7
Loginscript mit Administratorrechten starten
Hallo,
folgendes Problem habe ich in einer Domäne mit Windows 2003 Standard als DC und Windows XP Pro- Clients:
Wie bekomme ich es hin (bzw. geht das überhaupt), dass bei der Anmeldung eines Users mit eingeschränkten Rechten ein Loginscript abläuft, das Administratorrechte hat? Beispielsweise soll nach der Anmeldung je nach User die IP-Adresse geändert werden, was ja nur mit Admin-Rechten möglich ist. Die User selbst wechseln verhältnismäßig oft, sodass ein Einstellen durch den Admin ziemlich aufwendig wäre, aber sie dürfen selbst auf !keinen! Fall Adminrechte haben!
Danke,
kingkong
folgendes Problem habe ich in einer Domäne mit Windows 2003 Standard als DC und Windows XP Pro- Clients:
Wie bekomme ich es hin (bzw. geht das überhaupt), dass bei der Anmeldung eines Users mit eingeschränkten Rechten ein Loginscript abläuft, das Administratorrechte hat? Beispielsweise soll nach der Anmeldung je nach User die IP-Adresse geändert werden, was ja nur mit Admin-Rechten möglich ist. Die User selbst wechseln verhältnismäßig oft, sodass ein Einstellen durch den Admin ziemlich aufwendig wäre, aber sie dürfen selbst auf !keinen! Fall Adminrechte haben!
Danke,
kingkong
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 84551
Url: https://administrator.de/contentid/84551
Printed on: April 19, 2024 at 07:04 o'clock
7 Comments
Latest comment
Hi,
"sowas" kannst du "theoretisch" über die GPO / Computer Einstellungen regeln.
Jedoch würde ich in deinem speziellen Fall die Finger davon lassen.
(Client bekommt eine IP, mit der Verbindet er sich zum AD und bekommt dann eine neue IP - für was soll das bitte gut sein?)
Während der Client eine "neue" IP bekommt, hat er kurzzeitig "keine" und damit auch keine verbindung zum AD.....
Schreib mal lieber auf, was du vorhast - ganz sicher gibts dafür eine "richtige" Lösung....
"sowas" kannst du "theoretisch" über die GPO / Computer Einstellungen regeln.
Jedoch würde ich in deinem speziellen Fall die Finger davon lassen.
(Client bekommt eine IP, mit der Verbindet er sich zum AD und bekommt dann eine neue IP - für was soll das bitte gut sein?)
Während der Client eine "neue" IP bekommt, hat er kurzzeitig "keine" und damit auch keine verbindung zum AD.....
Schreib mal lieber auf, was du vorhast - ganz sicher gibts dafür eine "richtige" Lösung....
Aufgrund der gegenwärtigen IP soll ein User Zugang zum Internet bekommen oder nicht. Ich weiß, dass es besser wäre, soetwas über einen Proxy zu lösen, der mit ldap die AD kontaktiert, und dann aufgrund dieser Einträge entscheidet, aber "man" will es anders...
Btw: Server 2003 Standard hat einen Proxy mit dabei, oder?
Und sind die Startup-Einträge eigentlich rechner- oder userspezifisch? Denn es sind lediglich 16 verschiedene User, und sofern die Einträge bei jedem User einzeln abliefen könnte man eben jedem User ein lokales Skript reinschieben, das dann eben als Admin ausgeführt wird und die IP ändert...Die User dürfen dann halt die Rechner nicht mehr tauschen, aber das sollte das kleinste Problem sein...
kingkong
Btw: Server 2003 Standard hat einen Proxy mit dabei, oder?
Und sind die Startup-Einträge eigentlich rechner- oder userspezifisch? Denn es sind lediglich 16 verschiedene User, und sofern die Einträge bei jedem User einzeln abliefen könnte man eben jedem User ein lokales Skript reinschieben, das dann eben als Admin ausgeführt wird und die IP ändert...Die User dürfen dann halt die Rechner nicht mehr tauschen, aber das sollte das kleinste Problem sein...
kingkong
Hi,
dann mach es einfach so:
Die User die NICHT ins Internet sollen, bekommen einen Proxy verpasst - den es nicht gibt.
fakeproxy.reg
Kommt ins Loginscript als regedit /s fakeproxy.reg
Die User, die ins Inet dürfen, bekommen KEINEN Proxy verpasst.
Noproxy.reg
Kommt ins Loginscript als regedit /s Noproxy.reg
BTW: NEIN M$ trennt sehr schön "Standard" ISA usw. IMHO hat evtl. der SBS einen Proxy dabei - mangels SBS Kenntnissen meinerseits ist das aber "geraten".
Es gibt sowohl User als auch Rechnerspezifische Startupeinträge und regkeys.
Natürlich funktioniert dieser Trick nur, wenn er nicht bei den Usern die Runde macht, oder sich einer den z.B Firefox installieren würde.
dann mach es einfach so:
Die User die NICHT ins Internet sollen, bekommen einen Proxy verpasst - den es nicht gibt.
fakeproxy.reg
Kommt ins Loginscript als regedit /s fakeproxy.reg
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=dword:00000001
"ProxyServer"="192.168.1.254:80" Die User, die ins Inet dürfen, bekommen KEINEN Proxy verpasst.
Noproxy.reg
Kommt ins Loginscript als regedit /s Noproxy.reg
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=dword:00000000
- "ProxyServer" BTW: NEIN M$ trennt sehr schön "Standard" ISA usw. IMHO hat evtl. der SBS einen Proxy dabei - mangels SBS Kenntnissen meinerseits ist das aber "geraten".
Es gibt sowohl User als auch Rechnerspezifische Startupeinträge und regkeys.
Natürlich funktioniert dieser Trick nur, wenn er nicht bei den Usern die Runde macht, oder sich einer den z.B Firefox installieren würde.
Klar, das hatte ich mir auch schon überlegt - zugegebenermaßen nicht als Bestandteil des Skripts, sondern händisch, aber im Effekt ja dann das gleiche. Nur muss die Lösung leider wasserdicht sein, das heißt, es dürfen keine Lücken da sein, die man evtl. ausnutzen kann, denn die Daten sind leider sensibel und die User dort ziemlich gewandt. Und den Proxy kann man ja sogar ändern, wenn man keine Adminrechte hat, wie ich gerade bei mir selbst gemerkt habe...
Achja, kann man den Firefox denn ohne Adminrechte installieren? Denn die haben sie ja nicht.
Was hältst du persönlich denn von Squid? Kann der evtl. auch über LDAP abgleichen? Und verträgt er sich mit Server 2003? Vielleicht sogar auf der gleichen Kiste - ansonsten muss er halt noch auf eine andere...
Achja, kann man den Firefox denn ohne Adminrechte installieren? Denn die haben sie ja nicht.
Was hältst du persönlich denn von Squid? Kann der evtl. auch über LDAP abgleichen? Und verträgt er sich mit Server 2003? Vielleicht sogar auf der gleichen Kiste - ansonsten muss er halt noch auf eine andere...
Hi,
"lückenfrei" ist nur das Gebiss von Stefan Raab
Da du den User "abfragen" willst, ob oder ob nicht ins Inet darf, kannst du die betreffenden Einstellungen auch nur im Userkontext eintragen und da kann er Sie auch ändern....
Natürlich kannst du den Menüpunkt zum ändern im IE verstecken, über den Regwert kann der aber auch von findigen gefunden und geändert werden.
Firefox gibts z.B auch als "Portable" Anwendung für USB Sticks - die läuft ohne Installation.
Squid - warte mal ich schau grad mal nach Ihm - lach - bei uns läuft Squid seit einigen Jahren
Da Squid (den - den ich kenne) eine Linux Software ist - läuft die auch nur unter Linux, oder in einer VMWare Session von Linux.
"lückenfrei" ist nur das Gebiss von Stefan Raab
Da du den User "abfragen" willst, ob oder ob nicht ins Inet darf, kannst du die betreffenden Einstellungen auch nur im Userkontext eintragen und da kann er Sie auch ändern....
Natürlich kannst du den Menüpunkt zum ändern im IE verstecken, über den Regwert kann der aber auch von findigen gefunden und geändert werden.
Firefox gibts z.B auch als "Portable" Anwendung für USB Sticks - die läuft ohne Installation.
Squid - warte mal ich schau grad mal nach Ihm - lach - bei uns läuft Squid seit einigen Jahren
Da Squid (den - den ich kenne) eine Linux Software ist - läuft die auch nur unter Linux, oder in einer VMWare Session von Linux.
Es gibt ihn auch für Windows Server 2003, wie ich auf der Seite squid-cache.de gesehen habe. Nur weiß ich eben nicht, ob er da besonders gut funktioniert. Aber das wäre vermutlich auch eine Lösung, die "denen" nicht gefällt.
Aber um nochmal auf die Adminrechte zurückzukommen. Wie stelle ich denn in den GPO (= Gruppenrichtlinien, oder?!) ein, dass die Skripte die Rechte haben.
P.S.: Den Zugriff auf Wechselmedien kann man ja auch unterbinden, da die User den nicht brauchen - alles was für sie wichtig ist, liegt auf dem Datenserver...Und wenn es mit den Einstellungen bei Freigabe und Sicherheit nicht reicht, dann nimmt man einfach die USB-Schnittstelle raus...
Aber um nochmal auf die Adminrechte zurückzukommen. Wie stelle ich denn in den GPO (= Gruppenrichtlinien, oder?!) ein, dass die Skripte die Rechte haben.
P.S.: Den Zugriff auf Wechselmedien kann man ja auch unterbinden, da die User den nicht brauchen - alles was für sie wichtig ist, liegt auf dem Datenserver...Und wenn es mit den Einstellungen bei Freigabe und Sicherheit nicht reicht, dann nimmt man einfach die USB-Schnittstelle raus...
Aber um nochmal auf die Adminrechte
zurückzukommen. Wie stelle ich denn in
den GPO (= Gruppenrichtlinien, oder?!) ein,
dass die Skripte die Rechte haben.
zurückzukommen. Wie stelle ich denn in
den GPO (= Gruppenrichtlinien, oder?!) ein,
dass die Skripte die Rechte haben.
1) starte die Active Directory Users and Computers aus der Verwaltung.
2) gehe in die OU, wo sich die Clientrechner (Computereinstellungen) oder die User (Usereinstellungen) befinden - liegen beide in der gleichen OU, dann erübrigt sich Schritt 11.
3) rechtsklick properties
4) Reiter Group Policy anwählen
5) Button NEW anklicken und Namen vergeben
6) Edit
7) navigiere zu computer configuration/ Windows Settings / Scripts (startup/shutdown)
8) Doppelklick auf Startup
9) Add und das Skript auswählen
10 ) OK drücken
11) nochmal das ganze ab 2 von vorne, nur dann nicht Computer Config sondern User Config.
