rakeem2001
Goto Top

Anmeldescript für Win2K3 Server mit Netzlaufwerk und Rechtevergabe

Wir müssen ein Anmeldescript erstellen, dass die Verbindung zu einem Netzlaufwerk realisiert und anschließend für den User einen Ordner erstellt, der sich nur von seinem Rechner im Zugriff befinden darf.

Um die ganze Sache etwas ausführlicher zu beschreiben:

Wir sollen für unsere Berufsschule einen neuen Klausur Login erstellen, hierzu sind neben einigen Vorgaben und Veränderungen im AD auch ein An- und Abmeldescript vorgesehen.
Wie oben schon kurz angemerkt, soll das Anmeldescript für jeden User einen Ordner erstellen, auf den er nur von seinem Computer aus Zugriff hat. Das Netzlaufwerk soll aber auch erst durch das Script angebunden werden. Jeder User benutzt den gleichen Login, deshalb soll das Script den Namen des User abfragen und dann so den Ordnernamen erhalten.

Unser Problem:
Wir haben leider keinen Schimmer wie wir das realisieren sollen!

Wir haben zu Testzwecken bereits einen 2003 Server aufgesetzt, kämpfen aber auch da noch mit Problemen, da sich unser Client nicht um die Richtlinien schert.
Bitte verweist uns nicht auf das Scripting Center von Microsoft, da haben wir uns auch schon umgesehen, wir suchen jemanden der es uns verständlich machen kann, wie es geht und niemanden der weiß wo es stehen könnte (das wissen wir nämlich auch, raffen es aber nicht;)!

Content-ID: 22964

Url: https://administrator.de/contentid/22964

Ausgedruckt am: 22.11.2024 um 16:11 Uhr

CouchCoach
CouchCoach 06.01.2006 um 15:44:33 Uhr
Goto Top
Tach erstmal,

also wenn ich euch richtig verstehe soll beim anmelden des Schülers ein Ordner (share) vom Server verbunden werden wo anschließen ein script einen Ordner erstellt wo nur der Schüler und halt der Admin zugriff hat???

Jetzt habt ihr aber geschrieben -> "Jeder User benutzt den gleichen Login, deshalb soll das Script den Namen des User abfragen und dann so den Ordnernamen erhalten."

Also wie soll das Script denn die Schüler unterscheiden ausser am Login?

Schreibt doch mal zurück was genau in diesem Ordner abgelegt werden soll, damit ich das Problem etwas besser verstehe.
Und vorallem bitte auch mal was für Anpassungen da im AD geplant sind!!! Würde mich mal interessieren.

Grüße vom Coach der Couch
meinereiner
meinereiner 06.01.2006 um 16:06:05 Uhr
Goto Top
angebunden werden. Jeder User benutzt den
gleichen Login, deshalb soll das Script den
Namen des User abfragen und dann so den
Ordnernamen erhalten.

Also da sehe ich ein Problem. Die Berechtigungen werden am Login festgemacht, wenn das aber immer gleich ist kann man die Sache mehr oder weniger knicken.

Sinniger Weise legt man für jeden Schüler ein Login fest und weist dem dann im Profil ein Homedrive zu.


Im übrigen kann ich nr sehr dazu raten den Server richtig ans laufen zu bekommen. Wenn ihr versucht an allen möglichen Stellen Workarounds zu machen dauert es nicht lange bis keiner mehr durchblickt.
Wenn Gruppenrichtlinien nicht greifen kann das z.B. an zu grossen Zeitdifferenzen zwischen Clients und Server liegen.
hirnibus
hirnibus 07.01.2006 um 16:40:55 Uhr
Goto Top
zu den Gruppenrichtlinien: Die Gruppenrichtlinien ziehen nicht immer..ein gpupdate /force aktualisiert die Gruppenrichtlinien.

Zu den Shares: Erstellt eine Gruppenrichtlinie für die jeweiligen User. Bearbeiten -> Benutzerkonten -> Windows Einstellungen -> Ordner Umleitung -> Eigene Dateien -> Eigenschaften -> Hinzufügen. Bei Gruppenmitgliedschaft gebt ihr eine Sicherhetsgruppe an in welcher alle Schüler sind z.B. Schüler. Bei Zielordner folgendes einstellen: Auf folgenden Pfad umleiten als Pfad gebt ihr an: \\servername\freigabename\%username%. Fertig.

Ich habe es an einer Schule mit gut 600 Schülern ebenfalls so gelöst. Mit den oben beschriebenen Einstellungen werden die Eigene Dateien des jeweilegen User anstatt im Profile direkt auf den Server umgeleitet und dort gespeichert.

Noch etwas: Da es sich um eine Schule handelt werdet ihr sicher mit Servergespeicherten Profilen arbeiten. Ihr wollt sicherlich auch die Profile der Schüler auf ungewollte Spiele und Musik überprüfen. Um euch den Zugriff auf die Userprofle zu ermöglich aktiviert folgende Gruppenrichtlinien: Computerkonfiguration -> System -> Beutzerprofile -> und dort die Option "Gruppe Administratoren zu den Servergespeicherten Benutzerprofilen hinzufügen" damit erspart ihr euch im nachhinein sehr viel arbeit face-smile (spreche aus Erfahrung)
gemini
gemini 07.01.2006 um 17:15:55 Uhr
Goto Top
Hallo René!

du hast dich nicht mehr gemeldet, drum will ich nochmal nachhaken.
Eigentlich wäre das was ihr vorhabt unter leicht geänderten Vorgaben relativ simpel zu realisieren.

Unser Problem:
Wir haben leider keinen Schimmer wie wir das realisieren sollen!
Tja, wir hier leider auch nicht, zumindest bei euren Vorgaben.

angebunden werden. Jeder User benutzt den gleichen Login, deshalb soll das Script den
Namen des User abfragen und dann so den Ordnernamen erhalten.
Wie die Vorredner schon dargelegt haben, würde das Script bei allen Schülern den selben Namen zurückgeben.

noch mit Problemen, da sich unser Client nicht um die Richtlinien schert.
Wie ihr sicher schon festgestellt habt, gibt es bei den Richtlinien zwei verschiedene Bereiche; Computerkonfiguration und Benutzerkonfiguration.
Die Richtlinien werden mit einer OU verlinkt und gelten dann für die Objekte in dieser OU.
Wenn nun eine Einstellung in Computerkonfigurtion gestgelegt wurde, zieht sie nur auf die Computerobjekte in der OU. Analoges gilt für Benutzerkonfiguration.
Könnte das der Grund sein, warum die Richtlinien bei euch nicht durchgesetzt werden?

Vorschlag für eure Klausurumgebung:
Für die Anzahl der Schüler anonyme Userkonten anlegen, bspw. Benutzer01, Benutzer02,... Benutzer99 oder auch PC01, PC02...
Wenn es viele User sind, kann man das Anlegen auf mit einem Script erledigen.
Diese Konten bekommen servergespeicherte, verbindliche Profile. Damit sind sie wiederverwendbar, da die Schüler sie nicht verändern können.
Auf dem Server eine Freigabe 'Klausur' mit Schreibrechten für die Schüler.
Nun ist es machbar, beim Login einen Ordner mit dem Loginnamen zu erstellen und zu verrechten. Die Zuordnung Loginname zu Schülername müsst ihr dann allerdings selbst bewerkstelligen.

HTH
gemini
Rakeem2001
Rakeem2001 08.01.2006 um 03:53:51 Uhr
Goto Top
Sorry, hatte leider die letzten beiden Tage zuviel andere Sachen zu erledigen (kleines bistiges XP System retten und dann wieder und wieder neu aufsetzen...face-sad)

Also, es ist leider wie folgt:
Der Login soll für Klausuren verwandt werden, darum logt (soll zumindest) sich jeder Schüler mit einem Extra dafür angelegten Gesamt-Klausur-Login ein. Also, alle haben den gleichen Login, aber jeder PC hat einen anderen Namen, und da man die Berechtigungen für Ordner auch an einzelne PC's binden kann sollen wir das eben auf diese Art und Weise machen.
Es ist ja auch so, dass jeder Schüler einen eigenen Login hat und da haben wir (die Schüler) auch Zugriff auf all unsere Dokumente, deshalb soll das ja auch wegfallen.

Also kurz und gut, ein Login für alle, Netzlaufwerk für alle, Ordner für jeden (hat mit Anmeldescript, welches die Namen einliesst) und dann die Berechtigungen an den PC gebunden, damit halt das austauschen bzw. abschreiben verhindert wird...

Und dafür bekommen wir dann auch noch ne Note (also für diesen Login), sonst würden wir das ja auch nicht wirklich sicher machen.

Nachtrag:
Es gibt keine Serverseitigen Profile, da jeder Klassenraum jeweils für einen Block einer Klasse zugeordnet wird, sprich wir haben nur nen Login und das wars. Spiele etc. sind sehr wichtig und wir wollen nicht, dass die Lehrer uns die wegnehmen ;)
Wie gesagt, es geht nur um die Klausuren, für den Rest bezahlen die schließlich noch zwei Admins.....

Hoffe ihr versteht nun unserer Problem...

THX
gemini
gemini 08.01.2006 um 11:38:12 Uhr
Goto Top
aber jeder PC hat einen anderen Namen, und da man die Berechtigungen für Ordner
auch an einzelne PC's binden kann sollen wir das eben auf diese Art und Weise machen.
Sicherlich kannst du dem Rechner Schreibrechte geben, aber hast du das schon mal getestet, ich denke nicht.
Das führt nämlich genau dazu, dass der Rechner und nur der das Recht erhält.
Der Rechner und der gerade an der Domäne angemeldete Benutzer sind zwei paar Stiefel.
Ergo: Es geht so nicht!
Wer hat euch denn gesagt, dass ihr das so machen sollt?

Es ist ja auch so, dass jeder Schüler einen eigenen Login hat und da haben wir
(die Schüler) auch Zugriff auf all unsere Dokumente, deshalb soll das ja auch wegfallen.
Könntet ihr weiterhin behalten, es gibt dann halt bspw. ein Benutzerkonto ReneR das du ganz normal verwendest.
Und für eine Klausur wird du beispielhaft ausgelost diese an PC35 zu schreiben.
Du meldest dich nur für die Klausur mit dem UserAccount PC35 an der Domäne an.

Also kurz und gut, ein Login für alle, Netzlaufwerk für alle, Ordner für jeden (hat mit
Anmeldescript, welches die Namen einliesst) und dann die Berechtigungen an den PC
gebunden, damit halt das austauschen bzw. abschreiben verhindert wird...
So imho nicht möglich, siehe oben

Und dafür bekommen wir dann auch noch ne Note (also für diesen Login), sonst
würden wir das ja auch nicht wirklich sicher machen.
Dann muss euer Dozent ja eine Musterlösung dafür haben, die würde mich sehr interessieren.
Vielleicht kann er sie hier posten oder, wenn zu geheim, per Mail an gemini3@gmx.net

Wie gesagt, es geht nur um die Klausuren, für den Rest bezahlen die
schließlich noch zwei Admins.....
Frag die mal, deren Meinung dazu wäre auch sehr interessant

gemini
Rakeem2001
Rakeem2001 08.01.2006 um 13:56:09 Uhr
Goto Top
Unser Dozent ist unser AEW Lehrer,
mal sehen, nein der hat keine Ahnung, diese Login Sache ist ein Projekt von dem unsere Note abhängt und ne Musterlösung gibt es nicht. Die Admins haben wir ja schon gefragt, daher hatten wir ja dann die Idee mit den Ordnern und den PC Rechten, wir dachten, wenn die uns das so sagen, dann wird das gehen, jetzt stehen wir da, haben nen Projektantrag eingereicht und müssen zusehen, das wir das jetzt hinkriegen, sonst wars das mit der Note...

Wir sollen ja den Aufwand sehr gering halten, sprich nicht so wahnsinnig viel am AD verändert. Und unsere Berufsschule, hat einen riesen Haufen an Rechnern, ich meine wir haben eigentlich 10 - 15 Rechnerräume und vielleicht 5 ohne... Und überall sollen Klausuren geschrieben werden können, auch an den knapp 60 Laptops... (Siemens Berufsschule...)

Darum hatten wir uns ja auch überlegt, das wir das alte Model, mit einem Account für alle in der gesamten Domäne übernehmen, aber zum Beispiel die Zugriffsrechte auf die lokale Festplatte gegen Null laufen lassen und alles auf den Netzlaufwerken machen.
Es gehört leider zu den Anforderungen an unser Projekt, das es nicht mehr möglich seien soll lokal irgendwelche Hilfen auf dem Rechner zu benutzen und auch keine "Altlasten" von anderen Schüler zu benutzen.

Tja, und nun stehen wir da, noch dazu waren jetzt die letzten beiden Wochen Urlaub, also Ferien und wir müssen in der nächsten Woche in der Schule eine Testdomäne aufsetzen und daran dann unsere Fortschritte aufzeigen.

Und zu der Sache mit den Gruppenrichtlinien, wir hatten eine OU erstellt (KlausurOU) darin hatten wir eine Usergruppe (Klausuren), einen User (Klausur) und meinen Laptop (EVO), und XP hat nichts von den Richtlinien übernommen die wir eingestellt hatten. Wir haben sogar extra noch alles mögliche am Desktop verändert und nichts passierte (also in den Richtlinien verändert aber keien Übernahme vom Testsystem...)

So, bin weiterhin für jede Gute Idee offen und bedanke mich nochmals für das bereits geschriebene!!!

THX René
hirnibus
hirnibus 08.01.2006 um 14:00:48 Uhr
Goto Top
also für mich nochmals zum mitschreibenface-smile

Ihr wollt, dass man Klausuren auf den PC's schreiben kann. Und dann soll irgendwie ein Freigabe erstellt werden wo nur der Computer drauf zugriff hat? So etwa?
gemini
gemini 08.01.2006 um 14:51:32 Uhr
Goto Top
Ich frage jetzt nicht was AEW bedeutet, hoffe aber inständig, dass es nichts mit IT zu tun hat.
Auf jeden Fall schon mal Glückwunsch zu eurem Dozenten.
In der Befürchtung, dass meine Vemutung betr. AEW doch zutrifft, hätten zumindest eure Admins sagen müssen, dass das in der Form nicht geht.

Wir sollen ja den Aufwand sehr gering halten,
sprich nicht so wahnsinnig viel am AD verändert.
und
mehr möglich seien soll lokal irgendwelche Hilfen
sind zwei Dinge die sich beißen.
Zweiteres erfordert mehr oder weniger intensiven Policy-Einsatz.

Vielleicht hat jemand anderer Ideen, das so umzusetzen, ich leider nicht.
Imho solltest ihr auf Grund Unerfüllbarkeit den Projektantrag ändern.
Und zwar die Einschränkung auf einen Useraccount raus, genauso wie '...Aufwand sehr gering...'.

Ich hab mal ein wenig drüber nachgedacht. Die Aufgabenstellung ist nämlich echt nicht ohne.
Bei Klausuren spielt die Sicherheit auch eine Rolle, insb. die Manipulationssicherheit.
Beisp.: Ein Klausurant meldet sich an, das Script erstellt seinen leeren Ordner und stellt die Rechte ein. So weit so gut.
Dazu braucht der Prüfling das Recht Berechtigungen ändern, da kann man über die Gruppe ERSTELLER-BESITZER regeln, dass er nur für dieses eine Verzeichnis die Rechte ändern kann.
Aaaaber, nun kann er sein Verzeichnis für andere öffnen!!!
Das darf nicht sein. Folglich müsste das Script mit erhöhten Rechten laufen, geht zwar, dann muss es wegen dem Klartextpasswort aber auch geschützt werden.
Eine sichere Vollautomatik ist also nicht ganz leicht umzusetzen.

Ich würde es so umzusetzen versuchen:
Der Dozent mit administratioven Rechten muss sowieso an den Server um die Aufgaben bereitzustellen.
Er startet ein Script, das für eine bestimmte Benutzergruppe, die eben die Kausur schreibt, je einen Ordner im Klausurverzeichnis anlegt und die Rechte für die User setzt.
Aber um die Anlage vieler User kommt ihr auch hier nicht rum.

gemini
hirnibus
hirnibus 08.01.2006 um 15:57:46 Uhr
Goto Top
stimmt, wenn der User Besitzer vom Ordner ist, kann er ihn auch zugreifbar für andere user machen. Wie gemini bereits gepostet hat. Mit dem Zugriff abhängig vom Computer wirst du gegen die Wand laufen, zudem machst du dir nur unnötige Arbeit face-smile
hirnibus
hirnibus 08.01.2006 um 16:19:31 Uhr
Goto Top
Eben ist mir gerade noch eine Idee gekommen. Währendem die Klausur geschrieben wird, müssen alle Rechner offline sein. Kein Netzwerk evt. Strom vom Switch nehmen. Die Datei wird an einem bestimmten Ort lokale am PC gespeichert. Nach Beendigung der Klausur verklassen die Schüler den Raum. Die Computer werden neugestartet. Netzwerk wiederhergestellt. An einem Admin-Pc wird das Administration-Kit installiert. Alle Clients werden in eine OU verschoben. In dieser ist eine Gruppenrichtlinie für den Auto-Login per reg2adm definiert. Die PC's werden automatisch eingelogt und ein Script wird gestartet wo die Datei von der lokalen Festplatte auf den Server kopiert wird. Danach werden die PC's wieder heruntergefahren/abgemeldet.
Rakeem2001
Rakeem2001 09.01.2006 um 08:05:25 Uhr
Goto Top
Morgen, so sitzen jetzt gerade inner Schule und arbeiten an unserem 2003 Server.

Das mit den Gruppenrichtlinien werden wir dann gleich mal in die Tat umsetzen!
(Danke hirnibus!)

Alles weitere werden wir dann später mal berichten, hoffen heute mal voran zu kommen...
Werde heute Nachmittag ab 16 Uhr dann mal eine richtige Problembeschreibung geben!

Nachtrag:
Gruppenrichtlinien laufen einwandfrei, jetzt fehlen nur noch die Scripte... Hoffe mal, dass das jetzt wo die erste große Hürde für uns weg ist, besser wird.
Werden uns jetzt aber erstmal noch den Richtlinien in Vollendung widmen!

Greetz René