Здравствуйте, Sinclair, Вы писали:

S>+:А что, в винде уже remote assistance отменили? Там как раз можно было получить UI контроль под учёткой текущего пользователя.
S>Имхо, покрывает запрошенный сценарий на 100%.
Можно. Но топикстартеру, как я понял, нужен ssh для винды.

Здравствуйте, Sheridan, Вы писали:
S>Можно. Но топикстартеру, как я понял, нужен ssh для винды.
Как я понял, ему нужно решение конкретных проблем пользователя, причём в реальном времени, а не завтра утром.

Здравствуйте, Sinclair, Вы писали:

S>Здравствуйте, Sheridan, Вы писали:
S>>Можно. Но топикстартеру, как я понял, нужен ssh для винды.
S>Как я понял, ему нужно решение конкретных проблем пользователя, причём в реальном времени, а не завтра утром.
Ну давай подумаем, что может в виндах решиться скриптами, без окон.
1. Управление сетевыми ресурсами
2. Управление локальными файлами
3. Работа с реестром
4. Ярлыки
5. Права доступа
6. Управление процессами (приоритет, завершение)
7. Управление сетью
8. Установка некоторой части софта (который умеет silent режим, как правило msi пакеты)
9. Просмотр статистики (аптайм, нагрузка)
10. Управление демонами (сервисами)

Вроде всё, возможно чтото забыл, но исключительно в силу редкости применения
Итак, 4 первых пункта — доменные политики в полный рост. Да, иногда не с первой перезагрузки срабатывает, но сразу настраивается на все 100500 машин в домене.
upd: упс, пункт 2 про_пустил. Ниже.
5 пункт редко бывает нужен, как правило когда софт хочет писать именно в ту папку куда он установлен. Можно скрипт через отдельную политику прикрутить для выставления нужных прав нужным пользователям\компам
6 пункт как правило должен быть интерактивен. Ну, запустил, посмотрел, чтото поправил в приоритетах или отстрелил часть процессов. Как следствие — нужно некое подобие ссш или сам рдп. Применяется редко.
7 пункт как правило, в силу своей особенности, через сеть не применяется, есть риск отстрелить сеть вообще с понятными последствиями. Впрочем, при полной уверенности в своих действиях — можно.
8 пункт перекрывается доменными политиками в полнй рост. Причем не только установка, но и удаление.
9 пункт перекрывается той же самой snmp
10 пункт опять же — доменные политики

Итого, как бы сделал я на месте топикстартера:
1. Поднял бы домен, разбил бы юзеров и компы на группы, под группы бы поднял свои политики с нужными настройками
2. В случае специфической задачи — цеплялся бы через ремот асистента или схожее, решал бы удалённо.
3. В исключительных случаях — поездка на место, если там нет раба, способного несколько более вдуманно жать на клавиши в телефонном режиме и который бы понимал фразу типа "проверь маршруты" или "кто сожрал память? отстрели"

Как вариант — у топикстартера зоопарк машин зоопарка разных организаций, "админ по вызову". В этом случае всё несколько усложняется. Надо смотреть на способность фирмы на траты. Где есть возможность — покупаем и поднимаем домен, где то поднимаем домен на линупсах (вполне работает уже, без фанатизма, но часто используемое уже есть), где то ищем среди рабов самого спышленного и делаем его через его начальство своей правой рукой, гдето работаем через рдп... В общем, еще один зоопарк.
Я бы в таком случае как минимум выбивал бы везде по системнику, делал бы из него шлюзик в интернет и по совместительству DC, на линупсе. А так же поднимал бы vpn сервис, чтобы я мог полноценно подключаться к их локалке в случае чего (чтобы не пришлось портмап хотя бы делать на шлюзе). А дальше смотрел бы по ситуации.

upd Пункты 1, 2, 3, 4, 5, 6, 7, 10, частично 8 и 9 требуют консоли в комп. Я не пользовал, но советуют freeSSHd

Здравствуйте, Sheridan, Вы писали:

S>Здравствуйте, Sinclair, Вы писали:
S>>Как я понял, ему нужно решение конкретных проблем пользователя, причём в реальном времени, а не завтра утром.
Вот самое главное!

....
S>10 пункт опять же — доменные политики
Sheridan я к Вам отношусь с большим уважением, но не понимаю почему Вы пытаетесь убедить меня поднять домен?

Поймите меня правильно:
1. мне ненужно решать проблему сразу же на 100500 рабочих местах.
2. рабочих мест действительно 100500, они достаточно стандартизированы, но я решаю конкретные проблемы только по запросу, на конкретных ПК

Давайте чтобы упростить ситуацию возьмем одну конкретную задачу и решим ее.
Попробуем его решить разными способами, и выберем самый быстрый и наименее трудоемкий.

Предлагаю элементарную задачу: подключение сетевого принтера \\ServerName\PrinterName на ПК пользователя, и назначить его по умолчанию.
Замечание: я выбрал именно эту задачу не потому что она единственная или самая частая.
Я выбрал ее скорей потому что она проста и понятна.

Способы решения известные мне:
Способ 1. Подключиться к рабочему столу пользователя и вручную подключить принтер или запустить скрипт.
Способ 2. Закинуть скрипт на автозапуск и попросить пользователя перезагрузить ПК
Способ 3. Попросить кликнуть пользователя на скрипте (который подложить ему например на рабочий стол).
Способ 4. Подключить принтер используя ГП
Способ 5. Запустить скрипт удаленно на ПК пользователя под его правами(пока у меня не получается).

Учитывая что Способ 5 я пока не могу реализовать, самым быстрым способом остается как не странно способ 1, хотя и наиболее трудоемкий способ.
Способ 3 сильно зависит от уровня подготовки пользователя, поэтому пропустим.
Способ 2 и 4 требуют перезагрузку ПК — это дольше чем способ 1, хотя и менее трудоемко.

Я ищу способ быстрый чем способ 1, трудоемкость пока оставим в покое.
Пока на это тянет только способ 5, но не получается его реализовать.

собственно скрипт чтоб не было разночтений:
: AddNetPrn.vbs

Set WshNetwork = WScript.CreateObject("WScript.Network")
WshNetwork.AddWindowsPrinterConnection "\\ServerName\PrinterName"
WshNetwork.SetDefaultPrinter "\\ServerName\PrinterName"

Здравствуйте, Sheridan, Вы писали:
S>Итого, как бы сделал я на месте топикстартера:
S>1. Поднял бы домен, разбил бы юзеров и компы на группы, под группы бы поднял свои политики с нужными настройками
S>2. В случае специфической задачи — цеплялся бы через ремот асистента или схожее, решал бы удалённо.
S>3. В исключительных случаях — поездка на место, если там нет раба, способного несколько более вдуманно жать на клавиши в телефонном режиме и который бы понимал фразу типа "проверь маршруты" или "кто сожрал память? отстрели"
Ну вот я делал бы точно так же. Если там человек на месте и задача требует интерактива — запускаем ремоут ассист и помогаем.
Если чувака на месте нет — решаем через доменные политики.
Если чувака на месте нет, а надо срочно — решаем через psexec. Вопросы типа удалённого отстрела процесса вполне себе решаются таким способом.
Интерактивных задач такого рода я себе не представляю. Это как — "срочно за пять минут добавьте мне принтер, а я послезавтра приеду и попечатаю"?

Здравствуйте, Sinclair, Вы писали:

S>Ну вот я делал бы точно так же. Если там человек на месте и задача требует интерактива — запускаем ремоут ассист и помогаем.
Дык собственно щас так оно и происходит.
Как мне Вам доказать что скпиптом задачи можно решать быстрей?
Вам не нужно прерывать работу пользователя.
Вам даже не нужно с ним как то связываться.
Вы просто выбираете его комп, принтер и запускаете этим двумя параметрами некий скрипт на его компе.
Все!
Принтер подключен.
Можно переходить к другой задаче.
S>Если чувака на месте нет — решаем через доменные политики.
Чувак нам не нужен, даже если он на месте.
S>Если чувака на месте нет, а надо срочно — решаем через psexec.
Мне пока не удалось подключить сетевой принтер удаленно на компе пользователя используя psexec и vbs скрипт.
Если что скрипт постом выше.
Попробуйте. Может я не правильно что то делаю.
Но как я понимаю скрип должен быть запущен от имени пользователя чтоб принтер подключился.

Здравствуйте, Cicero, Вы писали:

C>Злого намерения нет — ибо у меня админские права на комп пользователя. У меня самые добрые намерения — помочь пользователю.
Remote Assistant? Или нужно помочь пользователю так, чтобы он не узнал?

Здравствуйте, Cicero, Вы писали:

C>Потому что быстрей будет сделать все это подключившись к рабочему столу пользователя программами типа Радмин прямо сейчас в ручном режиме, чем посылать комп на перезагрузку ради автозагрузки.
Зачем перезагрузка? Перелогиниться достаточно.

Здравствуйте, Cicero, Вы писали:


C>Предлагаю элементарную задачу: подключение сетевого принтера \\ServerName\PrinterName на ПК пользователя, и назначить его по умолчанию.
C>Замечание: я выбрал именно эту задачу не потому что она единственная или самая частая.
C>Я выбрал ее скорей потому что она проста и понятна.

я бы поднял ssh, заходил бы в туда и net use...
Но это если бы домен не было возможности поднять.

Здравствуйте, Sheridan, Вы писали:

S>я бы поднял ssh, заходил бы в туда и net use...
S>Но это если бы домен не было возможности поднять.

Это не будет нисколько не быстрей чем:

Способ 1. Подключиться к рабочему столу пользователя и вручную подключить принтер или запустить скрипт.

Не говоря уже о том что таким способом скрипт подключения принтера (см. выше) скорей всего не сработает правильно.

Здравствуйте, Ops, Вы писали:

C>>Злого намерения нет — ибо у меня админские права на комп пользователя. У меня самые добрые намерения — помочь пользователю.
Ops>Remote Assistant? Или нужно помочь пользователю так, чтобы он не узнал?

Узнает конечно. Секретности тут нет — работы ведутся по заявке того самого пользователя.
Естественно он получит уведомление о том что сделано(или не сделано).
В идеальном случае да, было бы хорошо не отрывать пользователя от работы.

Здравствуйте, Cicero, Вы писали:

Еще раз тебе говорю: тебе нужен домен.

Здравствуйте, Ops, Вы писали:

Ops>Зачем перезагрузка? Перелогиниться достаточно.
Принципиально это для пользователя не играет особой роли, ибо и так и так придется закрыть все программы.
А закрытие/открытие программ часто более длительно чем сама пререзагрузка.

Здравствуйте, Sheridan, Вы писали:

S>Еще раз тебе говорю: тебе нужен домен.

Да я уже чувствую что готового средства нет.
Придется мне самому написать какого то монстра, который будет подключаться к компу, поднимать там удаленно свою службу (как psexec), запускать что надо(скрипт, прогу), под нужными правами(под пользователем, админом или системой), передать результат а потом самоудаляться с удаленного ПК.
Технически насколько я понимаю проблем нет.
А вот готового средства я так и не нашел.

Здравствуйте, Cicero, Вы писали:

S>>Еще раз тебе говорю: тебе нужен домен.

C>Да я уже чувствую что готового средства нет.
C>Придется мне самому написать какого то монстра, который будет подключаться к компу, поднимать там удаленно свою службу (как psexec), запускать что надо(скрипт, прогу), под нужными правами(под пользователем, админом или системой), передать результат а потом самоудаляться с удаленного ПК.
C>Технически насколько я понимаю проблем нет.
C>А вот готового средства я так и не нашел.

Опять же домен нужен для автоматического распихивания твоего монстра по всем компам.
И кстати, такой монстр уже есть. Внезапно, домен.

У нас это один из побочных сценариев в программе для синхронизации софта на серверах. На машине ставится самописный сервис, ставишь его в автозагрузку под нужной тебе учеткой, дальше стучишься к нему, тот запускает нужный тебе софт, если надо то поток вывода можно перенаправить обратно. Пишется на коленке достаточно быстро.

Здравствуйте, Cicero, Вы писали:

C>Решение пусть будет выглядит как скрипт или программный код на любом языке

Код писать лень, задача решается любой из вариаций на тему DLL-injection (http://blog.opensecurityresearch.com/2013/01/windows-dll-injection-basics.html ): находишь id пользовательского процесса (winint или explorer, например), цепляешь в его АП свою DLL и создаешь в нем тред, стартующий с нужного адреса. Правда решать таким образом линейные задачи администрирования не вполне разумно, IMO

И, кстати, а причем тут дырявость?

Здравствуйте, ononim, Вы писали:

O>Во первых — это targeted атака. Это значит что конкретно этот человек уже имеет нужную тебе информацию. Ты не будешь бегать и ставить всем подрят троянов пока ктонить не укажет там свой CVV2 код. То есть так делают, но лишь удаленно — и в гораздо массовом порядке, чем ты сможешь сделать сам при помощи своих пары ног. Даже если они крутят педали. А если человек уже имеет нужную тебе информацию — ты приходишь и _быстро_ тыришь ее.
Еще раз, для тех кто в арме. Если мне нужна корреспонденция некого "директора" проходящая через секретаря, зачем мне разово тырить ее, если я могу получать ее всю, после установки трояна?

O>>>Загрузит образ, который свяжется с тобой, ты ему быстро сольешь требуюмую для поднятия энвиронмента информацию, которую ты к тому времени снимешь со стыренного хдд.
FLY>>Ага, это значительно более простой вариант чем тупо получить рут
O>Значительно более быстрый. Подождал когда секретарша пописать вышла, поменял винт, ушел. Профи справится за пару минут.
Выключить комп, вскрыть системник, отключить шлейфы, отвернуть диски, вставить и подлкючить свои быстрее чем загрузиться с флешки. К томуже (см. выделеное) ты еще должен успеть пока секретарша не вернулась обработать ее диски, чтобы она вернувшись не место не выносила мозг админам, что ее комп перестал пускать

Здравствуйте, kochetkov.vladimir, Вы писали:

Боюсь, что созданный через DLL-injection thread не будет иметь прав пользователя, а будет выполняться с правами администратора, его создавшего.

Здравствуйте, Sheridan, Вы писали:

C>>Придется мне самому написать какого то монстра, который будет подключаться к компу, поднимать там удаленно свою службу (как psexec), запускать что надо(скрипт, прогу), под нужными правами(под пользователем, админом или системой), передать результат а потом самоудаляться с удаленного ПК.
C>>Технически насколько я понимаю проблем нет.
C>>А вот готового средства я так и не нашел.

S>Опять же домен нужен для автоматического распихивания твоего монстра по всем компам.
S>И кстати, такой монстр уже есть. Внезапно, домен.

Ну вот вы опять предлагаете массово что то делать с 100500 ПК, в то время как мне нужно то всего на 500ах ПК, при том что я заранее не знаю на каких.
Я же говорю о установке "монстра" только при работе с ПК и удалении его при окончании работа.
Потому что вполне возможно что я уже никогда к конкретно этому ПК уже не вернусь, или вернусь через год(смотря когда ко мне обратятся).