W10 - autolaunch programu(ů) bez přihlášení, ale na usera

[Jey]

Snažím se u klienta rozchodit přes Plánovač úloh právě toto:

Je potřeba spustit dvě aplikace - úlohy na W10. Nejlépe jako admin, který má účet.. Aby pak ty úlohy byly vidět na taskbaru a v trayi (tj. asi se musí vždy nějak spustit explorer.exe).

Ideálně bez toho, aby se na PC někdo přihlásil (tj. zůstalo zamknuté). Což je možné přes Plánovač úloh + vybrat usera a password, nicméně po připojení přes vzdálenou plochu, tj. konzoli administrace nejsou takto spuštěné programy na taskbaru ani v tray, takže se nedají nijak upravovat parametry běhu a jejich nastavení. Jediný event, který funguje je "po spuštění", což asi dává smysl. Spouštět na jiného uživatele jako SYSTEM nebo něco podobného je asi nesmysl?

Co jsem vyčetl, tak existují dvě možnosti.. přes AUTOLOGON.. spustit skript + skriptem zamknout, nicméně tohle se nechá odchytit a pc zůstane přihlášené, což není příliš ok zabezpečení.

Přes ARSO, což by mělo být přesně co hledám. Ale tam jde o to, že se aplikace spustí po restartu. Nevím jak po vypnutí a zapnutí.

Někdo zkušenosti, rady?

[zsdx]

Nestaci k tomu PC nepripojit monitor a klavesnici/mys kdyz pak stejne pracujes remote?
A serioznejsi tip - aplikaci jako admin muze spustit i velice omezeny uzivatelsky ucet.

[Jey]

Vyřešeno přes ARSO, jen je potřeba mít čip TPM pro automatické přihlášení, aby se měly kam uložit login credentials. Nebo zapnout na desce fTPM.

Jinak admin účet opravdu nestačí, protože dokud se přímo nepřihlásí, tak ani není spuštěný explorer.exe, tj. hlavní nabídka a samotná tray lišta.

A v takovém případě se spuštěné programy nezobrazí na panelu nebo v praxi, takže není způsob jak je vyvolat a ani upravovat nastavení jejich běhu.

Jinak externí TPM čip nemůžu doporucit, kvůli zabezpečení, hromadně končily všude možně - Čína a pokud existují superpočítače, tak je jen otázka času, kdy se ty data rozlousknou.

[TomasX]

Vyřešeno přes ARSO, jen je potřeba mít čip TPM pro automatické přihlášení, aby se měly kam uložit login credentials. Nebo zapnout na desce fTPM.

K čemu TPM na autologin ?
Používám to dost často a nikde není TPM ani fTPM.
Autologin a spuštění programů po startu. Pak je to všechno na remote desktop v pohodě dostupné.
Když to pak zamkneš tak je to bezpečnostně srovnatelné s nepřihlášeným uživatelem.

Jinak externí TPM čip nemůžu doporucit, kvůli zabezpečení, hromadně končily všude možně - Čína a pokud existují superpočítače, tak je jen otázka času, kdy se ty data rozlousknou.

Pokud se k tomu stroji může někdo dostat tak je minimum zašifrovaný disk (bitlocker už to TPM potřebuje).

[Jey]

ARSO bez toho ani nejde, někam se musí uložit údaje posledního přihlášeného uživatele. Na pevný disk to nestačí.
Autologin je shit, je tam prodleva mezi přihlášení, ----- spuštění programů ----- odhlášení. Nelíbí se mi takové řešení.

Jo, jde o to, aby pak ty programy byly dostupné pro nastavení a otevření nebo zobrazení jejich GUI přes taskbar. Jen jsem chtěl říct, že je víc bezpečnější a stačí TPM na základní desce.

[TomasX]

Tohle je stejně taková nouzová "prasárna" na soft co to jinak neumí.
Správně by měl být service co běží na pozadí (bez přihlášení) + frontend co se pustí přihlášenému uživateli.
Ale někdy to jinak nejde.

[Jey]

Řešení s Autologin znám a není zase tak špatné, ale jde o to, že tam je skript, který nemusí vždy plně fungovat, může dojít k prodlevě při spouštění, chybové hlášce, updatu programů apod., pak se to někde zasekne, nebo nezamkne, takové řešení nepovažuji za spolehlivé. Kdežto ARSO, které jsem si načetl naopak právě jako takové vypadá. Tak uvidíme časem. Hlavní podmínka byla ta přístupnost spuštěných programů přes taskbar, respektive vůbec nějak a jiná možnost se ani nenašla. Tedy následně pomocí běžného přihlášení nebo vzdálené správy.

[Jey]

Tady je popis, jak zapnout ARSO
https://learn.microsoft.com/en-us/windo ... -on--arso-
tady je alternativní popis a více metod
https://www.elevenforum.com/t/enable-or ... s-11.3324/

Už mi to fungovalo, v eventvwr.msc má být kód 321 s popiskem, že se úspěšně uložily údaje a pak nějaký další, tuším 320 (nebo i obráceně).
Tedy přímo v sekci LSA. V sekci Systém jsou / a mají být normální kódy přihlášení 1 a 2.

Nicméně teď jsem zase na nefunkčním:

Při automatickém přihlášení po restartování se nepodařilo nakonfigurovat přihlašovací údaje pro automatické přihlášení. Došlo k této chybě:

"The local account store does not contain secret material for the specified account.
(0xc0000371)"

Někdo neví co s tím? Přihlašuju se a spravuju tohle nastavení přes vzdálenou plochu. Stejně pak provádím restart. A následně plánuju údržbu.
Může tohle být zdrojem problému? Nicméně user, který spravuje pc (admin) a přes vzdálenou plochu, je jeden a ten samý. Zkusím připojit periferie a udělat stejnou věc. První jsem měl připojený TPM čip a pak vyjmul/vrátil nazpět. Neměl by být potřeba, protože je na základní desce. Ale těžko říct.

[Jey]

Takže opět vyřešeno, myslel jsem že jsem to sem už napsal. Je potřeba se alespoň jednou přihlásit přímo na tom konkrétním PC. A mít zapnuté TPM (onboard nebo discrete).

Přes vzdálenou plochu tohle nestačí. Jednou se přihlásit, pak se uloží přístupové údaje a už vše funguje automaticky nehledě na používání nepoužívání vzdálené plochy, apod.

Vyřešeno.