neo42_MMS_ClientAutoUpdate_signed.ps1 als Startup-Skript per GPO – „Untrusted Publisher“ Abfrage

Hallo zusammen,
wir versuchen das aktuelle neo42 MMS Client Auto-Deployment Skript als Startup-Skript über GPO auszurollen. (Früher hat das bei uns ohne Probleme funktioniert)
Aktueller Aufruf in der GPO (als Startup-Skript):

cmd.exe /c powershell.exe -ExecutionPolicy Bypass -File „\xxx-xxx.de\SYSVOL\xxx-xxx.de\scripts\Windows\neo42\neo42_MMS_ClientAutoUpdate_signed.ps1“ -MmsServerName https://BG00-NMS01.xxx-xxx.de:443

Problem
Beim manuellen Testen mit PowerShell bekomme ich die Abfrage:
Do you want to run software from this untrusted publisher?

neo421109×182 20.7 KB

Das Skript ist mit einem Skriptsignaturzertifikat signiert, welches wir auch anderweitig verwenden. Im SYSTEM-Kontext der GPO-Startup-Ausführung kommt es nicht dazu dass der Diesnt installiert wird.

Frage
Gibt es eine empfohlene Best-Practice-Variante für den Aufruf als Startup-Skript?
Wie handhabt ihr das?
Muss das Signaturzertifikat per GPO als Trusted Publisher auf alle Clients verteilt werden?
Alternativ habe ich auch überlegt die Verteilung über Empirum statt GPO zu machen.

Ich habe auch probiert es ohne Signatur und mit der Executionspolicy bypass auszuführen - das funktioniert auf einem Windows 11/ Windows Server 2025 gar nicht.

Danke für eure Hilfe.

Beste Grüße
Klaus

Hallo @Klaus,

Der öffentliche Schlüssel des Codesigning-Zertifikats muss auf den Clients verfügbar sein.
Ein Rollout über Empirum ist zwar möglich, jedoch werden dabei keine Geräte erfasst, die nicht von Empirum verwaltet werden.
Zudem scheiden Clients aus, bei denen der Empirum-Agent möglicherweise nicht korrekt funktioniert.

Hallo @DBT.neo42
ok, das habe ich befürchtet.
Danke zunächst für die Info.

Beste Grüße
Klaus

Spricht denn was dagegen, zuvor per GPO das Zertifikat mit dem public key zu verteilen?

Hallo @s.spanknebel
nein, da spricht nichts dagegen. Nur kann ich das nicht ohne Zuarbeit von einem Kollegen machen, der aktuell im Urlaub ist.

Beste Grüße
Klaus