diff --git a/README.html b/README.html index b80bc5d..19791b7 100644 --- a/README.html +++ b/README.html @@ -1,340 +1,342 @@ -
--Denne pakke installerer og signerer RDP-genveje på skrivebordet via - et selvsigneret certifikat, så brugerne ikke får en sikkerhedsadvarsel - ved åbning. Som standard arbejder alle scripts mod det - offentlige skrivebord - (
-C:\Users\Public\Desktop). Brug-AllUsers- switchen for at køre mod alle brugeres individuelle skriveborde i - stedet. -
| Fil | -Formål | -
|---|---|
Install.ps1 |
- Kopierer RDP-filer til skrivebord(e), opretter selvsigneret
- certifikat og signerer alle RDP-filer. Understøtter
- -AllUsers switch.
- |
-
Detect.ps1 |
- Tjekker at specifikke forventede .rdp-filer (defineret i
- $expectedFiles array) eksisterer på skrivebord(e).
- Understøtter -AllUsers switch.
- |
-
Uninstall.ps1 |
- Fjerner RDP-filer fra skrivebord(e). Understøtter
- -AllUsers switch.
- |
-
SignOnly.ps1 |
- Signerer eksisterende RDP-filer på skrivebord(e) — ingen
- filkopiering. Understøtter -AllUsers switch. |
-
SignOnly_detect.ps1 |
- Registrerer om certifikat er til stede og alle RDP-filer på
- skrivebord(e) er signerede. Understøtter -AllUsers
- switch. |
-
Clearsigning.ps1 |
- Fjerner signaturer fra RDP-filer og rydder op i certifikat og
- registry (til oprydning/debug). Understøtter -AllUsers
- switch. |
-
sandbox.ps1 |
- Kombineret install + detect script til lokal sandkasse-test.
- Understøtter -AllUsers switch. |
-
rdp-files\*.rdp |
- Kilde-RDP-filer der installeres på skrivebord(e) | -
Før du uploader Detect.ps1 til Intune som
- registreringsregel, skal du åbne filen og udfylde
- $expectedFiles array med de .rdp filnavne der
- ligger i .\\rdp-files\\:
-
$expectedFiles = @(
- "Server1.rdp",
- "Server2.rdp",
- "DesktopApp.rdp"
-)
-Når scriptet kører: - Uden -AllUsers: tjekker at alle
- filer i $expectedFiles findes på det offentlige skrivebord
- (C:\Users\Public\Desktop) - Med -AllUsers:
- tjekker alle filer i $expectedFiles på tværs af alle
- brugeres skriveborde - Returnerer exit 0 = installeret
- (alle filer fundet) - Returnerer exit 1 = ikke installeret
- (en eller flere filer mangler)
--Vigtigt: Husk at opdatere -
-$expectedFileshver gang du tilføjer eller fjerner -.rdpfiler i pakken, ellers vil detekteringen være - forkert. -
powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Install.ps1
- powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Install.ps1 -AllUsers
- powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Uninstall.ps1
- powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Uninstall.ps1 -AllUsers
- Brug et brugerdefineret registreringsscript: -
- Scriptfil: Detect.ps1 - Kør script
- som 32-bit proces på 64-bit klienter: Nej - Gennemtving
- scriptsignaturkontrol: Nej
-
Registreringslogik: - Uden -AllUsers: tjekker at alle
- .rdp-filer er til stede på det offentlige skrivebord
- (C:\Users\Public\Desktop) - Med -AllUsers:
- tjekker alle brugeres skriveborde under C:\Users\ -
- Returnerer exit 0 = installeret - Returnerer
- exit 1 = ikke installeret
-
-AllUsers.rdp-filer fra .\rdp-files\
- til de fundne skrivebord(e)CN=RDPSign) i Cert:\LocalMachine\MyTrusted Root og
- Trusted Publishers i den lokale maskines
- certifikatstore
- TrustedCertThumbprints
- .rdp-filer på skrivebord(e) med
- rdpsign.exe /sha256
- RedirectionWarningDialogVersion = 1 i registry
- for at undertrykke RDP-advarselsdialogerAlle scripts understøtter -AllUsers switchen. Som
- standard — uden -AllUsers — køres alle scripts kun mod det
- offentlige skrivebord
- (C:\Users\Public\Desktop). Når -AllUsers
- angives, itererer scriptet i stedet over alle brugerprofiler under
- C:\Users\ og behandler hver brugers
- Desktop-mappe.
-
# Kun offentligt skrivebord (standard)
-.\Install.ps1
-
-# Alle brugeres skriveborde
-.\Install.ps1 -AllUsers
-| Sti | -Værdi | -Type | -Data | -
|---|---|---|---|
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
- TrustedCertThumbprints |
- String | -Certifikatets thumbprint | -
HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client |
- RedirectionWarningDialogVersion |
- DWORD | -1 |
-
| Script | -Logfil | -
|---|---|
Install.ps1 |
- C:\Intune\DesktopShortcuts.log |
-
Detect.ps1 |
- C:\Intune\DesktopShortcuts.log |
-
Uninstall.ps1 |
- C:\Intune\DesktopShortcuts.log |
-
SignOnly.ps1 |
- C:\Intune\RDPSign.log |
-
powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\SignOnly.ps1
- powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\SignOnly.ps1 -AllUsers
- powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Clearsigning.ps1
- powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Clearsigning.ps1 -AllUsers
- Brug et brugerdefineret registreringsscript: -
- Scriptfil: SignOnly_detect.ps1 -
- Kør script som 32-bit proces på 64-bit klienter: Nej -
- Gennemtving scriptsignaturkontrol: Nej
-
Registreringslogik: - Tjekker at CN=RDPSign-certifikatet
- findes i My, Root og
- TrustedPublisher stores - Tjekker at thumbprint er til
- stede i registry - Uden -AllUsers: tjekker at alle
- .rdp-filer på det offentlige skrivebord er signerede - Med
- -AllUsers: tjekker alle .rdp-filer på tværs af
- alle brugeres skriveborde - Returnerer exit 0 +
- "Detected" = installeret - Returnerer exit 1 =
- ikke installeret
-
--Bemærk: Alle PowerShell-scripts er pakket ind i - samme IntuneWin-pakke. Det betyder at man altid kan kalde på et - vilkårligt script direkte fra Intune eller manuelt, f.eks.:
----powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Install.ps1 -powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Install.ps1 -AllUsers -powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\SignOnly.ps1 -powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\SignOnly.ps1 -AllUsers -powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Clearsigning.ps1 -powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Clearsigning.ps1 -AllUsersosv. for alle scripts i pakken.
-
SignOnly.ps1Signerer alle eksisterende .rdp-filer på skrivebord(e)
- uden at kopiere filer. Nyttigt til gensignering efter en opdatering
- eller hvis filer allerede er installeret. Kør som administrator.
- Understøtter -AllUsers switch.
SignOnly_detect.ps1Registreringsscript til brug med SignOnly.ps1 som
- Intune-pakke. Tjekker: - Certifikat findes i My,
- Root og TrustedPublisher stores - Thumbprint
- er til stede i registry - Alle .rdp-filer på skrivebord(e)
- indeholder en gyldig signatur
-
Understøtter -AllUsers switch.
Clearsigning.ps1Fjerner alle signeringsartefakter. Nyttigt til test eller oprydning.
- Kør som administrator. Understøtter -AllUsers switch. -
- Fjerner signscope- og signature-linjer fra
- alle .rdp-filer på skrivebord(e) - Fjerner
- CN=RDPSign-certifikatet fra My,
- Root og TrustedPublisher stores - Fjerner
- TrustedCertThumbprints fra registry - Fjerner
- RedirectionWarningDialogVersion fra registry
-
sandbox.ps1Kombinerer install og detect i ét script til lokal sandkasse-test.
- Understøtter -AllUsers switch. Kør fra mappen der
- indeholder rdp-files\ som administrator. Output skrives til
- både konsollen og C:\Intune\DesktopShortcuts.log.
++Denne pakke installerer og signerer RDP-genveje på skrivebordet via + et selvsigneret certifikat, så brugerne ikke får en sikkerhedsadvarsel + ved åbning. Som standard arbejder alle scripts mod det + offentlige skrivebord + (
+C:\Users\Public\Desktop). Brug-AllUsers+ switchen for at køre mod alle brugeres individuelle skriveborde i + stedet. +
| Fil | +Formål | +
|---|---|
Install.ps1 |
+ Kopierer RDP-filer til skrivebord(e), opretter selvsigneret
+ certifikat og signerer alle RDP-filer. Understøtter
+ -AllUsers switch.
+ |
+
Detect.ps1 |
+ Tjekker at specifikke forventede .rdp-filer (defineret i
+ $expectedFiles array) eksisterer på skrivebord(e).
+ Understøtter -AllUsers switch.
+ |
+
Uninstall.ps1 |
+ Fjerner RDP-filer fra skrivebord(e). Understøtter
+ -AllUsers switch.
+ |
+
SignOnly.ps1 |
+ Signerer eksisterende RDP-filer på skrivebord(e) — ingen
+ filkopiering. Understøtter -AllUsers switch. |
+
SignOnly_detect.ps1 |
+ Registrerer om certifikat er til stede og alle RDP-filer på
+ skrivebord(e) er signerede. Understøtter -AllUsers
+ switch. |
+
Clearsigning.ps1 |
+ Fjerner signaturer fra RDP-filer og rydder op i certifikat og
+ registry (til oprydning/debug). Understøtter -AllUsers
+ switch. |
+
sandbox.ps1 |
+ Kombineret install + detect script til lokal sandkasse-test.
+ Understøtter -AllUsers switch. |
+
rdp-files\*.rdp |
+ Kilde-RDP-filer der installeres på skrivebord(e) | +
Før du uploader Detect.ps1 til Intune som
+ registreringsregel, skal du åbne filen og udfylde
+ $expectedFiles array med de .rdp filnavne der
+ ligger i .\\rdp-files\\:
+
$expectedFiles = @(
+ "Server1.rdp",
+ "Server2.rdp",
+ "DesktopApp.rdp"
+)
+Når scriptet kører: - Uden -AllUsers: tjekker at alle
+ filer i $expectedFiles findes på det offentlige skrivebord
+ (C:\Users\Public\Desktop) - Med -AllUsers:
+ tjekker alle filer i $expectedFiles på tværs af alle
+ brugeres skriveborde - Returnerer exit 0 = installeret
+ (alle filer fundet) - Returnerer exit 1 = ikke installeret
+ (en eller flere filer mangler)
++Vigtigt: Husk at opdatere +
+$expectedFileshver gang du tilføjer eller fjerner +.rdpfiler i pakken, ellers vil detekteringen være + forkert. +
powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Install.ps1
+ powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Install.ps1 -AllUsers
+ powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Uninstall.ps1
+ powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Uninstall.ps1 -AllUsers
+ Brug et brugerdefineret registreringsscript: -
+ Scriptfil: Detect.ps1 - Kør script
+ som 32-bit proces på 64-bit klienter: Nej - Gennemtving
+ scriptsignaturkontrol: Nej
+
Registreringslogik: - Uden -AllUsers: tjekker at alle
+ .rdp-filer er til stede på det offentlige skrivebord
+ (C:\Users\Public\Desktop) - Med -AllUsers:
+ tjekker alle brugeres skriveborde under C:\Users\ -
+ Returnerer exit 0 = installeret - Returnerer
+ exit 1 = ikke installeret
+
-AllUsers. Med -AllUsers
+ søges 2 mapper ned så OneDrive-omdirigeret Desktop også fanges.rdp-filer fra .\rdp-files\
+ til de fundne skrivebord(e)CN=RDPSign) i Cert:\LocalMachine\MyTrusted Root og
+ Trusted Publishers i den lokale maskines
+ certifikatstore
+ TrustedCertThumbprints
+ .rdp-filer på skrivebord(e) med
+ rdpsign.exe /sha256
+ RedirectionWarningDialogVersion = 1 i registry
+ for at undertrykke RDP-advarselsdialogerAlle scripts understøtter -AllUsers switchen. Som
+ standard — uden -AllUsers — køres alle scripts kun mod det
+ offentlige skrivebord
+ (C:\Users\Public\Desktop). Når -AllUsers
+ angives, søger scriptet i stedet på tværs af alle brugerprofiler under
+ C:\Users\ (ekskl. Public/Default).
+ Der søges 2 mapper ned (-Depth 2) for at fange både standard
+ Desktop og OneDrive-omdirigeret Desktop.
+
# Kun offentligt skrivebord (standard)
+.\Install.ps1
+
+# Alle brugeres skriveborde
+.\Install.ps1 -AllUsers
+| Sti | +Værdi | +Type | +Data | +
|---|---|---|---|
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
+ TrustedCertThumbprints |
+ String | +Certifikatets thumbprint | +
HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client |
+ RedirectionWarningDialogVersion |
+ DWORD | +1 |
+
| Script | +Logfil | +
|---|---|
Install.ps1 |
+ C:\Intune\DesktopShortcuts.log |
+
Detect.ps1 |
+ C:\Intune\DesktopShortcuts.log |
+
Uninstall.ps1 |
+ C:\Intune\DesktopShortcuts.log |
+
SignOnly.ps1 |
+ C:\Intune\RDPSign.log |
+
powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\SignOnly.ps1
+ powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\SignOnly.ps1 -AllUsers
+ powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Clearsigning.ps1
+ powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Clearsigning.ps1 -AllUsers
+ Brug et brugerdefineret registreringsscript: -
+ Scriptfil: SignOnly_detect.ps1 -
+ Kør script som 32-bit proces på 64-bit klienter: Nej -
+ Gennemtving scriptsignaturkontrol: Nej
+
Registreringslogik: - Tjekker at CN=RDPSign-certifikatet
+ findes i My, Root og
+ TrustedPublisher stores - Tjekker at thumbprint er til
+ stede i registry - Uden -AllUsers: tjekker at alle
+ .rdp-filer på det offentlige skrivebord er signerede - Med
+ -AllUsers: tjekker alle .rdp-filer på tværs af
+ alle brugeres skriveborde - Returnerer exit 0 +
+ "Detected" = installeret - Returnerer exit 1 =
+ ikke installeret
+
++Bemærk: Alle PowerShell-scripts er pakket ind i + samme IntuneWin-pakke. Det betyder at man altid kan kalde på et + vilkårligt script direkte fra Intune eller manuelt, f.eks.:
++++powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Install.ps1 +powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Install.ps1 -AllUsers +powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\SignOnly.ps1 +powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\SignOnly.ps1 -AllUsers +powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Clearsigning.ps1 +powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Clearsigning.ps1 -AllUsersosv. for alle scripts i pakken.
+
SignOnly.ps1Signerer alle eksisterende .rdp-filer på skrivebord(e)
+ uden at kopiere filer. Nyttigt til gensignering efter en opdatering
+ eller hvis filer allerede er installeret. Kør som administrator.
+ Understøtter -AllUsers switch.
SignOnly_detect.ps1Registreringsscript til brug med SignOnly.ps1 som
+ Intune-pakke. Tjekker: - Certifikat findes i My,
+ Root og TrustedPublisher stores - Thumbprint
+ er til stede i registry - Alle .rdp-filer på skrivebord(e)
+ indeholder en gyldig signatur
+
Understøtter -AllUsers switch.
Clearsigning.ps1Fjerner alle signeringsartefakter. Nyttigt til test eller oprydning.
+ Kør som administrator. Understøtter -AllUsers switch. -
+ Fjerner signscope- og signature-linjer fra
+ alle .rdp-filer på skrivebord(e) - Fjerner
+ CN=RDPSign-certifikatet fra My,
+ Root og TrustedPublisher stores - Fjerner
+ TrustedCertThumbprints fra registry - Fjerner
+ RedirectionWarningDialogVersion fra registry
+
sandbox.ps1Kombinerer install og detect i ét script til lokal sandkasse-test.
+ Understøtter -AllUsers switch. Kør fra mappen der
+ indeholder rdp-files\ som administrator. Output skrives til
+ både konsollen og C:\Intune\DesktopShortcuts.log.