前書き

Windowsで自動化していると面倒なケースに遭遇します。

それは再起動を挟みかつ管理者権限が必要なケースです。
たとえば、以下のようなケースになります。

・Aというアプリをインストールしたあとに再起動をしてBというアプリをインストールする
・WindowsUpdateでインストールしたあとに再起動をしてコントロールパネルの設定を実施する

今回は、Windowsにおいて再起動を挟んで管理者権限で実行するスクリプトの書き方について検討してみます。

ログインの自動化

再起動後に自動的にログインを行う方法はマイクロソフトのサポート情報として紹介されています。

How to turn on automatic logon in Windows
https://support.microsoft.com/en-us/help/324737/how-to-turn-on-automatic-logon-in-windows

これをPowerShellで記載すると下記のようになります。

ログインの自動化を有効

$RegPath = "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
$DefaultUsername = "IEUser"
$DefaultPassword = "Passw0rd!"
Set-ItemProperty -LiteralPath $RegPath 'AutoAdminLogon' -Value "1" -type String 
Set-ItemProperty -LiteralPath $RegPath 'DefaultUsername' -Value "$DefaultUsername" -type String 
Set-ItemProperty -LiteralPath $RegPath 'DefaultPassword' -Value "$DefaultPassword" -type String

ログインの自動化を無効

$RegPath = 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon'
Set-ItemProperty -LiteralPath $RegPath "AutoAdminLogon" -Value "0" -type String

ログイン後のスクリプトの実行方法

案1:Run,RunOnceレジストリを利用する

ログイン後のスクリプトの実行を行うために、Run/RunOnceというレジストリキーが存在しています。

Run and RunOnce Registry Keys
https://docs.microsoft.com/en-us/windows/win32/setupapi/run-and-runonce-registry-keys

下記のレジストリキーに文字列のエントリを追加することで、そのレジストリの値で指定されたパスのスクリプトが実行されます。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINEとHKEY_CURRENT_USERの違いは全てのユーザで行うか、特定のユーザで行うかの違いです。

Runに登録されたスクリプトはログインのたびに実行されるようになります。
RunOnceに登録されたスクリプトは１度実行したあとに削除されます。

ただし、標準ユーザでログインした場合や、セーフモードでログインした場合は実行されません。
セーフモードでも実行したい場合はエントリ名の先頭に「*」を付与します。

RunOnceのエントリはスクリプト実行前に削除されます。これをスクリプト実行後に変更したい場合はエントリ名の先頭に「!」を指定します。

これらのキーのいずれかから実行されるプログラムは、キーの下に登録されている他のプログラムの実行を妨げるため、実行中にキーに書き込むべきではありません。
また、RunOnce下でエントリを継続的に再作成すべきではないです。

これらのスクリプトから実行される実行の権限ですが、HKEY_CURRENT_USERのRunOnceを除きすべて管理者権限がありません。
つまり、HKEY_LOCAL_MACHINEのレジストリの変更や、インストールなどの権限の厳しい作業を行うことはできません。

これらをまとめると以下のようになります。

キー	実行時のエントリ	実行時の管理者権限
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run	残る	なし
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run	残る	なし
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce	消える	あり
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce	消える	なし

実行権限の確認方法と使用例

実行権限を確認するには以下のようなスクリプトを、Run,RunOnceで実行して検証します。

chkfunc.ps1

Param(
    [String]$path
)
#https://serverfault.com/questions/95431/in-a-powershell-script-how-can-i-check-if-im-running-with-administrator-privil
$cur = [Security.Principal.WindowsIdentity]::GetCurrent()
$currentPrincipal = New-Object Security.Principal.WindowsPrincipal($cur)
$isAdmin = $currentPrincipal.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator)
$tm = Get-Date -Format "yyyy/MM/dd HH:mm:ss"

$txt = $tm + " " + $cur.Name + " " + $isAdmin

Add-Content -LiteralPath $path -Value $txt

このスクリプトではパラメータで与えられたファイルに実行時の時刻と、実行ユーザ、管理者権限の有無を登録します。
このスクリプトをRunOnce,Runを使用して実行するには以下のようにレジストリに登録します。

$v = 'C:\Windows\System32\WindowsPowerShell\v1.0\powershell -ExecutionPolicy RemoteSigned -File c:\share\chkfunc.ps1 c:\share\hkcu_run.txt'
New-ItemProperty -LiteralPath 'HKCU:Software\Microsoft\Windows\CurrentVersion\Run' -Name 'test1' -PropertyType 'String' -Value $v -force

$v = 'C:\Windows\System32\WindowsPowerShell\v1.0\powershell -ExecutionPolicy RemoteSigned -File c:\share\chkfunc.ps1 c:\share\hkcu_runonce.txt'
New-ItemProperty -LiteralPath 'HKCU:Software\Microsoft\Windows\CurrentVersion\RunOnce' -Name 'test2' -PropertyType 'String' -Value $v -force


$v = 'C:\Windows\System32\WindowsPowerShell\v1.0\powershell -ExecutionPolicy RemoteSigned -File c:\share\chkfunc.ps1 c:\share\hklm_run.txt'
New-ItemProperty -LiteralPath 'HKLM:Software\Microsoft\Windows\CurrentVersion\Run' -Name 'test3' -PropertyType 'String' -Value $v -force

$v = 'C:\Windows\System32\WindowsPowerShell\v1.0\powershell -ExecutionPolicy RemoteSigned -File c:\share\chkfunc.ps1 c:\share\hklm_runonce.txt'
New-ItemProperty -LiteralPath 'HKLM:Software\Microsoft\Windows\CurrentVersion\RunOnce' -Name 'test4' -PropertyType 'String' -Value $v -force

Windows7の環境で2回再起動を繰り返した結果は以下のようになります。

hkcu_run.txt

2019/09/04 13:44:56 IEWIN7\IEUser False
2019/09/04 13:48:32 IEWIN7\IEUser False

hkcu_runonce.txt

2019/09/04 13:44:55 IEWIN7\IEUser False

hklm_run.txt

2019/09/04 13:44:55 IEWIN7\IEUser False
2019/09/04 13:48:32 IEWIN7\IEUser False

hklm_runonce.txt

2019/09/04 13:44:53 IEWIN7\IEUser True

runonceの場合、１度のみ実行されていることと、hklm以下のRunOnceのみが管理者権限で実行できることが確認できます。

なお、この結果はWindows10でも同じでした。

使いどころ

再起動後、一度だけ実行すればよいという状況では有効かもしれません。
もし、複数の再起動がある場合は後述のタスクスケジューラを利用したほうがいいでしょう。

案2:タスクスケジューラを利用する

Windowsが標準で搭載しているタスクスケジューラを利用することで、「ログイン後」に「最上位の特権」でスクリプトを自動で実行することが可能です。

タスクスケジューラは管理者権限のあるプロセスからであれば以下のコマンドで利用できます。

schtasks

ログイン後に実行するタスクを登録するスクリプトは以下になります

schtasks /create /tn タスク名 /tr スクリプトのパス /sc onlogon /rl highest /F

/sc オプションでどのタイミングで実行するかを指定します。今回はログイン後なのでonlogonとなります。
/rl hightが最上位の特権をあらわしており、/Fで同名のタスクがあった場合に上書きを行います。

また、、タスクを削除するには以下のようになります。

schtasks /Delete /tn "MyTask" /F

サンプル

今回は再起動後にTortoiseSVNをインストールしてみる例を考えてみます。
一般的なインストーラの自動化方法についてはココに記載しています。

再起動前に実行するスクリプト settask.ps1

settask.ps1

# 管理者権限で実行

# 再起動後に実行するタスクを登録
# 最近のバージョンはRegister-ScheduledTaskが使えそう.
$run = 'C:\Windows\System32\WindowsPowerShell\v1.0\powershell -ExecutionPolicy RemoteSigned -File C:\share\after_restart.ps1'
schtasks /create /tn "MyTask" /tr $run /sc onlogon /rl highest /F
if ($lastexitcode -ne 0) {
    exit
}

# 検証用のイベントログを登録できるようにSource「test」を追加しておく
New-EventLog -LogName Application -Source test -ea SilentlyContinue

# ログインの自動化
# http://get-cmd.com/?p=4679
$RegPath = "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
$DefaultUsername = "IEUser"
$DefaultPassword = "Passw0rd!"
Set-ItemProperty -LiteralPath $RegPath 'AutoAdminLogon' -Value "1" -type String 
Set-ItemProperty -LiteralPath $RegPath 'DefaultUsername' -Value "$DefaultUsername" -type String 
Set-ItemProperty -LiteralPath $RegPath 'DefaultPassword' -Value "$DefaultPassword" -type String


Restart-Computer -Force

再起動後に実行するスクリプト after_restart.ps1

after_restart.ps1

# なんか処理をする
Start-Process msiexec.exe -Wait -NoNewWindow -ArgumentList '/i c:\share\TortoiseSVN-1.12.2.28653-x64-svn-1.12.2.msi /passive /qn /norestart ADDLOCAL=F_OVL,DefaultFeature,MoreIcons,CLI,CrashReporter,UDiffAssoc,DictionaryENGB,DictionaryENUS'

# ログインの自動化を解除
$RegPath = 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon'
Set-ItemProperty -LiteralPath $RegPath "AutoAdminLogon" -Value "0" -type String

# タスクを消す
schtasks /Delete /tn "MyTask" /F

# イベントログに記録
Write-EventLog -LogName Application -Source test -EventID 2 -EntryType Information -Message "再起動後のスクリプトの実行しました"

再起動前に実行するスクリプトではタスクスケジューラにタスクを登録して、自動ログインを有効にしたのち、再起動をおこなっています。

再起動後に実行するスクリプトではインストーラを実行したのち、タスクを削除して自動ログインを無効にしています。

今回は、古い環境を考慮してschtasks コマンドを利用しましたが新しいPowerShellが使える環境ではRegister-ScheduledTaskの使用も検討可能です。

リモートからの実行

リモートから再起動を制御できるようになると、同時に複数の端末に対しての自動化が可能になります。
今回は下記の記事の「方法４：schtasks (タスクスケジューラ)」と「方法５：PowerShell (WinRM)」を利用しまして再起動後にTortoiseSVNをリモートからインストールする例を考えてみました。

別端末(Windows)のプログラムを標準機能でリモート起動する方法まとめ
https://qiita.com/0829/items/5518256b348521ac358c

$password = ConvertTo-SecureString "Passw0rd!" -AsPlainText -Force
$cred = New-Object System.Management.Automation.PSCredential("WORKGROUP\IEUser", $password)
$computerName = "IEWin7"

# 再起動前管理者権限がいらないリモート側の処理
Invoke-Command -ComputerName $computerName -Credential $cred -ScriptBlock {
    Get-ChildItem -LiteralPath "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall","HKLM:\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall" | %{$_.GetValue("DisplayName")}

    # ここで管理者権限で実行させたいスクリプトを書いてしまうのも手
    Set-Content -Path c:\share\autologin.ps1 -Value @"
Set-ItemProperty -LiteralPath 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon' 'AutoAdminLogon' -Value 1 -type String 
Set-ItemProperty -LiteralPath 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon' 'DefaultUsername' -Value IEUser -type String 
Set-ItemProperty -LiteralPath 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon' 'DefaultPassword' -Value Passw0rd! -type String
"@

}

# リモート側で再起動前に実行させたい管理者権限のあるタスクを登録して実行
$run = 'C:\Windows\System32\WindowsPowerShell\v1.0\powershell -ExecutionPolicy RemoteSigned -File c:\share\autologin.ps1'
schtasks /create  /S IEWIN7 /U IEUser /P Passw0rd!  /TN MyTaskInit /sc ONCE /sd 1900/01/01 /st 00:00 /tr $run /rl highest
schtasks /run /S IEWIN7 /U IEUser /P Passw0rd! /TN MyTaskInit
schtasks /delete /S IEWIN7 /U IEUser /P Passw0rd! /TN MyTaskInit /F


# リモート側で再起動後にさせたいタスクを登録
$run = 'C:\Windows\System32\WindowsPowerShell\v1.0\powershell -ExecutionPolicy RemoteSigned -File C:\share\after_restart.ps1'
schtasks /create /tn "MyTask"  /S IEWIN7 /U IEUser /P Passw0rd!  /tr $run /sc onlogon /rl highest /F

# 再起動(応答まで、すごく時間がかかる)
Restart-Computer -ComputerName IEWin7 -Credential  $cred -Wait -Force

# 再起動後管理者権限がいらないリモート側の処理
Invoke-Command -ComputerName $computerName -Credential  $cred -ScriptBlock {
    # 管理者権限がいらないリモート側の処理
    Get-ChildItem -LiteralPath "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall","HKLM:\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall" | %{$_.GetValue("DisplayName")}
}