Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Loginscript mit Administratorrechten starten

Frage Microsoft Windows Server

Mitglied: kingkong

kingkong (Level 2) - Jetzt verbinden

02.04.2008, aktualisiert 03.04.2008, 9716 Aufrufe, 7 Kommentare

Hallo,

folgendes Problem habe ich in einer Domäne mit Windows 2003 Standard als DC und Windows XP Pro- Clients:

Wie bekomme ich es hin (bzw. geht das überhaupt), dass bei der Anmeldung eines Users mit eingeschränkten Rechten ein Loginscript abläuft, das Administratorrechte hat? Beispielsweise soll nach der Anmeldung je nach User die IP-Adresse geändert werden, was ja nur mit Admin-Rechten möglich ist. Die User selbst wechseln verhältnismäßig oft, sodass ein Einstellen durch den Admin ziemlich aufwendig wäre, aber sie dürfen selbst auf !keinen! Fall Adminrechte haben!


Danke,
kingkong
Mitglied: 60730
02.04.2008 um 16:44 Uhr
Hi,

"sowas" kannst du "theoretisch" über die GPO / Computer Einstellungen regeln.

Jedoch würde ich in deinem speziellen Fall die Finger davon lassen.

(Client bekommt eine IP, mit der Verbindet er sich zum AD und bekommt dann eine neue IP - für was soll das bitte gut sein?)
Während der Client eine "neue" IP bekommt, hat er kurzzeitig "keine" und damit auch keine verbindung zum AD.....


Schreib mal lieber auf, was du vorhast - ganz sicher gibts dafür eine "richtige" Lösung....
Bitte warten ..
Mitglied: kingkong
03.04.2008 um 10:40 Uhr
Aufgrund der gegenwärtigen IP soll ein User Zugang zum Internet bekommen oder nicht. Ich weiß, dass es besser wäre, soetwas über einen Proxy zu lösen, der mit ldap die AD kontaktiert, und dann aufgrund dieser Einträge entscheidet, aber "man" will es anders...

Btw: Server 2003 Standard hat einen Proxy mit dabei, oder?

Und sind die Startup-Einträge eigentlich rechner- oder userspezifisch? Denn es sind lediglich 16 verschiedene User, und sofern die Einträge bei jedem User einzeln abliefen könnte man eben jedem User ein lokales Skript reinschieben, das dann eben als Admin ausgeführt wird und die IP ändert...Die User dürfen dann halt die Rechner nicht mehr tauschen, aber das sollte das kleinste Problem sein...


kingkong
Bitte warten ..
Mitglied: 60730
03.04.2008 um 11:13 Uhr
Hi,

dann mach es einfach so:

Die User die NICHT ins Internet sollen, bekommen einen Proxy verpasst - den es nicht gibt.

fakeproxy.reg

Kommt ins Loginscript als regedit /s fakeproxy.reg
01.
 
02.
Windows Registry Editor Version 5.00 
03.
 
04.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] 
05.
"ProxyEnable"=dword:00000001 
06.
"ProxyServer"="192.168.1.254:80"
Die User, die ins Inet dürfen, bekommen KEINEN Proxy verpasst.

Noproxy.reg

Kommt ins Loginscript als regedit /s Noproxy.reg
01.
 
02.
Windows Registry Editor Version 5.00 
03.
 
04.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] 
05.
"ProxyEnable"=dword:00000000 
06.
- "ProxyServer"
BTW: NEIN M$ trennt sehr schön "Standard" ISA usw. IMHO hat evtl. der SBS einen Proxy dabei - mangels SBS Kenntnissen meinerseits ist das aber "geraten".

Es gibt sowohl User als auch Rechnerspezifische Startupeinträge und regkeys.

Natürlich funktioniert dieser Trick nur, wenn er nicht bei den Usern die Runde macht, oder sich einer den z.B Firefox installieren würde.
Bitte warten ..
Mitglied: kingkong
03.04.2008 um 11:46 Uhr
Klar, das hatte ich mir auch schon überlegt - zugegebenermaßen nicht als Bestandteil des Skripts, sondern händisch, aber im Effekt ja dann das gleiche. Nur muss die Lösung leider wasserdicht sein, das heißt, es dürfen keine Lücken da sein, die man evtl. ausnutzen kann, denn die Daten sind leider sensibel und die User dort ziemlich gewandt. Und den Proxy kann man ja sogar ändern, wenn man keine Adminrechte hat, wie ich gerade bei mir selbst gemerkt habe...

Achja, kann man den Firefox denn ohne Adminrechte installieren? Denn die haben sie ja nicht.

Was hältst du persönlich denn von Squid? Kann der evtl. auch über LDAP abgleichen? Und verträgt er sich mit Server 2003? Vielleicht sogar auf der gleichen Kiste - ansonsten muss er halt noch auf eine andere...
Bitte warten ..
Mitglied: 60730
03.04.2008 um 12:12 Uhr
Hi,

"lückenfrei" ist nur das Gebiss von Stefan Raab

Da du den User "abfragen" willst, ob oder ob nicht ins Inet darf, kannst du die betreffenden Einstellungen auch nur im Userkontext eintragen und da kann er Sie auch ändern....

Natürlich kannst du den Menüpunkt zum ändern im IE verstecken, über den Regwert kann der aber auch von findigen gefunden und geändert werden.

Firefox gibts z.B auch als "Portable" Anwendung für USB Sticks - die läuft ohne Installation.

Squid - warte mal ich schau grad mal nach Ihm - lach - bei uns läuft Squid seit einigen Jahren

Da Squid (den - den ich kenne) eine Linux Software ist - läuft die auch nur unter Linux, oder in einer VMWare Session von Linux.
Bitte warten ..
Mitglied: kingkong
03.04.2008 um 14:02 Uhr
Es gibt ihn auch für Windows Server 2003, wie ich auf der Seite squid-cache.de gesehen habe. Nur weiß ich eben nicht, ob er da besonders gut funktioniert. Aber das wäre vermutlich auch eine Lösung, die "denen" nicht gefällt.

Aber um nochmal auf die Adminrechte zurückzukommen. Wie stelle ich denn in den GPO (= Gruppenrichtlinien, oder?!) ein, dass die Skripte die Rechte haben.


P.S.: Den Zugriff auf Wechselmedien kann man ja auch unterbinden, da die User den nicht brauchen - alles was für sie wichtig ist, liegt auf dem Datenserver...Und wenn es mit den Einstellungen bei Freigabe und Sicherheit nicht reicht, dann nimmt man einfach die USB-Schnittstelle raus...
Bitte warten ..
Mitglied: 60730
03.04.2008 um 14:29 Uhr
Aber um nochmal auf die Adminrechte
zurückzukommen. Wie stelle ich denn in
den GPO (= Gruppenrichtlinien, oder?!) ein,
dass die Skripte die Rechte haben.

1) starte die Active Directory Users and Computers aus der Verwaltung.
2) gehe in die OU, wo sich die Clientrechner (Computereinstellungen) oder die User (Usereinstellungen) befinden - liegen beide in der gleichen OU, dann erübrigt sich Schritt 11.
3) rechtsklick properties
4) Reiter Group Policy anwählen
5) Button NEW anklicken und Namen vergeben
6) Edit
7) navigiere zu computer configuration/ Windows Settings / Scripts (startup/shutdown)
8) Doppelklick auf Startup
9) Add und das Skript auswählen
10 ) OK drücken
11) nochmal das ganze ab 2 von vorne, nur dann nicht Computer Config sondern User Config.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows 10
"geräte und drucker" unter w8 bzw. w10 zu starten dauert ewig (3)

Frage von tobias3355 zum Thema Windows 10 ...

Windows 7
Linux über Windows 7 Bootloader starten (4)

Frage von oecke77 zum Thema Windows 7 ...

Windows Update
gelöst SUSID im Loginscript (1)

Frage von Emheonivek zum Thema Windows Update ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (23)

Frage von patz223 zum Thema Windows Userverwaltung ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (19)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...