bgurki
Goto Top

Im Loginskript Benutzer zur Admingruppe hinzufügen

Ich möchte meinen Benutzern Administratorenrechte auf jedem PC geben, jedoch darf immer nur den angemeldeten Benutzer in der Administratorengruppe sein.
-Wäre so etwas mit Loginskripts möglich?
-Wie lösche ich den alten Benutzer aus der Admingruppe und fügen den neuen hinzu?
-Wie sieht das Sicherheitsmässig aus?

Content-Key: 11013

Url: https://administrator.de/contentid/11013

Ausgedruckt am: 28.03.2024 um 16:03 Uhr

Mitglied: meto
meto 23.05.2005 um 19:09:19 Uhr
Goto Top
Welchen unterschied macht es, ob ein nicht angemeldeter Benutzer Administrator ist oder nicht?

Grundsätzlich würde ich mir diesen Schritt genau überlegen. Kommt ganz auf die Benutzer an.

Ansonsten währen noch ein Paar Infos nicht schlecht. Z. B. Domäne oder nicht, Betriebssystem der Benutzer, Betriebssystem des Servers ect. Mir schwebt da eine Lösung mit VB-Skipt beim Anmelden vor.
Mitglied: bgurki
bgurki 24.05.2005 um 08:12:05 Uhr
Goto Top
Da wir Programme einsetzen, die Adminrechte benötigen, aber trotzdem den Usern nicht zuviele Rechte geben wollen (zb verbinden von c$ von einem fremden PC), ist das eine Zwischenlösung mit der auch mein Chef leben kann face-wink

Zur Umgebung:
Alle PCs haben XP und sind Mitglied einer Domäne. Die Domain-Controller sind alle 2k3.
Mitglied: meto
meto 24.05.2005, aktualisiert am 17.10.2012 um 15:30:47 Uhr
Goto Top
Also grundsätzlich stellt sich erst mal die Frage wozu Adminrechte benötigt werden und ob es nicht eine andere Lösung dafür gibt. Möglicherweise hängt das nur mit Zugriffsberechtigungen auf Ordner o. ä. ab.

Ansonsten lassen sich die Programme auch von Benutzern unter dem AdminAccount starten. Das geht auch ohne Passwortangabe wenn es einmalig eingerichtet ist. Schau doch mal hier:

Programme mit bestimmten Rechten ausführen lassen...

Vielleicht ist das eine Alternative.
Mitglied: bgurki
bgurki 25.05.2005 um 11:20:01 Uhr
Goto Top
Vielen Dank für den Link und den Gedankenanstoss. Natürlich wäre es sicherer, nur mit User-Rechte zu arbeiten. Wir benutzen 20+ Programme (z.T. selbstgestrickte) und haben schlicht nicht die Zeit, alle Userrechtekonform zu installieren/konfigurieren.
Darum haben wir uns (mein Team & Chef) geeinigt, dass es ok ist, wenn nur der aktuelle Benutzer Adminrechte hat. Und dies will ich eben mit einem Loginscript lösen.

BTW: Wir setzen OnCommand ein, d.h. wenn der Compi verschossen ist, wird er ganz einfach neu installiert.
Mitglied: meto
meto 26.05.2005 um 11:53:47 Uhr
Goto Top
ADSI Scripting ermöglicht das bearbeiten der AD mittels VB-Script. Hier findest du ein Handbuch dazu vom Microsoft:
http://www.microsoft.com/germany/technet/datenbank/articles/600361.mspx

Ich bin mir aber nicht sicher ob man damit auch beim anmeldevorgang Benutzer Verschiebn kann. Ich hab auch immernoch Bauchschmerzen mit der Variante. Hattest du dir mal AutoIt angeschaut? Ist nach meiner Meinung nach die einfachere und sauberere Variante.

Gruß
Meto
Mitglied: bgurki
bgurki 26.05.2005 um 14:31:29 Uhr
Goto Top
Ich habe mich mal etwas intensiver im Weltweiten Netz umgesehen. Mit dem Befehl:
Net localgroup Administrators %Username% /ADD
kann man ein Benutzer zur lokalen Admingruppe hinzufügen. Da ich kein Logoffskript verwenden will, müsste das Logonskript auch den letzten angemeldeten User aus der lokalen Admingruppe entfernen.
Hat da jemand ne Idee?

Gruss
Gurki
Mitglied: meto
meto 26.05.2005 um 15:00:06 Uhr
Goto Top
Ich bin mir nicht sicher, ob man damit nicht einfach nur eine Gruppe anlegt. Konnte das noch nicht testen, glaube aber das es so ist.

Da zwischenspeichern des Benutzernamens erreichst du indem du den Benutzernamen beim anmelden in eine datei schreibst

z. b. echo %username% > letzter.txt

Vorher liest du diese Datei mit einer Forschleife aus und entfernst den benutzer mit dem gleichen befehl unter verwendung von /delete (wenn das überhaupt so geht).

Du solltest aber noch eine Abfrage einbauen, die feststellt ob die txt-Datei auch vorhanden ist um Fehlermeldungen zu vermeiden. Bedenke aber, dass der Zugriff erst entfernt würde, wenn der Anmeldevorgang läuft. Solange sich kein Benutzer anmeldet bleibt alles beim Alten.
Mitglied: bgurki
bgurki 06.06.2005 um 08:56:31 Uhr
Goto Top
Hallo

Gute Idee mit dem Textfile. Bin leider noch nicht dazu gekommen, es auszuprobieren -> werde es aber asap versuchen.

Gruss