Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1296 connectés 

  FORUM HardWare.fr
  Windows & Software
  Win NT/2K/XP

  Instal automatisée sur compte limité sans divulgation de password

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Instal automatisée sur compte limité sans divulgation de password

n°2949498
dosinosy
Posté le 11-06-2010 à 15:28:11  profilanswer
 

But : Dans le cadre du boulot je dois installer des programmes sur les ordinateurs portables des commerciaux qui sont rarement au siège social de la boite.
Contexte :
    Les portables sont sous Windows XP PRO
    Ils sont en WORKGROUP (pas en domaine)
    Les comptes utilisateurs locaux sont :
        Administrateur [Droit : ADMINISTRATEUR]
        Nomdemonchef [Droit : ADMINISTRATEUR]
        Nom_du_commercial [Droit : Compte limité]
 
 
Le mot de passe des comptes locaux (administrateur et Nomdemonchef) des portables sont les mêmes sur tout  le parc donc impossible de le divulguer à l’utilisateur.
 
Contexte de travail :
Lorsque je dois intervenir sur une de ces machines, je prends la main par REAL VNC dessus via internet (3G-WIFI/LAN) + solution vpn (si besoin de faire une installation soit "Exécuter en tant que..." ou je me relogue en admin local)
 
Je sais créer un package MSI pour faire une installation automatisée, je sais créer des installations automatisées (par batch + ligne de commande silencieuse par exemple).
Si je dois déployer une grosse installation, j’envois des CD gravés aux personnes (vu la taille c’est mieux car en 3G bonjour la facture !).  
J’ai fais un bon petit fichier bat automatisé mitonné aux petits ognons qui marche nickel... avec les droit d’administrateur bien sur !!!!
En effet, les utilisateurs n’étant pas administrateur des postes pas possible de faire d’installation.
 
Réalisations :
 
Voila ce que j’ai tenté en vrac pour palier au problème :
 
- Tentative 1 : Faire un fichier bat qui automatise l’installation couplé avec la commande runas.
- Echec : le runas ne permet pas de passer le mot de passe.  :heink:  
 
- Tentative 2 : Faire un fichier bat qui automatise l’installation couplé avec le script vbs de J. BELLAMY « XRUNAS » qui permet, lui, de passer le mot de passe => ça fonctionne.  :)  
- Echec : le mot de passe apparait est en clair dans le bat la solution n’est pas validé, ni par moi ni par mon chef. :cry:  
 
- Tentative 3 : Utiliser un programme tiers (non microsoft) comme celui de J. BELLAMY le mot de passe apparaissant dans la ligne de commande en crypté => ça marche.  :)  
- Echec : Même problème que précédemment, si on lance la ligne de commande par exemple « runas_avec_cryptage_du_password  login=administrateur password=ù£^***55221^@_|`)=)(($* calc.exe » ben on peux faire « runas_avec_cryptage_du_password  login=administrateur password=ù£^***55221^@_|`)=)(($* install_emule.exe »
 
- Tentative 4 : la même que la précédente mais compilation en plus de .bat vers *.exe => ça fonctionne, sans une ligne à l’écran avec le mot de passe en clair et/ou en crypté.  :sol:  
 
- Echec (et mat) : pas validé par mon chef, ça fait trop bidouillé. Il veux une solution pur microsoft pour la pérennité de la solution sur les versions supérieures (seven et superieur…)  :pt1cable:  :cry:  :cry:  
 
Voici (enfin !) ma question :  
 
Existe-t-il une solution pour attribuer les droits administrateurs aux utilisateurs limités (temporairement bien sur ) sans qu’ils puissent voir le mot de passe en clair ni dans le source du programme ni dans une fenêtre ? Peut-être puis-je définir des droits sur le source de l’installation afin que les utilisateurs limités puissent installer en tant qu'administrateur ?
 
Si vous avez une idée et/ou que vous avez déjà été confronté à une telle situation merci de me donner des infos, des pistes vers quelle solutions je peux m’orienter.
 
Pour que ce soit validé par mon service informatique, il faudrait dans la mesure du possible que ce soit une solution,  se passant de logiciel tiers qui pourrait devenir rapidement obsolète au vu de l’évolution des OS.
Je sais que ma question est pas super facile mais là, dans ce contexte particulier, je sèche un peu.  
 
Merci à vous de m’avoir lu. J’attends vos réponses.
   

mood
Publicité
Posté le 11-06-2010 à 15:28:11  profilanswer
 

n°2949501
MickeyNox
chui plus là
Posté le 11-06-2010 à 15:57:07  profilanswer
 

Bon, je toruve que tu te fais des noeuds au cervaux pour pas grand choses.
 
1 reflechie à comment est fait VNC et réfléchie pour et comment le pousser en invisible
 
2 des solution pour faire la même chose tu en a pas mal
 
3 soufle un coup et essaie simplifier ton raisonement.

n°2949507
dosinosy
Posté le 11-06-2010 à 16:32:35  profilanswer
 

Bonjour M. MickeyNox
Je bosse en info je connais un petit peu quand même.
Ici ce n'est pas le problème pour trouver des solutions qui fonctionnent.
La tentative 4 fonctionnait bien.
La problèmatique c'est plus trouver quelque chose qui reponde aux pré-requis de critères de sécurité que m'impose ma hièarchie.  
 
"Je me fais des noeud au cerveau pour pas grand chose"  
"des solution pour faire la même chose tu en a pas mal"
"soufle un coup et essaie simplifier ton raisonement"
 
Je suis sur un forum que j'aime bien et je vais quand même rester calme et polis. Au vu du ton de vos réponses, vous êtes pas en train de me prende de haut par hasard ?!
 
Je me demande si vous m'avez bien lu.  
Mes utilisateurs sont des commerciaux itinérants, pas connectés en permanence donc utiliser VNC pour le rendre invisible je vois pas l'interet.  
A moins que VNC puisse allumer ou sortir de veille le portable du commercial, à distance, initier la connexion 3G et booster cette connexion pour qu'un package de 400 Mo puisse passer par la 3G (qui met déjà 45 minutes pour télécharger 30Mo soit 10heures pour 400Mo) sans deconnexion.
 
"des solution pour faire la même chose tu en a pas mal"
ça c'est le réponse top qualité je me sens déjà beaucoup plus instruit, merci infiniment.
 
"soufle un coup et essaie simplifier ton raisonement"
ne te vexes surtout pas mais je vais continuer sur mon raisonnement, tu ne m'as pas convaincu.
 
A+
 
Avis aux autres j'attends de vrai réponses certes mais même si elles sont pas bonnes, tant que l'on me prend pas de haut je suis preneur lol

n°2949508
MickeyNox
chui plus là
Posté le 11-06-2010 à 16:45:31  profilanswer
 

- Si tu fais du get tu sera obligé d utiliser de run as .... mais je te conseil de apsser apr du VBS ( protègé lui même pas mot de passe )
 
- Si tu fais fais du Push t as plus de choix mais domage que tu n ai pas d AD.
 
- sinon regarde là : http://www.appdeploy.com/packages
 
( merci Wolfman )
 
Ensuite, non j ai lu en travers parce que les commentaires avait sur moi un effet sopporifiques.

n°2949513
blueteen
Posté le 11-06-2010 à 17:06:58  profilanswer
 

Salut, dans le genre runas, j'utilise ça : http://www.steelsonic.com/steelrunas.htm
Ca me créé un exécutable avec toutes les infos/options nécessaires/utiles.
J'utilise la version 1.2 qui était freeware à l'époque.

n°2949516
blueteen
Posté le 11-06-2010 à 17:11:37  profilanswer
 

dosinosy a écrit :

 

Pour que ce soit validé par mon service informatique, il faudrait dans la mesure du possible que ce soit une solution,  se passant de logiciel tiers qui pourrait devenir rapidement obsolète au vu de l’évolution des OS.
 

 

Par contre, avec cette mentalité, autant ne pas faire d'informatique !
A la sortie d'Office 97, il faisait quoi ton service informatique ? Il continuait d'utiliser la machine à écrire car les futures versions (logiciels/os) allaient poser souci ?
Et ils n'utilisent pas de navigateurs internet je suppose, car ces derniers sont régulièrement obsolètes avec l'évolution des normes (css, etc).
Explique leur que les mises à jour ça existe, et que pour le souci que tu évoques, ce n'est pas bloquant si dans 5 ans steel runas ne marche plus par exemple, il y aura soit un remplaçant, soit une autre manière d'installer vos softs, etc...
Je suppose qu'il n'y a que des vieux dans ton service info ?

Message cité 1 fois
Message édité par blueteen le 11-06-2010 à 17:14:13
n°2949521
dosinosy
Posté le 11-06-2010 à 17:24:05  profilanswer
 

blueteen a écrit :


 
Par contre, avec cette mentalité, autant ne pas faire d'informatique !
A la sortie d'Office 97, il faisait quoi ton service informatique ? Il continuait d'utiliser la machine à écrire car les futures versions (logiciels/os) allaient poser souci ?
Et ils n'utilisent pas de navigateurs internet je suppose, car ces derniers sont régulièrement obsolètes avec l'évolution des normes (css, etc).
Explique leur que les mises à jour ça existe, et que pour le souci que tu évoques, ce n'est pas bloquant si dans 5 ans steel runas ne marche plus par exemple, il y aura soit un remplaçant, soit une autre manière d'installer vos softs, etc...
Je suppose qu'il n'y a que des vieux dans ton service info ?


 
Ben ce que voudrait mon superieur ça serait plutot une solution qui serait plus "corporate". Une solution à base d'outil Microsoft et non pas de logiciel tiers qui pourraient plus être compatible avec w7 mais bon je crois pas non plus qu'il m'en tiendrai rigeur si la solution passe par 2015 lol

n°2949523
dosinosy
Posté le 11-06-2010 à 17:26:58  profilanswer
 

MickeyNox a écrit :

- Si tu fais du get tu sera obligé d utiliser de run as .... mais je te conseil de apsser apr du VBS ( protègé lui même pas mot de passe )
 
- Si tu fais fais du Push t as plus de choix mais domage que tu n ai pas d AD.
 
- sinon regarde là : http://www.appdeploy.com/packages
 
( merci Wolfman )
 
Ensuite, non j ai lu en travers parce que les commentaires avait sur moi un effet sopporifiques.


 
Je suis sur que vous ne pensiez pas à mal mais c'est juste le ton qui m'a gonflé  :D  

n°2949527
dosinosy
Posté le 11-06-2010 à 17:34:42  profilanswer
 

SInon je viens de regarder appdeploy c'est pas mal il y a de l'idée merci MickeyNox.
JE vais étudier ça.
En fait si j'ai de l'ad et quand j'ai besoin de deployer quelque chose dans le parc je le fait via l'ad, gpo et package MSI (ce que j'ai fait avec Flash player 10)
 
Si je file un package MSI (sur clé DVD ou clé usb) est-ce que l'utilisateur limité peut installer l'application avec les droits du compte administrateur local (utilisateur en workgroup) ?

n°2949560
blueteen
Posté le 11-06-2010 à 19:06:09  profilanswer
 

Juste comme ça, tu as vu mon lien pour steel run as ? (compatible win7).

mood
Publicité
Posté le 11-06-2010 à 19:06:09  profilanswer
 

n°2949582
dosinosy
Posté le 11-06-2010 à 22:31:35  profilanswer
 

ben zut je pensais avoir répondu tout à l'heure mais ma réponse à du partir dans les méandres d'I.E. lol
Oui j'ai vu ton lien blueteen et je t'en remercie, ça n'a pas l'air mail du tout.
Je vais tester ça bientôt et je vous tiens au courant.
Encore merci pour vos réponses.
a+


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Win NT/2K/XP

  Instal automatisée sur compte limité sans divulgation de password

 

Sujets relatifs
Le compte de la ram n'y est pasLimite de capacite HDD sur windows 7
gestion de comptehotmail : passer a un compte payant
Hack compte WoW ! Lecture Hijack svp :/Profile Password Thunderbird
creer un nouveau compte administrateurSupprimer toutes traces d'un compte utilisateur
Compte Administrateur bloqué 
Plus de sujets relatifs à : Instal automatisée sur compte limité sans divulgation de password


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR