W10 - autolaunch programu(ů) bez přihlášení, ale na usera

[Jey]

Snažím se u klienta rozchodit přes Plánovač úloh právě toto:

Je potřeba spustit dvě aplikace - úlohy na W10. Nejlépe jako admin, který má účet.. Aby pak ty úlohy byly vidět na taskbaru a v trayi (tj. asi se musí vždy nějak spustit explorer.exe).

Ideálně bez toho, aby se na PC někdo přihlásil (tj. zůstalo zamknuté). Což je možné přes Plánovač úloh + vybrat usera a password, nicméně po připojení přes vzdálenou plochu, tj. konzoli administrace nejsou takto spuštěné programy na taskbaru ani v tray, takže se nedají nijak upravovat parametry běhu a jejich nastavení. Jediný event, který funguje je "po spuštění", což asi dává smysl. Spouštět na jiného uživatele jako SYSTEM nebo něco podobného je asi nesmysl?

Co jsem vyčetl, tak existují dvě možnosti.. přes AUTOLOGON.. spustit skript + skriptem zamknout, nicméně tohle se nechá odchytit a pc zůstane přihlášené, což není příliš ok zabezpečení.

Přes ARSO, což by mělo být přesně co hledám. Ale tam jde o to, že se aplikace spustí po restartu. Nevím jak po vypnutí a zapnutí.

Někdo zkušenosti, rady?

[zsdx]

Nestaci k tomu PC nepripojit monitor a klavesnici/mys kdyz pak stejne pracujes remote?
A serioznejsi tip - aplikaci jako admin muze spustit i velice omezeny uzivatelsky ucet.

[Jey]

Vyřešeno přes ARSO, jen je potřeba mít čip TPM pro automatické přihlášení, aby se měly kam uložit login credentials. Nebo zapnout na desce fTPM.

Jinak admin účet opravdu nestačí, protože dokud se přímo nepřihlásí, tak ani není spuštěný explorer.exe, tj. hlavní nabídka a samotná tray lišta.

A v takovém případě se spuštěné programy nezobrazí na panelu nebo v praxi, takže není způsob jak je vyvolat a ani upravovat nastavení jejich běhu.

Jinak externí TPM čip nemůžu doporucit, kvůli zabezpečení, hromadně končily všude možně - Čína a pokud existují superpočítače, tak je jen otázka času, kdy se ty data rozlousknou.

[TomasX]

Vyřešeno přes ARSO, jen je potřeba mít čip TPM pro automatické přihlášení, aby se měly kam uložit login credentials. Nebo zapnout na desce fTPM.

K čemu TPM na autologin ?
Používám to dost často a nikde není TPM ani fTPM.
Autologin a spuštění programů po startu. Pak je to všechno na remote desktop v pohodě dostupné.
Když to pak zamkneš tak je to bezpečnostně srovnatelné s nepřihlášeným uživatelem.

Jinak externí TPM čip nemůžu doporucit, kvůli zabezpečení, hromadně končily všude možně - Čína a pokud existují superpočítače, tak je jen otázka času, kdy se ty data rozlousknou.

Pokud se k tomu stroji může někdo dostat tak je minimum zašifrovaný disk (bitlocker už to TPM potřebuje).

[Jey]

ARSO bez toho ani nejde, někam se musí uložit údaje posledního přihlášeného uživatele. Na pevný disk to nestačí.
Autologin je shit, je tam prodleva mezi přihlášení, ----- spuštění programů ----- odhlášení. Nelíbí se mi takové řešení.

Jo, jde o to, aby pak ty programy byly dostupné pro nastavení a otevření nebo zobrazení jejich GUI přes taskbar. Jen jsem chtěl říct, že je víc bezpečnější a stačí TPM na základní desce.

[TomasX]

Tohle je stejně taková nouzová "prasárna" na soft co to jinak neumí.
Správně by měl být service co běží na pozadí (bez přihlášení) + frontend co se pustí přihlášenému uživateli.
Ale někdy to jinak nejde.

[Jey]

Řešení s Autologin znám a není zase tak špatné, ale jde o to, že tam je skript, který nemusí vždy plně fungovat, může dojít k prodlevě při spouštění, chybové hlášce, updatu programů apod., pak se to někde zasekne, nebo nezamkne, takové řešení nepovažuji za spolehlivé. Kdežto ARSO, které jsem si načetl naopak právě jako takové vypadá. Tak uvidíme časem. Hlavní podmínka byla ta přístupnost spuštěných programů přes taskbar, respektive vůbec nějak a jiná možnost se ani nenašla. Tedy následně pomocí běžného přihlášení nebo vzdálené správy.

[Jey]

Tady je popis, jak zapnout ARSO
https://learn.microsoft.com/en-us/windo ... -on--arso-
tady je alternativní popis a více metod
https://www.elevenforum.com/t/enable-or ... s-11.3324/

Už mi to fungovalo, v eventvwr.msc má být kód 321 s popiskem, že se úspěšně uložily údaje a pak nějaký další, tuším 320 (nebo i obráceně).
Tedy přímo v sekci LSA. V sekci Systém jsou / a mají být normální kódy přihlášení 1 a 2.

Nicméně teď jsem zase na nefunkčním:

Při automatickém přihlášení po restartování se nepodařilo nakonfigurovat přihlašovací údaje pro automatické přihlášení. Došlo k této chybě:

"The local account store does not contain secret material for the specified account.
(0xc0000371)"

Někdo neví co s tím? Přihlašuju se a spravuju tohle nastavení přes vzdálenou plochu. Stejně pak provádím restart. A následně plánuju údržbu.
Může tohle být zdrojem problému? Nicméně user, který spravuje pc (admin) a přes vzdálenou plochu, je jeden a ten samý. Zkusím připojit periferie a udělat stejnou věc. První jsem měl připojený TPM čip a pak vyjmul/vrátil nazpět. Neměl by být potřeba, protože je na základní desce. Ale těžko říct.

[Jey]

Takže opět vyřešeno, myslel jsem že jsem to sem už napsal. Je potřeba se alespoň jednou přihlásit přímo na tom konkrétním PC. A mít zapnuté TPM (onboard nebo discrete).

Přes vzdálenou plochu tohle nestačí. Jednou se přihlásit, pak se uloží přístupové údaje a už vše funguje automaticky nehledě na používání nepoužívání vzdálené plochy, apod.

Vyřešeno.

[Jey]

Hmm.. tak opět.

Už nevím jak na to. Přihlašuju se přes vzdálenou plochu, stejně tak PC i spravuju. Od nastavení přímo v PC normálně ARSO funguje. PC nabootuje zamknuté, ale spustí se úlohy z plánovače úloh, přímo na toho daného usera (admin), tudíž jsou pak normálně dohledatelné v taskmanageru, na liště a v trayi.

Po nějaké době.. (přes vzdálenou plochu se používá stejný user i password), opět přestane fungovat..

Nemáte nějaký tip, jak tuhle schopnost, featuru udělat dlouhodobě spolehlivě funkční? Jako nebaví mě chodi k terminálu, připojovat zase a znovu klávesnici a myš, přihlásit se, aby se znovu uložily údaje a dát restart, odpojit. Pak to někdy nějak přestane fungovat a serverové aplikace zase ... neběží. Je potřeba spolehlivost.

[zsdx]

Zase jeden takovej, co veril, ze neco od MS spolehlive funguje...
Takze je to o tom, zda jim bude mene vadit prochazka s klavesnici nebo (spise teoreticka) moznost obejiti autologonu na stroji, ktery nema klavesnici.

[Jey]

Tohle je komplikované a bohužel, ale nevadí, zkus to znovu, necharakterizoval jsi mě vůbec správně.

Prostě featura, která je docela obyčejná a bylo by fajn, kdyby fungovala, nebo existoval nějaký workaround, který ji dlouhodobě rozchodí, protože není jiná možnost.
Potřebuju, aby se na nepřihlášeném pc spustily 2 serverové programy, které budou po přihlášení přístupné, tzn. viditelné na taskbaru. Aby se daly rozkliknout a ovládat.

Jiná možnost asi není, nebo ji nikdo nezná.. protože pokud nebyl spuštěn a neběží taskbar, tak veškerý launch pomocí plánovače úloh, provedený.. pochopitelně po startu apod., protože nedocházi k přihlášení usera, sice app spustí, ale nedají se pak rozkliknout a ovládat.

Způsob s autologin a odhlášením není z hlediska bezpečnosti, možnosti odchycení, prodloužení běhu skriptu, nebo jeho zastavení vůbec příhodné a bezpečné řešení.
Co se týče hesel.. tak samozřejmě ty vytáhne taky kdo chce kdy chce pomocí bruteforce.. ne přímo z pc, ale z uživatele. Nicméně chci prostě dosáhnout kýžené mety.

Nebudu chodit s klávesnicí a myší, ani kdyby byla trvale připojená a v okamžiku (který se ale nedá určit, respektive jen přes port nebo server watchdog), kdy to jinak není potřeba pc/server manuálně restartovat. Uvítal bych nějaké elegantní řešení. Bohužel přes vzdálenou plochu .. ačkoliv se připojuje stejný user, nefunguje uložení přihlašovacích údaju a tedy rozchození ARSO nikdy.

[zsdx]

Uvítal bych nějaké elegantní řešení.

Uz tu zaznelo - nechat napsat korektne ty aplikace. Tim elegantne prehodis problem na nekoho jineho
Seriozneji mineny dotaz - nechodilo by to spolehliveji pod serverovym OS?

[Jey]

Já ten OS ale používám jako desktop a běžně.. je tam W10 Pro K verze.. bez multimédií.. tj. bez asi 30-50 aplikací co nechceš, nebo jinak nahradíš. Jen doinstalovávám zpětně Windows Media Feature pack. Běží tam jedna server appka pro herní server a občas ještě jeden další server. Ale taky tam spouštím hry třeba (marginálně) apod. Server nechceš. Navíc jsem zaplatil licenci W10. Klidně bych je seřval, ať to přeprogramují. Přece se nechá všechno updatovat, včetně aplikací jako příkazový řádek a různé utilitky, tak stejně tak i součásti W10. To ARSO má asi 5 úrovní nastavení. Viz návod: https://www.elevenforum.com/t/enable-or ... s-11.3324/
Je tam current user, specific user, all users.. mám zapnuté to poslední přes gpedit.msc, tak zkusím zapnout všechny ty hodnoty pro všechny uvedené volby výše, třeba se to tím vyřeší.