Anmeldescript für Win2K3 Server mit Netzlaufwerk und Rechtevergabe
Wir müssen ein Anmeldescript erstellen, dass die Verbindung zu einem Netzlaufwerk realisiert und anschließend für den User einen Ordner erstellt, der sich nur von seinem Rechner im Zugriff befinden darf.
Um die ganze Sache etwas ausführlicher zu beschreiben:
Wir sollen für unsere Berufsschule einen neuen Klausur Login erstellen, hierzu sind neben einigen Vorgaben und Veränderungen im AD auch ein An- und Abmeldescript vorgesehen.
Wie oben schon kurz angemerkt, soll das Anmeldescript für jeden User einen Ordner erstellen, auf den er nur von seinem Computer aus Zugriff hat. Das Netzlaufwerk soll aber auch erst durch das Script angebunden werden. Jeder User benutzt den gleichen Login, deshalb soll das Script den Namen des User abfragen und dann so den Ordnernamen erhalten.
Unser Problem:
Wir haben leider keinen Schimmer wie wir das realisieren sollen!
Wir haben zu Testzwecken bereits einen 2003 Server aufgesetzt, kämpfen aber auch da noch mit Problemen, da sich unser Client nicht um die Richtlinien schert.
Bitte verweist uns nicht auf das Scripting Center von Microsoft, da haben wir uns auch schon umgesehen, wir suchen jemanden der es uns verständlich machen kann, wie es geht und niemanden der weiß wo es stehen könnte (das wissen wir nämlich auch, raffen es aber nicht;)!
Um die ganze Sache etwas ausführlicher zu beschreiben:
Wir sollen für unsere Berufsschule einen neuen Klausur Login erstellen, hierzu sind neben einigen Vorgaben und Veränderungen im AD auch ein An- und Abmeldescript vorgesehen.
Wie oben schon kurz angemerkt, soll das Anmeldescript für jeden User einen Ordner erstellen, auf den er nur von seinem Computer aus Zugriff hat. Das Netzlaufwerk soll aber auch erst durch das Script angebunden werden. Jeder User benutzt den gleichen Login, deshalb soll das Script den Namen des User abfragen und dann so den Ordnernamen erhalten.
Unser Problem:
Wir haben leider keinen Schimmer wie wir das realisieren sollen!
Wir haben zu Testzwecken bereits einen 2003 Server aufgesetzt, kämpfen aber auch da noch mit Problemen, da sich unser Client nicht um die Richtlinien schert.
Bitte verweist uns nicht auf das Scripting Center von Microsoft, da haben wir uns auch schon umgesehen, wir suchen jemanden der es uns verständlich machen kann, wie es geht und niemanden der weiß wo es stehen könnte (das wissen wir nämlich auch, raffen es aber nicht;)!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 22964
Url: https://administrator.de/contentid/22964
Ausgedruckt am: 22.11.2024 um 16:11 Uhr
12 Kommentare
Neuester Kommentar
Tach erstmal,
also wenn ich euch richtig verstehe soll beim anmelden des Schülers ein Ordner (share) vom Server verbunden werden wo anschließen ein script einen Ordner erstellt wo nur der Schüler und halt der Admin zugriff hat???
Jetzt habt ihr aber geschrieben -> "Jeder User benutzt den gleichen Login, deshalb soll das Script den Namen des User abfragen und dann so den Ordnernamen erhalten."
Also wie soll das Script denn die Schüler unterscheiden ausser am Login?
Schreibt doch mal zurück was genau in diesem Ordner abgelegt werden soll, damit ich das Problem etwas besser verstehe.
Und vorallem bitte auch mal was für Anpassungen da im AD geplant sind!!! Würde mich mal interessieren.
Grüße vom Coach der Couch
also wenn ich euch richtig verstehe soll beim anmelden des Schülers ein Ordner (share) vom Server verbunden werden wo anschließen ein script einen Ordner erstellt wo nur der Schüler und halt der Admin zugriff hat???
Jetzt habt ihr aber geschrieben -> "Jeder User benutzt den gleichen Login, deshalb soll das Script den Namen des User abfragen und dann so den Ordnernamen erhalten."
Also wie soll das Script denn die Schüler unterscheiden ausser am Login?
Schreibt doch mal zurück was genau in diesem Ordner abgelegt werden soll, damit ich das Problem etwas besser verstehe.
Und vorallem bitte auch mal was für Anpassungen da im AD geplant sind!!! Würde mich mal interessieren.
Grüße vom Coach der Couch
angebunden werden. Jeder User benutzt den
gleichen Login, deshalb soll das Script den
Namen des User abfragen und dann so den
Ordnernamen erhalten.
gleichen Login, deshalb soll das Script den
Namen des User abfragen und dann so den
Ordnernamen erhalten.
Also da sehe ich ein Problem. Die Berechtigungen werden am Login festgemacht, wenn das aber immer gleich ist kann man die Sache mehr oder weniger knicken.
Sinniger Weise legt man für jeden Schüler ein Login fest und weist dem dann im Profil ein Homedrive zu.
Im übrigen kann ich nr sehr dazu raten den Server richtig ans laufen zu bekommen. Wenn ihr versucht an allen möglichen Stellen Workarounds zu machen dauert es nicht lange bis keiner mehr durchblickt.
Wenn Gruppenrichtlinien nicht greifen kann das z.B. an zu grossen Zeitdifferenzen zwischen Clients und Server liegen.
zu den Gruppenrichtlinien: Die Gruppenrichtlinien ziehen nicht immer..ein gpupdate /force aktualisiert die Gruppenrichtlinien.
Zu den Shares: Erstellt eine Gruppenrichtlinie für die jeweiligen User. Bearbeiten -> Benutzerkonten -> Windows Einstellungen -> Ordner Umleitung -> Eigene Dateien -> Eigenschaften -> Hinzufügen. Bei Gruppenmitgliedschaft gebt ihr eine Sicherhetsgruppe an in welcher alle Schüler sind z.B. Schüler. Bei Zielordner folgendes einstellen: Auf folgenden Pfad umleiten als Pfad gebt ihr an: \\servername\freigabename\%username%. Fertig.
Ich habe es an einer Schule mit gut 600 Schülern ebenfalls so gelöst. Mit den oben beschriebenen Einstellungen werden die Eigene Dateien des jeweilegen User anstatt im Profile direkt auf den Server umgeleitet und dort gespeichert.
Noch etwas: Da es sich um eine Schule handelt werdet ihr sicher mit Servergespeicherten Profilen arbeiten. Ihr wollt sicherlich auch die Profile der Schüler auf ungewollte Spiele und Musik überprüfen. Um euch den Zugriff auf die Userprofle zu ermöglich aktiviert folgende Gruppenrichtlinien: Computerkonfiguration -> System -> Beutzerprofile -> und dort die Option "Gruppe Administratoren zu den Servergespeicherten Benutzerprofilen hinzufügen" damit erspart ihr euch im nachhinein sehr viel arbeit (spreche aus Erfahrung)
Zu den Shares: Erstellt eine Gruppenrichtlinie für die jeweiligen User. Bearbeiten -> Benutzerkonten -> Windows Einstellungen -> Ordner Umleitung -> Eigene Dateien -> Eigenschaften -> Hinzufügen. Bei Gruppenmitgliedschaft gebt ihr eine Sicherhetsgruppe an in welcher alle Schüler sind z.B. Schüler. Bei Zielordner folgendes einstellen: Auf folgenden Pfad umleiten als Pfad gebt ihr an: \\servername\freigabename\%username%. Fertig.
Ich habe es an einer Schule mit gut 600 Schülern ebenfalls so gelöst. Mit den oben beschriebenen Einstellungen werden die Eigene Dateien des jeweilegen User anstatt im Profile direkt auf den Server umgeleitet und dort gespeichert.
Noch etwas: Da es sich um eine Schule handelt werdet ihr sicher mit Servergespeicherten Profilen arbeiten. Ihr wollt sicherlich auch die Profile der Schüler auf ungewollte Spiele und Musik überprüfen. Um euch den Zugriff auf die Userprofle zu ermöglich aktiviert folgende Gruppenrichtlinien: Computerkonfiguration -> System -> Beutzerprofile -> und dort die Option "Gruppe Administratoren zu den Servergespeicherten Benutzerprofilen hinzufügen" damit erspart ihr euch im nachhinein sehr viel arbeit (spreche aus Erfahrung)
Hallo René!
du hast dich nicht mehr gemeldet, drum will ich nochmal nachhaken.
Eigentlich wäre das was ihr vorhabt unter leicht geänderten Vorgaben relativ simpel zu realisieren.
Die Richtlinien werden mit einer OU verlinkt und gelten dann für die Objekte in dieser OU.
Wenn nun eine Einstellung in Computerkonfigurtion gestgelegt wurde, zieht sie nur auf die Computerobjekte in der OU. Analoges gilt für Benutzerkonfiguration.
Könnte das der Grund sein, warum die Richtlinien bei euch nicht durchgesetzt werden?
Vorschlag für eure Klausurumgebung:
Für die Anzahl der Schüler anonyme Userkonten anlegen, bspw. Benutzer01, Benutzer02,... Benutzer99 oder auch PC01, PC02...
Wenn es viele User sind, kann man das Anlegen auf mit einem Script erledigen.
Diese Konten bekommen servergespeicherte, verbindliche Profile. Damit sind sie wiederverwendbar, da die Schüler sie nicht verändern können.
Auf dem Server eine Freigabe 'Klausur' mit Schreibrechten für die Schüler.
Nun ist es machbar, beim Login einen Ordner mit dem Loginnamen zu erstellen und zu verrechten. Die Zuordnung Loginname zu Schülername müsst ihr dann allerdings selbst bewerkstelligen.
HTH
gemini
du hast dich nicht mehr gemeldet, drum will ich nochmal nachhaken.
Eigentlich wäre das was ihr vorhabt unter leicht geänderten Vorgaben relativ simpel zu realisieren.
Unser Problem:
Wir haben leider keinen Schimmer wie wir das realisieren sollen!
Tja, wir hier leider auch nicht, zumindest bei euren Vorgaben.Wir haben leider keinen Schimmer wie wir das realisieren sollen!
angebunden werden. Jeder User benutzt den gleichen Login, deshalb soll das Script den
Namen des User abfragen und dann so den Ordnernamen erhalten.
Wie die Vorredner schon dargelegt haben, würde das Script bei allen Schülern den selben Namen zurückgeben.Namen des User abfragen und dann so den Ordnernamen erhalten.
noch mit Problemen, da sich unser Client nicht um die Richtlinien schert.
Wie ihr sicher schon festgestellt habt, gibt es bei den Richtlinien zwei verschiedene Bereiche; Computerkonfiguration und Benutzerkonfiguration.Die Richtlinien werden mit einer OU verlinkt und gelten dann für die Objekte in dieser OU.
Wenn nun eine Einstellung in Computerkonfigurtion gestgelegt wurde, zieht sie nur auf die Computerobjekte in der OU. Analoges gilt für Benutzerkonfiguration.
Könnte das der Grund sein, warum die Richtlinien bei euch nicht durchgesetzt werden?
Vorschlag für eure Klausurumgebung:
Für die Anzahl der Schüler anonyme Userkonten anlegen, bspw. Benutzer01, Benutzer02,... Benutzer99 oder auch PC01, PC02...
Wenn es viele User sind, kann man das Anlegen auf mit einem Script erledigen.
Diese Konten bekommen servergespeicherte, verbindliche Profile. Damit sind sie wiederverwendbar, da die Schüler sie nicht verändern können.
Auf dem Server eine Freigabe 'Klausur' mit Schreibrechten für die Schüler.
Nun ist es machbar, beim Login einen Ordner mit dem Loginnamen zu erstellen und zu verrechten. Die Zuordnung Loginname zu Schülername müsst ihr dann allerdings selbst bewerkstelligen.
HTH
gemini
aber jeder PC hat einen anderen Namen, und da man die Berechtigungen für Ordner
auch an einzelne PC's binden kann sollen wir das eben auf diese Art und Weise machen.
Sicherlich kannst du dem Rechner Schreibrechte geben, aber hast du das schon mal getestet, ich denke nicht.auch an einzelne PC's binden kann sollen wir das eben auf diese Art und Weise machen.
Das führt nämlich genau dazu, dass der Rechner und nur der das Recht erhält.
Der Rechner und der gerade an der Domäne angemeldete Benutzer sind zwei paar Stiefel.
Ergo: Es geht so nicht!
Wer hat euch denn gesagt, dass ihr das so machen sollt?
Es ist ja auch so, dass jeder Schüler einen eigenen Login hat und da haben wir
(die Schüler) auch Zugriff auf all unsere Dokumente, deshalb soll das ja auch wegfallen.
Könntet ihr weiterhin behalten, es gibt dann halt bspw. ein Benutzerkonto ReneR das du ganz normal verwendest.(die Schüler) auch Zugriff auf all unsere Dokumente, deshalb soll das ja auch wegfallen.
Und für eine Klausur wird du beispielhaft ausgelost diese an PC35 zu schreiben.
Du meldest dich nur für die Klausur mit dem UserAccount PC35 an der Domäne an.
Also kurz und gut, ein Login für alle, Netzlaufwerk für alle, Ordner für jeden (hat mit
Anmeldescript, welches die Namen einliesst) und dann die Berechtigungen an den PC
gebunden, damit halt das austauschen bzw. abschreiben verhindert wird...
So imho nicht möglich, siehe obenAnmeldescript, welches die Namen einliesst) und dann die Berechtigungen an den PC
gebunden, damit halt das austauschen bzw. abschreiben verhindert wird...
Und dafür bekommen wir dann auch noch ne Note (also für diesen Login), sonst
würden wir das ja auch nicht wirklich sicher machen.
Dann muss euer Dozent ja eine Musterlösung dafür haben, die würde mich sehr interessieren.würden wir das ja auch nicht wirklich sicher machen.
Vielleicht kann er sie hier posten oder, wenn zu geheim, per Mail an gemini3@gmx.net
Wie gesagt, es geht nur um die Klausuren, für den Rest bezahlen die
schließlich noch zwei Admins.....
Frag die mal, deren Meinung dazu wäre auch sehr interessantschließlich noch zwei Admins.....
gemini
Ich frage jetzt nicht was AEW bedeutet, hoffe aber inständig, dass es nichts mit IT zu tun hat.
Auf jeden Fall schon mal Glückwunsch zu eurem Dozenten.
In der Befürchtung, dass meine Vemutung betr. AEW doch zutrifft, hätten zumindest eure Admins sagen müssen, dass das in der Form nicht geht.
Zweiteres erfordert mehr oder weniger intensiven Policy-Einsatz.
Vielleicht hat jemand anderer Ideen, das so umzusetzen, ich leider nicht.
Imho solltest ihr auf Grund Unerfüllbarkeit den Projektantrag ändern.
Und zwar die Einschränkung auf einen Useraccount raus, genauso wie '...Aufwand sehr gering...'.
Ich hab mal ein wenig drüber nachgedacht. Die Aufgabenstellung ist nämlich echt nicht ohne.
Bei Klausuren spielt die Sicherheit auch eine Rolle, insb. die Manipulationssicherheit.
Beisp.: Ein Klausurant meldet sich an, das Script erstellt seinen leeren Ordner und stellt die Rechte ein. So weit so gut.
Dazu braucht der Prüfling das Recht Berechtigungen ändern, da kann man über die Gruppe ERSTELLER-BESITZER regeln, dass er nur für dieses eine Verzeichnis die Rechte ändern kann.
Aaaaber, nun kann er sein Verzeichnis für andere öffnen!!!
Das darf nicht sein. Folglich müsste das Script mit erhöhten Rechten laufen, geht zwar, dann muss es wegen dem Klartextpasswort aber auch geschützt werden.
Eine sichere Vollautomatik ist also nicht ganz leicht umzusetzen.
Ich würde es so umzusetzen versuchen:
Der Dozent mit administratioven Rechten muss sowieso an den Server um die Aufgaben bereitzustellen.
Er startet ein Script, das für eine bestimmte Benutzergruppe, die eben die Kausur schreibt, je einen Ordner im Klausurverzeichnis anlegt und die Rechte für die User setzt.
Aber um die Anlage vieler User kommt ihr auch hier nicht rum.
gemini
Auf jeden Fall schon mal Glückwunsch zu eurem Dozenten.
In der Befürchtung, dass meine Vemutung betr. AEW doch zutrifft, hätten zumindest eure Admins sagen müssen, dass das in der Form nicht geht.
Wir sollen ja den Aufwand sehr gering halten,
sprich nicht so wahnsinnig viel am AD verändert.
undsprich nicht so wahnsinnig viel am AD verändert.
mehr möglich seien soll lokal irgendwelche Hilfen
sind zwei Dinge die sich beißen.Zweiteres erfordert mehr oder weniger intensiven Policy-Einsatz.
Vielleicht hat jemand anderer Ideen, das so umzusetzen, ich leider nicht.
Imho solltest ihr auf Grund Unerfüllbarkeit den Projektantrag ändern.
Und zwar die Einschränkung auf einen Useraccount raus, genauso wie '...Aufwand sehr gering...'.
Ich hab mal ein wenig drüber nachgedacht. Die Aufgabenstellung ist nämlich echt nicht ohne.
Bei Klausuren spielt die Sicherheit auch eine Rolle, insb. die Manipulationssicherheit.
Beisp.: Ein Klausurant meldet sich an, das Script erstellt seinen leeren Ordner und stellt die Rechte ein. So weit so gut.
Dazu braucht der Prüfling das Recht Berechtigungen ändern, da kann man über die Gruppe ERSTELLER-BESITZER regeln, dass er nur für dieses eine Verzeichnis die Rechte ändern kann.
Aaaaber, nun kann er sein Verzeichnis für andere öffnen!!!
Das darf nicht sein. Folglich müsste das Script mit erhöhten Rechten laufen, geht zwar, dann muss es wegen dem Klartextpasswort aber auch geschützt werden.
Eine sichere Vollautomatik ist also nicht ganz leicht umzusetzen.
Ich würde es so umzusetzen versuchen:
Der Dozent mit administratioven Rechten muss sowieso an den Server um die Aufgaben bereitzustellen.
Er startet ein Script, das für eine bestimmte Benutzergruppe, die eben die Kausur schreibt, je einen Ordner im Klausurverzeichnis anlegt und die Rechte für die User setzt.
Aber um die Anlage vieler User kommt ihr auch hier nicht rum.
gemini
Eben ist mir gerade noch eine Idee gekommen. Währendem die Klausur geschrieben wird, müssen alle Rechner offline sein. Kein Netzwerk evt. Strom vom Switch nehmen. Die Datei wird an einem bestimmten Ort lokale am PC gespeichert. Nach Beendigung der Klausur verklassen die Schüler den Raum. Die Computer werden neugestartet. Netzwerk wiederhergestellt. An einem Admin-Pc wird das Administration-Kit installiert. Alle Clients werden in eine OU verschoben. In dieser ist eine Gruppenrichtlinie für den Auto-Login per reg2adm definiert. Die PC's werden automatisch eingelogt und ein Script wird gestartet wo die Datei von der lokalen Festplatte auf den Server kopiert wird. Danach werden die PC's wieder heruntergefahren/abgemeldet.