Det gør det ikke, det køres i konteksten af computer kontoen (altså computer objectet fra AD). Der ikke by default er administrator. Der er et par veje omkring det. Der er som #9 skriver politikken der bare tillader alle installationer. Den hedder "Always install with elevated privileges" og ligger under User- og Computer Configuration\Administrative Templates\Windows Components\Windows Installer Den kan sættes til Enabled. Ellers er der UAC måden, med indstillingen "User Account Control: Detect application installations and prompt for elevation" Den ligger under: Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options Den kan sættes til Disabled. Og her er så grunden til at jeg spurgte om det var en User eller Computer policy. Always install with.... indstillingen i User hiven, bør ikke bruges. Denne kan udnyttes til privilege escalation, da det er så simpelt som at generere en MSI med powersploit. Denne MSI gør egentlig bare det, at den tilføjer en ny bruger til Administrators gruppen (eller hvilken som helst anden gruppe du angiver). Når GPO'en er sat, vil denne MSI blive kørt i SYSTEM kontekst, brugeren oprettes og ligges i den pågældende gruppe. Helt uden at nogen er blevet promptet, eller nogen illegale operationer er foretaget. Med UAC metoden, skal man i det mindste lige have eleveret sig først, inden man kan udnytte det :P Det skal siges, at Windows klient OS'er i Enterprise editions, har denne "Detect application installations.." indstilling sat til Disabled som standard. Alle andre editions er denne Enabled.
--

Sidst redigeret 06-11-2020 08:44

Synes det virker lidt rodet at snakke om hvad man gør et sted med 500 brugere, og så alle de forslag med at reducere sikkerheden gevaldigt på klienten, det er jo ikke sådan det gøres et seriøst sted, det er jo helt hul i hovedet sikkerhedsmæssigt. Hvis man har 500 klienter, kommer man ikke uden om et ordentlig client management tool ala MECM/SCCM/Intune, ja det er overkill til demo på en uddanelse, men det er den "rigtige" måde at håndtere det på. Skal ikke kunne sige hvad andre generelt gør, men det vi gør (>2000 win10 klienter) med vores Win10 klienter, er random pass på admin account der ikke bliver gemt nogen steder, og konto diabled, sccm klient (bliver erstattet af Intune på sigt) til deploy og installation af programmer, brugeren er ikke lokal admin, de kan install programmer der ikke kræver admin/elevation, ellers har de kun "software center" via SCCM til at install programmer, men selv der er det begrænset pga applocker, der kun tillader signerede apps fra bestemte udviklere / bitlocker enabled -> sync'ed to AD / Bios låst ned med langt pass, så brugeren ikke kan ændre boot devices eller boot fra andet. Derudover Microsoft 365 Defender (ATP, ikke AV) (https://securitycenter.windows.com[...] ) der er imponerende godt. Og så er jeg ellers Linux mand, men hatten af for hvad MS har gjort med MS 365 Defender / Intune.
--

Sidst redigeret 06-11-2020 14:26

Nu har jeg ikke lige læst hele tråden igennem, men.. Jeg arbejder som ConfigMgr konsulent for et større konsulent hus, og sidder med mange forskellige kunder, både store og små, samtlige bruger stort set ConfigMgr til at administrere deres severe, hvilket i min optik er det rigtige til Enterprise miljøer. Nu vi snakker Server 2019, er intune slet ikke i spil her, og jeg ville heller ikke smide det ud i ConfigMgr Software Center, da Antivirus burde deployes unattended. ConfigMgr installere under system context. Hvis vi snakker Windows Defender / Endpoint Protection, installeres det via en ConfigMgr Client Policy, som egentlig blot starter SCEP MSI filen for dig. Alternativt kan Windows Defender installeres via powershell Install-WindowsFeature -Name Windows-Defender Hvis man ikke har nogen deployment værktøjer, ville jeg lave mit eget script i Powershell som en GPO install script, eller hvis man er old school nok, så et logon script.
--

--

Sidst redigeret 06-11-2020 15:35