beny11
Goto Top

Benutzer-Anmeldeskript von einem dedizierten Server ausführen

Abend.

Ich suche gerade eine Lösung um einen Skript von einem Server über die AD bzw. das AD Benutzer Konto auszuführen.
Dabei wäre es mir am liebsten wenn ich es unter Anmeldeskripte eingeben könnte, wie im Bild zu sehen...

Leider kann man aber in diesem Feld nur einen Dateinamen vergeben, welches dann im Netlogon Verzeichnis abgelegt werden muss.
Das ist aber nicht so schön, da jeder drauf Zugriff hat.
Leider kann kein UNC Pfad an der Stelle eingegeben werden bzw. wird nicht angenommen. Dabei würde ich gerne das Skript von einem dedizierten Server aus ausführen wollen.

Was hättet ihr denn noch für einen Vorschlag !?
2021-08-17 at 21

Content-ID: 1166058884

Url: https://administrator.de/forum/benutzer-anmeldeskript-von-einem-dedizierten-server-ausfuehren-1166058884.html

Ausgedruckt am: 26.12.2024 um 21:12 Uhr

Tezzla
Tezzla 17.08.2021 um 22:06:37 Uhr
Goto Top
Moin,

was spricht gegen eine Gruppenrichtlinie (Startup- oder Logon Script, Aufgabenplanung)?
Da kannst du alle möglichen Pfade angeben, auf die der Computer / Benutzer zugreifen können.

VG
Beny11
Beny11 17.08.2021 um 22:11:41 Uhr
Goto Top
Für jeden User soll ein angepasstes Skript ausgeführt werden und keine allgemeinen Skripte. Das kann man mit einer Gruppenrichtlinie nicht abbilden, denn sonst müsste ich für jeden User eine eigene GPO erstellen
Tezzla
Tezzla 17.08.2021 um 22:14:19 Uhr
Goto Top
Das musst du ja generell, egal wie du das Script ausrollst, ob per Attribut oder GPO.

Wenn du den Pfad bspw mit \\server\dir\%username%-script.cmd nimmst, sollte das passen.

Oder du fragst im Script den Username ab.
Beny11
Beny11 17.08.2021 um 22:19:26 Uhr
Goto Top
Bei 450 Usern wird es schwer.. Soviele GPOs will bestimmt niemand haben face-smile
Das beste wäre, wenn man den Pfad in dem Benutzerprofil hinterlegen könnte, aber das ist leider nicht möglich.
chiefteddy
chiefteddy 17.08.2021 um 22:25:38 Uhr
Goto Top
Leider kann man aber in diesem Feld nur einen Dateinamen vergeben, welches dann im
Netlogon Verzeichnis abgelegt werden muss.
Das ist aber nicht so schön, da jeder drauf Zugriff hat.

Hallo,

und wieso hast du damit ein Problem?
Der "normalsterbliche" User hat dort doch nur Lese-Rechte. Steht im Anmelde-Script so etwas Geheimes drin, dass dies keiner lesen darf?

Rufe doch mit einer if-then-else-Konstruktion aus dem User-Anmelde-Scribt eine Batch-Datei aus zB. dem Home-Verzeichnis des Users auf, da hat nur er Zugriff.

Jürgen

PS. Oder nutze statt dem M$ AD das eDirectory als Verzeichnisdienst. Da ist das mit den Anmelde-Scripten wesentlich eleganter gelöst face-wink
Beny11
Beny11 17.08.2021 um 22:30:35 Uhr
Goto Top
es sind benutzerbezogene Skripte die auch Passwörter enthalten.. Daher sollte es nur der dazugehörende User ausführen können.

Kannst du mir ein Beispiel für die "if-then-else-Konstruktion" geben !?

eDirectory kommt nicht in Frage. Wir wollen den Standard von Microsoft nutzen.
chiefteddy
chiefteddy 17.08.2021 um 22:42:33 Uhr
Goto Top
Hallo,

dass mit den Passworten ist `ne Sch.....idee. Das macht man nicht!

if %username% == [username] \\[servername]\[Homeverzeichnis]\%username%\script.bat

Jürgen
chiefteddy
chiefteddy 17.08.2021 um 22:44:37 Uhr
Goto Top
Hallo,

das AD unterstützt doch auch LDAP. Kannst du nicht darüber die Passwortübergabe regeln?

Jürgen
SeaStorm
SeaStorm 17.08.2021 aktualisiert um 22:56:57 Uhr
Goto Top
das Passwörter nicht in Scripte gehören wurde ja schon gesagt.
Würde mich mal interessieren was genau du da machen willst.

Aber du kannst eine GPO machen für alle, die ein Script "runscript.xxx" ausführt. diese Datei ruft dann einfach nur eine Datei auf die den Usernamen enthält, also z.B sowas wie
call \\server\share\%username%\persoenlichesScript.bat

und auf diesen %username% Ordner hat dann halt nur der User Zugriff.


und streng genommen geht das auch schon direkt mit einer GPO bzw GroupPolicyPreferences , da man heir schon in der Pfadangabe die Variablen, also %username% nutzen kann
emeriks
emeriks 18.08.2021 aktualisiert um 09:56:37 Uhr
Goto Top
Zitat von @Beny11:
Bei 450 Usern wird es schwer.. Soviele GPOs will bestimmt niemand haben face-smile
Du hast offenbar @Tezzla nicht verstanden.

Damit wäre das genau eine GPO, welche dann für alle Benutzer gilt. Nur dass Du dann je Benutzer ein eigens Script hast, abgeleitet vom Loginnamen (sAMAccountName) des Benutzers.

E.

Edit:
Man könnte das auch ohne GPO erledigen, als Kombi der bereits von den Kollegen/innen genannten Verfahren.
z.B. in allen Benutzerobjekten eintragen
login.cmd
Login.cmd legts Du dann im NETLOGON an. Diese Login.cmd führt aus
"%homeshare%\login.cmd"
oder
"%homeshare%\%username%.cmd"

In den Homedirectories der Benutzer erstellst Du dann die personenbezogenen Scripte "Login.cmd" oder "%username%.cmd" (%username% hier ersetzen, ist klar, also z.B. "emeriks.cmd").