Instal automatisée sur compte limité sans divulgation de password

Instal automatisée sur compte limité sans divulgation de password - Win NT/2K/XP - Windows & Software

Marsh Posté le 11-06-2010 à 15:28:11    

But : Dans le cadre du boulot je dois installer des programmes sur les ordinateurs portables des commerciaux qui sont rarement au siège social de la boite.
Contexte :
    Les portables sont sous Windows XP PRO
    Ils sont en WORKGROUP (pas en domaine)
    Les comptes utilisateurs locaux sont :
        Administrateur [Droit : ADMINISTRATEUR]
        Nomdemonchef [Droit : ADMINISTRATEUR]
        Nom_du_commercial [Droit : Compte limité]
 
 
Le mot de passe des comptes locaux (administrateur et Nomdemonchef) des portables sont les mêmes sur tout  le parc donc impossible de le divulguer à l’utilisateur.
 
Contexte de travail :
Lorsque je dois intervenir sur une de ces machines, je prends la main par REAL VNC dessus via internet (3G-WIFI/LAN) + solution vpn (si besoin de faire une installation soit "Exécuter en tant que..." ou je me relogue en admin local)
 
Je sais créer un package MSI pour faire une installation automatisée, je sais créer des installations automatisées (par batch + ligne de commande silencieuse par exemple).
Si je dois déployer une grosse installation, j’envois des CD gravés aux personnes (vu la taille c’est mieux car en 3G bonjour la facture !).  
J’ai fais un bon petit fichier bat automatisé mitonné aux petits ognons qui marche nickel... avec les droit d’administrateur bien sur !!!!
En effet, les utilisateurs n’étant pas administrateur des postes pas possible de faire d’installation.
 
Réalisations :
 
Voila ce que j’ai tenté en vrac pour palier au problème :
 
- Tentative 1 : Faire un fichier bat qui automatise l’installation couplé avec la commande runas.
- Echec : le runas ne permet pas de passer le mot de passe.  :heink:  
 
- Tentative 2 : Faire un fichier bat qui automatise l’installation couplé avec le script vbs de J. BELLAMY « XRUNAS » qui permet, lui, de passer le mot de passe => ça fonctionne.  :)  
- Echec : le mot de passe apparait est en clair dans le bat la solution n’est pas validé, ni par moi ni par mon chef. :cry:  
 
- Tentative 3 : Utiliser un programme tiers (non microsoft) comme celui de J. BELLAMY le mot de passe apparaissant dans la ligne de commande en crypté => ça marche.  :)  
- Echec : Même problème que précédemment, si on lance la ligne de commande par exemple « runas_avec_cryptage_du_password  login=administrateur password=ù£^***55221^@_|`)=)(($* calc.exe » ben on peux faire « runas_avec_cryptage_du_password  login=administrateur password=ù£^***55221^@_|`)=)(($* install_emule.exe »
 
- Tentative 4 : la même que la précédente mais compilation en plus de .bat vers *.exe => ça fonctionne, sans une ligne à l’écran avec le mot de passe en clair et/ou en crypté.  :sol:  
 
- Echec (et mat) : pas validé par mon chef, ça fait trop bidouillé. Il veux une solution pur microsoft pour la pérennité de la solution sur les versions supérieures (seven et superieur…)  :pt1cable:  :cry:  :cry:  
 
Voici (enfin !) ma question :  
 
Existe-t-il une solution pour attribuer les droits administrateurs aux utilisateurs limités (temporairement bien sur ) sans qu’ils puissent voir le mot de passe en clair ni dans le source du programme ni dans une fenêtre ? Peut-être puis-je définir des droits sur le source de l’installation afin que les utilisateurs limités puissent installer en tant qu'administrateur ?
 
Si vous avez une idée et/ou que vous avez déjà été confronté à une telle situation merci de me donner des infos, des pistes vers quelle solutions je peux m’orienter.
 
Pour que ce soit validé par mon service informatique, il faudrait dans la mesure du possible que ce soit une solution,  se passant de logiciel tiers qui pourrait devenir rapidement obsolète au vu de l’évolution des OS.
Je sais que ma question est pas super facile mais là, dans ce contexte particulier, je sèche un peu.  
 
Merci à vous de m’avoir lu. J’attends vos réponses.
   

Reply

Marsh Posté le 11-06-2010 à 15:28:11   

Reply

Marsh Posté le 11-06-2010 à 15:57:07    

Bon, je toruve que tu te fais des noeuds au cervaux pour pas grand choses.
 
1 reflechie à comment est fait VNC et réfléchie pour et comment le pousser en invisible
 
2 des solution pour faire la même chose tu en a pas mal
 
3 soufle un coup et essaie simplifier ton raisonement.

Reply

Marsh Posté le 11-06-2010 à 16:32:35    

Bonjour M. MickeyNox
Je bosse en info je connais un petit peu quand même.
Ici ce n'est pas le problème pour trouver des solutions qui fonctionnent.
La tentative 4 fonctionnait bien.
La problèmatique c'est plus trouver quelque chose qui reponde aux pré-requis de critères de sécurité que m'impose ma hièarchie.  
 
"Je me fais des noeud au cerveau pour pas grand chose"  
"des solution pour faire la même chose tu en a pas mal"
"soufle un coup et essaie simplifier ton raisonement"
 
Je suis sur un forum que j'aime bien et je vais quand même rester calme et polis. Au vu du ton de vos réponses, vous êtes pas en train de me prende de haut par hasard ?!
 
Je me demande si vous m'avez bien lu.  
Mes utilisateurs sont des commerciaux itinérants, pas connectés en permanence donc utiliser VNC pour le rendre invisible je vois pas l'interet.  
A moins que VNC puisse allumer ou sortir de veille le portable du commercial, à distance, initier la connexion 3G et booster cette connexion pour qu'un package de 400 Mo puisse passer par la 3G (qui met déjà 45 minutes pour télécharger 30Mo soit 10heures pour 400Mo) sans deconnexion.
 
"des solution pour faire la même chose tu en a pas mal"
ça c'est le réponse top qualité je me sens déjà beaucoup plus instruit, merci infiniment.
 
"soufle un coup et essaie simplifier ton raisonement"
ne te vexes surtout pas mais je vais continuer sur mon raisonnement, tu ne m'as pas convaincu.
 
A+
 
Avis aux autres j'attends de vrai réponses certes mais même si elles sont pas bonnes, tant que l'on me prend pas de haut je suis preneur lol

Reply

Marsh Posté le 11-06-2010 à 16:45:31    

- Si tu fais du get tu sera obligé d utiliser de run as .... mais je te conseil de apsser apr du VBS ( protègé lui même pas mot de passe )
 
- Si tu fais fais du Push t as plus de choix mais domage que tu n ai pas d AD.
 
- sinon regarde là : http://www.appdeploy.com/packages
 
( merci Wolfman )
 
Ensuite, non j ai lu en travers parce que les commentaires avait sur moi un effet sopporifiques.

Reply

Marsh Posté le 11-06-2010 à 17:06:58    

Salut, dans le genre runas, j'utilise ça : http://www.steelsonic.com/steelrunas.htm
Ca me créé un exécutable avec toutes les infos/options nécessaires/utiles.
J'utilise la version 1.2 qui était freeware à l'époque.

Reply

Marsh Posté le 11-06-2010 à 17:11:37    

dosinosy a écrit :

 

Pour que ce soit validé par mon service informatique, il faudrait dans la mesure du possible que ce soit une solution,  se passant de logiciel tiers qui pourrait devenir rapidement obsolète au vu de l’évolution des OS.
 

 

Par contre, avec cette mentalité, autant ne pas faire d'informatique !
A la sortie d'Office 97, il faisait quoi ton service informatique ? Il continuait d'utiliser la machine à écrire car les futures versions (logiciels/os) allaient poser souci ?
Et ils n'utilisent pas de navigateurs internet je suppose, car ces derniers sont régulièrement obsolètes avec l'évolution des normes (css, etc).
Explique leur que les mises à jour ça existe, et que pour le souci que tu évoques, ce n'est pas bloquant si dans 5 ans steel runas ne marche plus par exemple, il y aura soit un remplaçant, soit une autre manière d'installer vos softs, etc...
Je suppose qu'il n'y a que des vieux dans ton service info ?

Message cité 1 fois
Message édité par blueteen le 11-06-2010 à 17:14:13
Reply

Marsh Posté le 11-06-2010 à 17:24:05    

blueteen a écrit :


 
Par contre, avec cette mentalité, autant ne pas faire d'informatique !
A la sortie d'Office 97, il faisait quoi ton service informatique ? Il continuait d'utiliser la machine à écrire car les futures versions (logiciels/os) allaient poser souci ?
Et ils n'utilisent pas de navigateurs internet je suppose, car ces derniers sont régulièrement obsolètes avec l'évolution des normes (css, etc).
Explique leur que les mises à jour ça existe, et que pour le souci que tu évoques, ce n'est pas bloquant si dans 5 ans steel runas ne marche plus par exemple, il y aura soit un remplaçant, soit une autre manière d'installer vos softs, etc...
Je suppose qu'il n'y a que des vieux dans ton service info ?


 
Ben ce que voudrait mon superieur ça serait plutot une solution qui serait plus "corporate". Une solution à base d'outil Microsoft et non pas de logiciel tiers qui pourraient plus être compatible avec w7 mais bon je crois pas non plus qu'il m'en tiendrai rigeur si la solution passe par 2015 lol

Reply

Marsh Posté le 11-06-2010 à 17:26:58    

MickeyNox a écrit :

- Si tu fais du get tu sera obligé d utiliser de run as .... mais je te conseil de apsser apr du VBS ( protègé lui même pas mot de passe )
 
- Si tu fais fais du Push t as plus de choix mais domage que tu n ai pas d AD.
 
- sinon regarde là : http://www.appdeploy.com/packages
 
( merci Wolfman )
 
Ensuite, non j ai lu en travers parce que les commentaires avait sur moi un effet sopporifiques.


 
Je suis sur que vous ne pensiez pas à mal mais c'est juste le ton qui m'a gonflé  :D  

Reply

Marsh Posté le 11-06-2010 à 17:34:42    

SInon je viens de regarder appdeploy c'est pas mal il y a de l'idée merci MickeyNox.
JE vais étudier ça.
En fait si j'ai de l'ad et quand j'ai besoin de deployer quelque chose dans le parc je le fait via l'ad, gpo et package MSI (ce que j'ai fait avec Flash player 10)
 
Si je file un package MSI (sur clé DVD ou clé usb) est-ce que l'utilisateur limité peut installer l'application avec les droits du compte administrateur local (utilisateur en workgroup) ?

Reply

Marsh Posté le 11-06-2010 à 19:06:09    

Juste comme ça, tu as vu mon lien pour steel run as ? (compatible win7).

Reply

Marsh Posté le 11-06-2010 à 19:06:09   

Reply

Marsh Posté le 11-06-2010 à 22:31:35    

ben zut je pensais avoir répondu tout à l'heure mais ma réponse à du partir dans les méandres d'I.E. lol
Oui j'ai vu ton lien blueteen et je t'en remercie, ça n'a pas l'air mail du tout.
Je vais tester ça bientôt et je vous tiens au courant.
Encore merci pour vos réponses.
a+

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed