Verteilen im Netzwerk

Grundsätzliches: Das .NET Framework verbietet es, eine ausführbare Datei (EXE) direkt über einen UNC-Pfad (Pfad ohne Laufwerkszuweisung z.B. \Server\Ordner) aufzurufen[1]. Dies war zumindest unter .NET 1.1 Standard.

Die Datei CI-Sign-net.vbs umgeht dieses „Problem“, indem die benötigten Dateien zunächst in das lokale Benutzerprofil kopiert/synchronisiert werden. Anschließend wird CI-Sign von dort aus lokal ausgeführt. Obwohl es die oben genannte Einschränkung nicht mehr gibt (ab .NET 2 kann eine .EXE von einem UNC Pfad direkt aufgerufen werden), verfolgen wir diese Philosophie weiter.

Wir empfehlen CI-Sign über das enthaltene Script CI-Sign-net.vbs auszuführen oder direkt die CI-Sign.exe. Mit diesem Script sind keine Einstellungen an Ihrem .Net Framework notwendig.

Die Datei CI-Sign-net.vbs kann entweder

  1. im Login-Script (Anmeldeskript) z.B. im NETOLOGON-Verzeichnis aufgerufen werden (empfohlen).

  2. über eine Gruppenrichtlinie ausgeführt werden

  3. per Autostart aufgerufen werden (nicht empfohlen)

image-20210415132954841

1. Verteilung über Anmeldeskript / NETLOGON Ordner (empfohlen)

Erstellen Sie im NETLOGON Ordner einen neuen Ordner mit dem Namen CI-Sign. In der Menügruppe CI-Sign im CI-Manager finden Sie die Schaltfläche Verteilen. Diese synchronisiert die benötigten Dateien (den Fertig konfigurierten Ordner CI-SIGN, in dem auch die CI-Sign.exe liegt) in das erstellte Verzeichnis im NETLOGON Verzeichnis. Editieren Sie anschließend das Login-Script (z.B. Login.bat). Tragen Sie dort in der letzten Zeile den Pfad zur CI-SIGN-NET.VBS ein, so dass das Skript bei der Anmeldung ausgeführt wird.

Beispiel: start \SERVERNAME\NETLOGON\CI-SIGN\CI-SIGN-NET.VBS

Oder

Beispiel: start \SERVERNAME\NETLOGON\CI-SIGN\CI-SIGN.EXE

Beim nächsten Anmelden werden für Benutzer, auf die das Login-Script angewendet wird, die Signaturen verteilt, die Sie gerade festgelegt haben.

2. Verteilung über Gruppenrichtlinie

  1. Starten Sie am Server (oder per Remotedesktop) die Gruppenrichtlinienverwaltung.

  2. In diesem Beispiel “Default Domain Policy”[1]… rechte Maustaste… Bearbeiten…

  3. Legen Sie für die Signatur eine eigene Gruppenrichtlinie mit aussagekräftigem Namen an, z.B. CI-SIGN

  4. unter Benutzerkonfiguration - Windows-Einstellungen - Scripts (Anmelden/Abmelden).

  5. Doppelklicken Sie den Eintrag Anmelden.

  6. Hinzufügen… - Durchsuchen… Sie befinden Sich in einem Ordner …\Logon.

  7. Verteilen Sie über die Schaltfläche in diesen GPO Ordner. Wichtig: Legen Sie die Dateien direkt hier ab! Keinen Unterordner anlegen! (außer evtl. für Grafiken)

Als Dateiname wählen Sie “CI-Sign-Net.VBS” oder „CI-SIGN.EXE“ und bestätigen den Dialog mit Öffnen Bei der nächsten Anmeldung werden für alle Benutzer dieser Gruppenrichtlinie die Signaturen verteilt, die Sie gerade festgelegt haben.

Die Verteilung ist auch über Azure AD GPO möglich.
Ich verweise auf diese Microsoft Artikel:
Verwalten von Gruppenrichtlinien in einer von Azure Active Directory Domain Services verwalteten Domäne Tutorial: Erstellen und Konfigurieren einer verwalteten Azure Active Directory Domain Services-Domäne
Hier aufgezeigt, dass auch über Azure AD GPO’s ausgeführt werden können.

3. Verteilung über Add-In

Folgen Sie der Anweisung: CI-Signature Add-In