Scheidegger Dominic: IE mit Batch starten und an Proxy anmelden

Hallo zusammen,

ich hoffe ihr könnt mir helfen...

ich soll ein batchskript schreiben, welches dann im intranet (intern) mit einem link verknüpft wird..

öffnet der user den link wird ein batch skript aufgeführt, welches den IE im kiosmodus öffnet...

soweit kein problem..

hier die "herausforderung"

im batch file soll für das öffnen des IE auch USER und PASSWORT mitgegeben werden, damit die anmeldung am proxy ohne eingreifen klapp..
(nötig, da viele user keinen internet zurgiff haben, wenn die dann eine seite aufrufen wollen, kommt da das anmeldefenster für die aztrentifizierung am proxy server)

beim befehl net use kann mann ka mit (als beispiel) /user:domian\username den user mitgeben... gibt es eine möglichkeit dies auch mit einem batchfile umtzsettzen?

oder wisst ihr sonst ne lösung, die sich das gesammt problem lösen lässt... evt direkt mit "herf" link im html IE im K-modus öffnen und user mit pw übergeben...

danke für eure hilfe, ihr seit eh meine helden...

grüsse

dominic

  1. add: bis jetzt hab ich das:

    @echo Willkommen bei FIRMA
    @echo ----------------------------------

    @echo ----------------------------
    @echo Umfrage wird gestartet
    @echo ----------------------------

    @start iexplore.exe -k http://www.sbb.ch

  2. Hallo,

    im batch file soll für das öffnen des IE auch USER und PASSWORT mitgegeben werden, damit die anmeldung am proxy ohne eingreifen klapp..

    Verstehe ich das richtig, aktueller USER und PASSWORT sollen z.B. dem Batch-Programm automatisch bekannt sein, damit folgendes nicht mehr passiert:

    [...] wenn die dann eine seite aufrufen wollen, kommt da das anmeldefenster für die aztrentifizierung am proxy server

    D.h. die Anmeldung soll automatisch im Hintergrund passieren mit den Anmeldedaten, die ein User fürs Intranet hat?

    Gruß, Don P

    1. hi,

      es ist so, das nicht jeder user der an der domäne angemeldet ist, internetzugriff hat... dieser zugriff wird über das AD gesteuert!

      wir haben jedoch einen user eröffnet, der nur internet berechtigung hat und mit diesem erstellten user soll sich das batch file am proxy anmelden...

      z.B der engmeldete user der den luink öffnet heisst: usr_1000
      dieser usr_1000 hat keine internetberechtigung!

      jetzt ruft der der usr_1000 den link auf, welchen ihn auf die internetseite führt, also kommt das anmeldefenster für den proxy..

      hier soll das batch file nun automatisch den usr_2000 (mit berechtigung) einfügen und zum anmelden gebrauchen, damit der usr_1000 auf die seite kommt...

      danke und grüsse

      1. Hallo,

        es ist so, das nicht jeder user der an der domäne angemeldet ist, internetzugriff hat... dieser zugriff wird über das AD gesteuert!

        AD? ADministrator-Abteilung? Wollte eh schon vorschlagen: Fragen Sie Ihren Systemadministrator.

        wir haben jedoch einen user eröffnet, der nur internet berechtigung hat

        Das könnte man anders lösen:

        Jeder im Intranet angemeldete User bekommt prinzipiell Zugriff auf den Internet-Proxy, aber nicht jeder Browser jedes Nutzers kennt dessen Namen bzw. IP-Adresse und Port => erst mal kein Zugriff auf den Proxy und somit auch nicht auf's Internet.

        Die notwendigen Verbindungsdaten ("PROXY proxy.foo.com:8080") stehen
        in Form einer Proxy-Auto-Config Datei irgendwo auf einem Server im Intranet zur Verfügung, auf die aber nur der usr_2000 zugreifen darf.

        Dein Batch-Programm loggt sich dann jeweils mit

        net use z: \autoconfig-server\autoconfig-pfad\ {Kennwort} /user:usr_2000

        dort ein, bevor es den Browser startet.

        Der Browser jedes Rechners muss so konfiguriert sein, dass er die Proxy-Einstellungen beim Starten aus der autoconfig-Datei liest (z:autoconf.pac). Vor dem Beenden deines Batch-Programms wird dann die Verbindung zur Datei mit

        net use z: \autoconfig-server\autoconfig-pfad /delete

        wieder abgebrochen => anschließend wieder kein Zugriff mehr auf den Proxy und somit auch nicht mehr auf's Internet.

        Gruß, Don P

        1. Moin Moin!

          Der IE kann die Windows-Anmeldung (Name und eine Session-Nummer) automatisch zum Proxy mitschicken, die muß der Proxy dann nur noch gegen das AD checken. Mit Microsoft-Hausmitteln ist das vermutlich am leichtesten zu realisieren, aber auch 3rd party Proxies können sowas gelegentlich. Bei squid würde ich fast darauf wetten, dass es ein passendes Plugin gibt (Stichwort: NTLM Authentication).

          Passworte gehören nicht in Batch-Files.

          Die Variante mit dem Netzlaufwerk ist nicht ganz verkehrt, aber wer sagt, dass der IE nicht die proxy.pac zwischenspeichert, wenn das Laufwerk mal gerade nicht da ist?

          Alexander

          --
          Today I will gladly share my knowledge and experience, for there are no sweeter words than "I told you so".
          1. Hallo,

            Der IE kann die Windows-Anmeldung (Name und eine Session-Nummer) automatisch zum Proxy mitschicken, die muß der Proxy dann nur noch gegen das AD checken.

            Ja schon, aber geht das auch mit anderen Anmeldedaten als denen des aktuellen Users? Und wenn ja, woher nimmt der IE diese dann diese anderen Anmeldedaten, wenn er per Batch startet? Der Benutzer soll sie ja eigentlich gar nicht kennen, nehme ich mal an. Jedenfalls soll er sie nicht eingeben.

            Passworte gehören nicht in Batch-Files.

            Das stimmt natürlich.

            Die Variante mit dem Netzlaufwerk ist nicht ganz verkehrt, aber wer sagt, dass der IE nicht die proxy.pac zwischenspeichert, wenn das Laufwerk mal gerade nicht da ist?

            Das macht er meines Wissens (noch) nicht.
            Es ist natürlich immer die Frage *wie* sicher man das Ganze haben will. Mein Vorschlag ist sicher nicht ganz sicher ;-) – schon wegen des Passworts in der Batch-Datei. Das kann man auch weglassen, und per Batch nur die autoconfig-Datei z.B. auf den lokalen Rechner kopieren (wo der IE sie immer vermutet) und anschließend wieder von dort löschen. Ist aber auch nicht sicherer.

            Gruß, Don P

            1. Moin Moin!

              Der IE kann die Windows-Anmeldung (Name und eine Session-Nummer) automatisch zum Proxy mitschicken, die muß der Proxy dann nur noch gegen das AD checken.

              Ja schon, aber geht das auch mit anderen Anmeldedaten als denen des aktuellen Users?

              Nein. Das ist ja gerade Sinn der Übung, ein Single Sign On zu schaffen, basierend auf der Anmeldung am Windows-System.

              Alexander

              --
              Today I will gladly share my knowledge and experience, for there are no sweeter words than "I told you so".
              1. Hallo,

                Ja schon, aber geht das auch mit anderen Anmeldedaten als denen des aktuellen Users?

                Nein. Das ist ja gerade Sinn der Übung, ein Single Sign On zu schaffen, basierend auf der Anmeldung am Windows-System.

                Das hast du falsch verstanden: Das ist gerade nicht der Sinn der Übung, sonst wäre alles kein Problem.
                Sondern es soll jeder, unabhängig von seiner aktuellen Anmeldung am Windows-System, beim Proxy als spezieller Internet-User angemeldet werden, Zitat:

                hier soll das batch file nun automatisch den usr_2000 (mit berechtigung) einfügen und zum anmelden gebrauchen, damit der usr_1000 auf die seite kommt...

                Der genannte usr_1000 ist am Windows-System eingeloggt, soll sich aber als usr_2000 beim Proxy anmelden.

                Gruß, Don P

                1. Moin Moin!

                  Ja schon, aber geht das auch mit anderen Anmeldedaten als denen des aktuellen Users?

                  Nein. Das ist ja gerade Sinn der Übung, ein Single Sign On zu schaffen, basierend auf der Anmeldung am Windows-System.

                  Das hast du falsch verstanden: Das ist gerade nicht der Sinn der Übung, sonst wäre alles kein Problem.
                  Sondern es soll jeder, unabhängig von seiner aktuellen Anmeldung am Windows-System, beim Proxy als spezieller Internet-User angemeldet werden

                  Nö, das ist mir schon klar. "Sinn der Übung" bezog sich auf die NTLM-Anmeldung.

                  Aber der Punkt, der hier auftaucht, ist: Warum sollen alle User einen gemeinsamen Account benutzen?

                  Ich grab mal aus:

                  es ist so, das nicht jeder user der an der domäne angemeldet ist, internetzugriff hat... dieser zugriff wird über das AD gesteuert!
                  wir haben jedoch einen user eröffnet, der nur internet berechtigung hat und mit diesem erstellten user soll sich das batch file am proxy anmelden...
                  hier soll das batch file nun automatisch den usr_2000 (mit berechtigung) einfügen und zum anmelden gebrauchen, damit der usr_1000 auf die seite kommt...

                  Offensichtlich soll nicht jeder surfen können, aber auf ein oder zwei Seiten soll ein gewisser Benutzerkreis passwortfrei Zugriff haben.

                  Es ist aber der falsche Weg, dafür einen Ausnahme-User anzulegen. Wenn rauskommt, dass man über diesen User-Account unlimitiert surfen kann, wird gesurft, bis der Arzt kommt.

                  Sauber wäre, für die erforderlichen Seiten und die betroffenen Benutzer Ausnahmeregeln in den Proxy einzutragen. Z.B. alle Benutzer der Gruppe "Umfrageopfer" dürfen auf umfrageopfer.example.com zugreifen, der Rest des Internets bleibt aber gesperrt.

                  Wenn der Proxy das nicht schafft, richtet man einen zweiten Proxy ein, der nur gewisse Seiten erlaubt (eben umfrageopfer.example.com), das aber ohne Ansehen der Person. Diesen Proxy trägt man als Ausnahmeregel in die zentral verteilte proxy.pac ein.

                  Alexander

                  --
                  Today I will gladly share my knowledge and experience, for there are no sweeter words than "I told you so".