Forum
Merhabalar,
Danışmak istediğim bir konu var. Şirketimizdeki domain kullanıcılarına Forcepoint sürüm güncellemesi yapmak istiyoruz. Bunun için .msi dosyamız yok. Bir .bat script ile bunu yapmak istiyoruz.
Şu şekilde bir scriptim var;
for /f "tokens=3" %%a in ('reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Websense\Agent" /v InstallVersion') do set n=%%a
if NOT "%n%" =="8.2.2334" (GOTO CHECKOS) ELSE (GOTO END)
:CHECKOS
IF EXIST "%PROGRAMFILES(X86)%" (GOTO 64BIT) ELSE (GOTO 32BIT)
:64BIT
\\FILESERVER\GPO_KUR\FORCEPOINT-ONE-ENDPOINT-x64.exe /v"/quiet /norestart"
GOTO END
:32BIT
\\FILESERVER\GPO_KUR\FORCEPOINT-ONE-ENDPOINT-x32.exe /v"/quiet /norestart"
GOTO END
:END
Buradaki GPO_KUR klasörü tüm kullanıcılara(everyone) full kontrol yetkisi ile paylaştırıldı. İçerisinde .bat ve script içerisinde yazan .exe tam adıyla yer alıyor.
GPO'da tüm Bilgisayarlara Computer Configuration > Policies > Windows Settings > Scripts > Startup içerisine .bat dosyası gösterilerek Link edildi.
rsop.msc ile baktığımda update alan bilgisayarlar şu şekilde gözükürken;
update almayanlar böyle gözüküyor;
50 bilgisayar var ancak bunlardan sadece 7-10 arası bilgisayar bu güncellemeyi aldı. Bunlar içerisinde kendi cihazında Local Admin olan da var, olmayanda. Nerede hata yapıyor olabilirim? Tüm kullanıcıları kendi bilgisayarlarında Local Admin yaparak da denedim ancak yine de güncellemeyi almadı.
Değerli yardımlarınızı bekliyorum.
Bazıları alıyorsa gpo policy, batch çalışıyor demektir o durumda batch uygulamayan client'in başka gerektirdiklerini manuel çalıştırarak ancak siz analiz edebilirsiniz.
Local admin gereksinimi için bat batch file da forum da aramanız gereken kelime runas.
Net deki çeşitli tool'larla exe msi convert edebilirsiniz.
pdq deploy trial ile clientlara parça parça exe remote install edebilirsiniz.
'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
İbrahim Bey Merhabalar,
Teşekkürler değerli yorumunuz için, exe to msi denedim ancak çevirdiğim msi uzantılı dosya çalışmadı. Runas ile ilgili olarak da ben bu konularda biraz yeni olduğum için bu komutu benim .bat da nerede yazmam gerekiyor?
Yani runas /env /user:domainadı\administrator \\FILESERVER\GPO_KUR\FORCEPOINT-ONE-ENDPOINT-x64.exe /v"/quiet /norestart" şekinde mi?
Yoksa bunu gösterdiğim Startup içeriside mi?
Evet doğru konumda yazmışsınız goto end ler önüne exe çalıştırmadan önce olacak ki şifre ile yetki devralsın.
https://www.cozumpark.com/community/windows_server-4/61670/#post-61684
'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Eğer domain user kullanıcılarında yükleme oldu ise Run as gerekli değildir. İbrahim zaten söylemiş yani bazı kullanıcılarda GPO çalıştı ise GPO da sorun yoktur.
Çalışmayan bir kullanıcıda o EXE yi elle çalıştırın ve izleyin farklı olarak örneğin bir sistem gereksinimi, .net sürümü veya AV kesiyor olabilir. Özetle istemcileri kontrol edin
İşletim sistemi sürümü
AV
Yetki
Vlan
Vb
En temizi madem bu işlerde yenisiniz her şey loglarda yazar, yükleme sırasındaki hataları Windows olay günlüklerinden takip edebilirsiniz.
Ayrıca üretici ile görüşün mutlaka yükleme başladıktan sonra hata veriyor ise o EXE bir dizine log atıyordur onu öğrenip onu kontrol edebilirsiniz.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Hakan Bey Merhabalar,
Değerli yorumunuz için teşekkür ederim. .bat'ı kullanıcılarda çalıştırmak istediğimde çalışıyor ve güncellemeyi geçiyor. runas kısmını da şu an pek becerdiğim söylenemez. Event viewer da kontrolü AD üzerinde mi kullanıcı pcleri üzerinde mi yapmak daha sağlıklı olur? Çünkü amaç biraz da kullanıcılara bu yapılanı hiç hissetirmeden yapmak gibi
Makine için başlangıç komutu tanımlarsanız runas yetkisine gerek kalmaz.
Zaten bu şekilde bazı istemcilerde çalıştı demişsiniz bu duruma çalışmayan istemcilerde ki olay günlüklerine bakmanız gerekli.
Uygulama yüklemesi için application, gpo işlemleri için system logları.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Hakan Bey,
Almayan istemciler için event wieverda "Başlangıç komut dosyası başarısız oldu." hatası alıyor. fp.bat dosyasını el ile çalıştırdığım zaman .exe kurulumu için File Server'a ilk bağlantıda kullanıcı şifresini istiyor. Problem bu olabilir mi? Dosyayı fileserver içerisinden değil de, AD içerisinden paylaştırsam kurulum gerçekleşir mi?
Neden şifre soruyor? Bunu çözmen lazım öncelikle. DC ye exe koymak mantıklı. File server doğru bir konum ama izinleri ayarlayın lütfen.
Not: şifre derken yerel kullanıcı yükleme yetkisi olmadığı için şifre soruyor olabilir bunu makine gpo olarak yaparak atlatabilirsin.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Hakan Bey,
Ağ kimlik bilgilerini girin diye kullanıcıya domain bilgilerinin girilmesi soruluyor. AD üzerinden paylaştığımda da aynı sorun mevcut. Bunu istememesini için nasıl bir izin ayarı yapılması gerekiyor?
Manuel client'dan denediğinizde paylaşıma girerken şifre soruyorsa kullanıcının yetkisi yeterli değildir paylaşımın yetkilerini düzenlemeniz gerekir. Paylaşımı geçici olarak $ ekleyerek everyone olarak verebilirsin.
Yok paylaşıma girip exe'nin çalışma noktasında veriyorsa local admin ihtiyacı vardır mevcut değildir.
Hakan hocanın dediği gibi makinenin startup 'ına koyarsan zaten yükleniyor olmalıydı. Yukarıda gördüğüm gpo zaten computer conf altında.
Bu durumda akla cihazın exe'nin istediği gereklilikleri karşılamadığı gelir. Log'lardan kastettiği bu gpo 'u kastetmiyor sadece ne engelliyorsa onun log'ları düşüyordur. Aksi halde diğerleri için de çözmek için manuel çalıştırıp hataları ve eksikleri görmen lazım ki ona göre kurallarını düzenleyebilesin.
'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
İbrahim Bey,
Event viewerda sadece bu gözüküyor. Ben manuel çalıştırdığımda bu .bat kurulumu gerçekleştiriyor. Gözlemlediğim tek şey de Ağ kimlik bilgilerini girin şeklinde kullanıcının domain ve şifresini istemesi. Bu bilgiler girilince tekrardan kurulum gerçekleşiyor. Yani ben bundan kaynaklı olabilir mi diye Fileserver için şu şekilde bir ayar güncellemesi yaptım ama buda etkili olmadı. Şifre sormaması için kullanıcı bilgisayarlarında da bu ayarı mı yapmak gerekir?
Bu arada ben runas değil de tek bir kullanıcıda kendi cihazında Local Admin olarak yetki verip denediğimde de event viewer 1. resimdeki gibi dönüyor.
Kusura bakmayın ben de yanlış yorumluyor olabilirim.
O log yeterli ayrıntıyı vermiyor malum.
Sorun veren makine o sysvol\policies klasörüne şifre sormadan girebiliyor mu?
'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Evet tüm klasörlere şifresiz girebiliyor.
Paylaşım makine hesabı için izin vermeyi dener misiniz yani PC1$ gibi.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Onuda denedim. Maalesef yine aynı durum.
Bir uzman el atsın o zaman yapında malum forum olduğu için göremediğimiz bir sorun var demek ki, çünkü 2003 den beri gpo ile exe kurarım yani çok büyük bir olay değil aslında.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************