Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

CMD, NETLOGON - Offline Logon.cmd (offline Scripte) Konzept

Anleitung Entwicklung Batch & Shell

Mitglied: K-ist-K

K-ist-K (Level 1) - Jetzt verbinden

18.02.2015, aktualisiert 23:58 Uhr, 2966 Aufrufe, 4 Kommentare, 1 Danke

Hallo Werte IT Kollegen und Kolleginnen,

wir hatten bei uns öfters folgende Probleme:

  • User starteten Computer nie neu.
  • Ehemalige Administratoren veränderten Security Einstellungen
  • User mit Firmennotebook zuhause.

Man hatte einfach keine Kontrolle mehr über das Gerät, wenn ein User nicht im Firmennetzwerk war.
Daher habe ich mir folgendes Offline Script-Konzept überlegt.

##orange | Mit dem Offline-Konzept haben wir die Möglichkeit, jeden Domain User aktuelle Scripte bereitzustellen die regelmäßig auch bei keiner Netzwerkverbindung ausgeführt werden. ##

Diese Probleme können wir alle beheben, indem wir Scripte auf die Client Rechner kopieren und die Scripte dort mit dem Aufgabenplaner starten.

Grundstruktur des Offline Script Konzepts:

Eine GPO mit dem Namen "offline_script" wird mit einer Computer OU verknüpft.
Diese GPO soll bei jedem Systemstart eine Batch-Datei mit dem Namen "create_offline_script.cmd" ausführen.

Das create_offline_script liegt im folgenden Verzeichnis
\\domain.local\NETLOGON\offline_script\create_offline_script.cmd

Das create_offline_script erstellt einen Ordner auf jedem PC/Notebook wo diese GPO angewendet wird.
Danach werden diesem Ordner die Rechte zum Löschen und ändern entzogen.
Anschließend wird ein Script mit dem Namen „offline_agent.cmd“
auf dem lokalen PC/Notebook kopiert (wird bei jedem Systemstart neu kopiert)

Zum Schluss wird noch ein Task erstellt „offline_agent“
dieser Task läuft alle 30 Minuten und startet das lokal gespeicherte Script „offline_agent.cmd“ mit Systemrechten.

In dem „offline_agent.cmd“ stehen alle Scripte die ausgeführt werden sollen.
Bevor die Scripte ausgeführt werden, werden die Scripte nochmals kopiert
(um den letzten Status zu haben)


CREATE_OFFLINE_SCRIPT.CMD
01.
  
02.
REM ++++++++++ OVERVIEW ++++++++++ 
03.
 
04.
REM ++++++++++ Step 1 == create Folder 
05.
REM ++++++++++ Step 2 == sync script 
06.
REM ++++++++++ Step 3 == create Task 
07.
 
08.
 
09.
echo ################################### 
10.
echo ######################## create Folder  
11.
echo ################### Creator: Nachname 
12.
echo ################## last Update: 03.12.14  
13.
echo ################################### 
14.
 
15.
if exist C:\offline_script goto is_created 
16.
mkdir C:\offline_script 
17.
mkdir C:\offline_script\offline_logon 
18.
 
19.
REM ### set right for folder and subfolder 
20.
icacls C:\offline_script /grant Jeder:(CI)(OI)(RX) /inheritance:d 
21.
icacls C:\offline_script\offline_logon /grant Jeder:(CI)(OI)(RX) /inheritance:d 
22.
REM ### *S-1-5-11 ist "Authentifizierte Benutzer" 
23.
icacls C:\offline_script /remove *S-1-5-11 
24.
icacls C:\offline_script\offline_logon /remove *S-1-5-11 
25.
 
26.
:is_created 
27.
 
28.
 
29.
echo ################################### 
30.
echo ########################## sync script  
31.
echo ################### Creator: Nachname 
32.
echo ################## last Update: 03.12.14  
33.
echo ################################### 
34.
 
35.
REM ### copy the offline_agent.cmd to local 
36.
robocopy \\domain.local\NETLOGON\offline_script\offline_agent.cmd C:\offline_script\offline_agent.cmd /W:2 /R:3 
37.
 
38.
 
39.
 
40.
echo ################################### 
41.
echo ########################## create Task  
42.
echo #################### Creator: Nachname 
43.
echo ################## last Update: 03.12.14  
44.
echo ################################### 
45.
 
46.
REM ### create new Task the run all 30 min. 
47.
schtasks /Create /TN offline_agent /F /SC MINUTE /MO 30 /tr "C:\Windows\System32\cmd.exe /C "C:\offline_script\offline_agent.cmd" " /RU System


OFFLINE_AGENT.CMD
01.
  
02.
REM ++++++++++ OVERVIEW ++++++++++ 
03.
 
04.
REM ++++++++++ Step 1 == create Folder 
05.
REM ++++++++++ Step 2 == Update all Script 
06.
REM ++++++++++ Step 3 == starting Script 
07.
 
08.
 
09.
echo ################################### 
10.
echo ######################## create Folder 
11.
echo ################# Creator: Nachname IT 
12.
echo ################## last Update: 10.02.15  
13.
echo ################################### 
14.
 
15.
REM ### mkdir C:\offline_script\exeample 
16.
 
17.
 
18.
 
19.
echo ################################### 
20.
echo ##################### Update all Script 
21.
echo ################# Creator: Nachname IT 
22.
echo ################## last Update: 10.02.15  
23.
echo ################################### 
24.
 
25.
REM ### copy the offline_logon.cmd to local 
26.
robocopy \\domain.local\NETLOGON\offline_script\offline_logon\offline_logon.cmd C:\offline_script\offline_logon\offline_agent.cmd /W:2 /R:3 
27.
REM ### robocopy \\domain.local\NETLOGON\offline_script\exeample\exeample.cmd C:\offline_script\exeample\exeample.cmd /W:2 /R:3 
28.
 
29.
 
30.
echo ################################### 
31.
echo ####################### starting Script 
32.
echo ################ Creator: Nachname IT 
33.
echo ################# last Update: 10.02.15  
34.
echo ################################### 
35.
 
36.
start C:\offline_script\offline_logon\offline_agent.cmd 
37.
REM ### start C:\offline_script\exeample\exeample.cmd


OFFLINE_LOGON.CMD

Es gibt noch kein fertiges Script.
Mein Plan ist aber folgendes hineinzuschreiben.

  • Check wie lange der Computer schon läuft.
  • Check ist ein Virenschutz installiert und aktiv.
  • Check ist die Firewall eingeschaltet.
  • Admin-Check siehe CMD - Admin Check - User mit Admin Rechten finden
  • Eventuell Standard Programme definieren
  • Client Backup (kopiere bei Internetverbindung einen bestimmten Ordner in die Firmen Cloud, wenn Gerät extern)



Hoffe es hilft irgendwem und ich hoffe es gibt nicht all zu viele Fehler
Sollte es Fehler geben, bitte mitteilen und ich bessere sie aus.



Lg K
Mitglied: DerWoWusste
19.02.2015, aktualisiert 20.02.2015
Hi.

Verdeutliche doch bitte zunächst die Probleme und gib dann an, wieso Dein Konzept diese löst.
•User starteten Computer nie neu.
...und dadurch...?
•Ehemalige Administratoren veränderten Security Einstellungen
ehemalige Admins haben noch immer Adminrechte?
•User mit Firmennotebook zuhause.
...tun was?

Wenn es nur darum geht, das Konzept "offline-Maintenance" zu promoten, dann ist das nichts wirklich Neues
Bitte warten ..
Mitglied: K-ist-K
20.02.2015 um 10:06 Uhr
User starten Computer nie neu.
(mit dem zukünftigen Script kann ich das lösen, das Script gibt es noch nicht)

Das Script prüft wie lange der PC schon online ist
(das Script wird ja direkt am PC ausgeführt und daher wird kein Netzwerk benötigt)
Sollte der PC schon länger als 24 Stunden laufen gebe ich den User einen Hinweis er soll neustarten.
Nach 48 Stunden starte ich den PC neu.

Ehemalige Administratoren haben natürlich keine Rechte mehr.
Aber wenn ein Administrator nicht sorgfältig arbeitet,
weil er ja kündigen möchte und einen neuen Job sucht,
dann arbeiten die meistens schnell und für die User.
Bso.: User fragt nach lokalen Admin Rechten oder ob er nicht nicht Arbeitsplatz Firewall deaktivieren kann. etc.

Das zukünftige Script soll dann lokal dann nach solchen Problemen suchen und wieder auf richtig stellen.

Das mit dem Firmennotebook zuhause,
sollte nur zeigen das es Situationen gibt wo ein Firmennotebook keinen direkten Schutz hat.


Das es "offline-Maintenance" Konzepte gibt war mir nicht ganz klar.
Ich habe in der Suche gesucht, aber nichts gefunden.

Ich dachte mir nur, wenn wir bei uns solche Probleme haben,
dann haben vllt. andere auch das Problem und wissen nicht genau wie Sie es lösen sollen.

Hättest du Links zu "offline-Maintenance" Projekten, Konzepte wie auch immer.
Sollte aber wenn möglich kostenlos sein, da für solche Sachen kein Geld da ist bei uns.
Bitte warten ..
Mitglied: nightwishler
06.03.2015 um 21:43 Uhr
hi,
aaaalso ich starte meinen privaten Rechner vielleicht alle 4 Wochen neu... mein firmen-user-Client immer wenn ich an den gpo's oder rechten gedreht hab und das firmen-admin-notebook (identischer Client aber nur für admin-aufgaben) so gut wie nie neu.

ich habe dadurch keinerlei nachteil... gpo's werden ja ständig vom System aktualisiert und wenn er nix neues bekommt nimmt er das was er gespeichert hat.

der user darf (egal wo er ist) natürlich nicht überall dran drehen... (felder ausgrauen per Richtlinie...)
ein admin der nachlässig arbeitet weil er gehen möchte... mh, würde er nicht gehen würde ich "ihn gehen lassen"... hält man die konfig zentral, sollten ausbrecher wie ein Client mit deaktivierter Firewall oder so sowieso direkt auffallen oder per gpo bereinigt werden... adminrechte können ebenfalls automatisch per gpo entzogen werden... sprich du gibst sie zum testen oder testest selber und falls du vergisst sie rauszunehmen bereinigt die gpo es nach 1-2h automatisch...

sicherlich kann man das gpo Konzept so ausbauen das andere gpos (härtere) gelten wenn der DC nicht erreichbar ist ?!
hab ich mir noch keine Gedanken zu gemacht ... aber nen simples ping DC oder sowas sollte da gehen...

den virenschutz kann der Client bei uns weder abschalten noch deinstallieren noch den scan unterbrechen
ich für meinen teil würde / mache mir also nicht sooo die Gedanken um offline maintenence...

oder sehe ich da was falsch?
Gruß
Bitte warten ..
Mitglied: K-ist-K
07.03.2015 um 00:35 Uhr
Bezüglich der lokalen Admin Rechten (außerhalb der Domäne) die haben manche Leute,
weil ex Admin's als Freundlichkeit eingerichtet haben.

Bei uns wechseln leider sehr oft die Admins.

Virenschutz können bei uns nur Admins abdrehen, falls Sie das Passwort wissen.
Es gab auch da wieder Admins die schleißig waren und den Virenschutz
nicht 5 oder 10 min. deaktiviert haben bei einer Software Installertion sondern
deaktivieren bis Neustart oder deaktivieren bis reaktivierung.

Der Hauptgrund warum wir uns das ausgedacht haben war
das die PCs teilweise nie neugestartet wurden (fast 1-4 Wochen)

Ich weiß das kann man auch anders Lösen zB WSUS mit GPO.
Aber wir wollten halt mehrere Sachen realisieren und da fanden wir
ein Offline Script Konzept am besten.

Lg
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Batch & Shell
CMD cURL Access Token parsen (2)

Frage von maddig zum Thema Batch & Shell ...

Batch & Shell
CMD Verschlüsslung ( Batch ) (11)

Frage von clragon zum Thema Batch & Shell ...

Batch & Shell
Schleife mit todos CMD

Frage von TommyDerWalker zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...