Hello,
 
 
J'essai de lancer sur un poste distant un script via PsExec. Le soucis c'est que celui-ci est bloqué au début.
 
Quel port ou service faut il autoriser pour qu'une machine sous Windows 7 ou 10 accepte des requêtes de PsExec ?
 
 
Merci par avance pour votre aide.

Il est plutôt conseillé de bloquer l'accès via PSEXEC au PC/Server, notamment car il est utilisé par les ransomwares pour infecter les machines.

Il faut oublier PSEXEC. Utilise du Remote Powershell à la place.

Il est aussi puissant qu'un Psexec ? (Je le connais pas).

Pour lancer un script sur une liste de poste distants (fichier csv par ex) avec les bons droits admin sur le poste ça ressemble à quoi ?
 
Est-ce qu'il y a des ports ou autre à ouvrir sur les postes ?

Tu actives la règle par défaut WinRM dans le parefeu Windows, c'est tout.
 
Pour des exemples de scripts fait une recherche sur Google.

Pour du remote monitoring, je chiffre mes credentials dans un txt qui est repris par mon script qui ensuite exécute les commandes pour ma remontée d'info.
 
Concernant les ports, aucune idée.

Merci beaucoup pour les infos, j'ai fait ma petite gpo pour le service WinRM, pare feu etc... il y a plus qu'a tester

Je ne pense pas qu'il faille oublier le Psexec, c'est toujours très pratique d'en avoir un sous la main pour se connecter sur un poste au cas où tout va mal.
Il utilise les ports 139 et 445.
 
Tu peux ensuite faire un Enable-PSRemoting –force pour activer le WinRM sur le poste distant (port 5985 et 5986).

 
 
 
La j'ai fait ma gpo pour autoriser WinRM ça fonctionne très bien. Reste à voir comment executer depuis un poste, un autre script distant. J'ai fait :
 
Invoke-Command -ComputerName vm-test-gpo -Credential domaine\monlogin -FilePath "\\monsrv\test.ps1"
 
Il me dit qu'il connait pas le fichier, en gros  test.ps1 est un script qui relance un .bat pour installer OpenVPN (qui fonctionne bien).
Que je mette les "" ou non ça change pas, il trouve pas le fichier. Une idée ?

Je commencerai par mettre un FilePath en local -FilePath c:\test\test.ps1 pour voir si cela s'exécute bien.

Yes je vais tester ça, il doit y avoir une subtilité pour lancer depuis un partage réseau j'imagine.
 
D'ailleurs quand c'est pour lancer une installation à distance, est-ce qu'il faut les droits admin ailleurs ?

Avec cette commande :  
 
 
Invoke-Command -ComputerName vm-test-gpo -Credential domaine\**** -ScriptBlock {powershell c:\openVPN\test.ps1}
 
Il lance bien mon script distant, sur le site distant j'avais demandé de créer un répertoire ça fonctionne bien. Par contre moi je veux lancer dans ce test.ps1 un autre fichier script en .bat et la ça ne fonctionne pas.
 
Je pense qu'il cherche à me retourner le résultat et ça lui plait pas. Une idée ?

et dans ton test.ps1, c'est quelle commande que tu utilises pour lancer le .bat?

Je fais un : start-process .\install-openvpn.bat
 

Et si je fais en local un clic droit exécuter avec Powershell mon test.ps1, il lance bien mon .bat car il me demande d'accepter pour installer OpenVPN.

En remote c'est différent qu'en local : essaie de mettre le chemin complet plutôt que .\install... car pas certain que le premier script sache interpréter dans quel dossier il est.

Je viens de faire le test, rien de plus. En fait j'ai l'impression qu'il veut pas exécuter un programme à distance comme ça.
 

En même temps c'est une des pires façons possibles pour installer un programme à distance - tu as de vrais softs pour ça.
 
Sinon tu peux copier les sources en local et lancer ton script localement via une tâche planifiée, ça fonctionnera sans doute mieux. (mais ça reste crade).

remote powershell c'est bien.. Mais si t'as pas de DNS qui fonctionne correctement ca marche beacoup moins bien Du coup le psexec peut être pratique
 
Concernant ton problème, je pense que tu as trouvé la réponse toi même non ?
 
Le script .bat s'execute dans un autre contexte et te demande une validation, que tu ne vois donc pas apparaitre et ça tourne dans le vent.
 
Tu n'as pas un flag genre -f pour forcer la validation et ne pas avoir de demande ?

C'est quoi le rapport en remote PS et le DNS !?

Je n'ai plus l'ensemble des détails en tête, mais la machine que tu attaques avec le remote PS doit être joignable via un nom qui doit être resolvable par un DNS, ou un truc du genre.

Nebulos je suis d'accord avec toi que c'est une méthode crade.
 
Le soucis je déploie aussi OpenVPN via GPO et en 2 semaines seulement 120 pcs sur 300 ont réussi à le mettre. Avec des gens toujours en vadrouille, ou qui branche leur câble après avoir boot leur session etc... C'est très difficile d'aller vite.
 
J'ai eu mon devis pour sccm, 76 000€ pour 450 users ça calme. Mais je vais essayer de l'obtenir ...
 
Mais en attendant je vois pas quel argument ou chose à faire sur mon script.

Je regarde aussi via FusionInventory, mais très peu d'info sur les dernières version. Ou alors il manque toujours LE truc pour pouvoir y arriver .
 
Sinon pour le déploiement via GPO, est-ce qu'il y a une façon de forcer/accélérer le déploiement d'application ?. Car même en envoyant un mail en indiquent de reboot le pc avec le câble reseau branché ....

Tu veux dire quoi par forcer/accélérer?

Bas aujourd'hui je suis obligé d'attendre que le pc portable soit sur le réseau, avec un câble et que la personne démarre son pc dans cette config. Ce qui forcément pour déployer un soft rapidement n'est clairement pas le mieux.
 
Et j'aimerai aller plus vite, qu'attendre que les gens fassent tout ça pour déployer le logiciel.

on t'a parlé de tache planifiée

Yes, en gros faire une copie de mes sources sur le C:\ du users, et programmer la tâche.
 
Par contre pour l'élévation des droits ça fonctionne comment ?

Micko...
Tu devrais jouer avec les tâches planifiées et tu verras comment ça fonctionne.

Bon je vais tester tout ça alors, merci pour vos retours en tout cas

Effectivement ça a l'air de bien correspondre à ce que je veux, et d'éviter mon soucis d'obligation de câble réseau au démarrage.
 
Par contre quand je fais ma gpo sur 2 pcs dans mon OU par exemple, même après un gpupdate je ne vois pas la task s'ajouter. Il y a une autre subtilité pour qu'elle s'ajoute ?
Et si je fais un gpresult je vois bien ma gpo appliqué à mes deux pcs.
 

Bon avec ma gpo que ça soit en user ou ordinateur la task ne s'ajoute pas sur les pcs. Par contre si je me connecte en admin local sur le pc, la mes GPO fonctionnent bien.
 
Une idée ?

Bon je vais me répondre à moi même, et ça servira surement à d'autre je pense.
 
De base les task via GPO (et pas que) sont invisibles quand on ouvre le planificateur de tâche normalement. Il faut donc l'ouvrir en tant qu'admin (juste clic droit "exécuter en tant que" ) et la elles sont visibles
 
Bon il y a plus qu'a à faire mes essais maintenant
 
Édit :
 
Bon c'est visible si gpo users, ordinateur toujours pas. Une idée ?

Personne n'a d'infos pour voir ou faire fonctionner les tâches planifiées via une gpo ordinateur ?

Bonjour,
 
si sccm est trop cher il te reste wapt :
bientot utilisable a travers le web dans sa version 1.5
 
https://www.wapt.fr/fr/
 

 
Salut,
 
tu utilises ?
C'est bien ?
Pas une usine à gaz à installer et utiliser ?

Merci je vais regarder, car budget pour 600 pcs et 20 serveurs .. 79 000€ pour SCCM ... du coup ça m'a calmé

 
 
oui je l'utilise, oui c'est bien, il faut juste connaitre le langage python ou s'y mettre, ca requiere une appli serveur (dispo pour linux ou windows, mais il recommande linux)  et des agents sur les postes

Déjà 600 PC, ça fait une boite d'une belle taille, et le SCCM est encore inaccessible.

Financièrement oui la boite peut largement l'acheter. Mais convaincre la direction que pour gérer des postes et installer/maintenir des applications il faut presque 80 000€, je sais d'avance que ça passera pas.
 
Nous sommes dans une taille intermédiaire ou sans SCCM c'est galère mais gérable, mais pas assez pour justifier l'achat, pour pas que ça soit vu comme un petit confort.