client-gpo per script zurücksetzen

hallo zusammen,
ich habe hier ca 50 windows xp clients, die umziehen sollen und angepasste gpo bekommen sollen.
an sich kein problem; ich habe mir ein kleines script geschrieben, welches die arbeit machen soll.

:: user aus gruppe entfernen und in neue gruppe einfuegen
    NET LOCALGROUP Administratoren %USERNAME% /ADD
    NET LOCALGROUP Benutzer %USERNAME% /DELETE

:: entfernen von datei attributen
    ATTRIB -H -R %SystemRoot%\system32\GroupPolicy\Machine\registry.pol /S /D
    ATTRIB -H -R %SystemRoot%\system32\GroupPolicy\User\registry.pol /S /D
    ATTRIB -H -R %USERPROFILE%\ntuser.pol /S /D
    
:: loeschen von gpo-dateien
    ERASE /F /Q %SystemRoot%\system32\GroupPolicy\Machine\registry.pol
    ERASE /F /Q %SystemRoot%\system32\GroupPolicy\User\registry.pol
    ERASE /F /Q %userprofile%\ntuser.pol    

:: loeschen von reg-gpo-keys des angemeldeten users
    REG DELETE "HKCU\Software\Policies" /f   
    REG DELETE "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies" /f  
    REG DELETE "HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy\History" /f  
    
:: loeschen von reg-gpo-keys des lokalen client
    REG DELETE "HKLM\SOFTWARE\Policies" /f   
    REG DELETE "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies" /f  
    REG DELETE "HKLM\Software\Microsoft\Windows\CurrentVersion\Group Policy\History" /f  

:: user aus gruppe entfernen und in neue gruppe einfuegen
    NET LOCALGROUP Benutzer %USERNAME% /ADD
    NET LOCALGROUP Administratoren %USERNAME% /DELETE

    SHUTDOWN -r -f

jetzt aber zu meinem problemchen.

die user melden sich als als normale domaenen-user an, koennen also nicht ohne weiteres registry-zweige loeschen und attribute von systemdateien aendern und diese dann loeschen.
hier habe ich vor, die user fuer den zeitraum des scripts, in die lokale admingruppe zu legen und dann wieder zu entfernen.
ist das sinnvoll bzw in dieser form machbar? da reg-zweige im hkcu und hklm-bereich der registry geloescht werden muessen, muss der user ueber adminrechte dazu verfuegen.

gibt es eventuell noch andere moeglichkeiten, bzw ueber eine anzulegende gpo die das alles erledigt?

vielen dank im voraus fuer eure hinweise und ggf verbesserungen.

andré

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 104213

Url: https://administrator.de/contentid/104213

Ausgedruckt am: 25.11.2024 um 00:11 Uhr

2 Kommentare

Neuester Kommentar

Moin Moin

Du kannst doch auch Skripte per GPO bein Starten bzw. Anmelden ausführen.
Ich würde aus dem Skript 2 machen:
einmal nur das REG DELETE "HKCU... geschleuder un die bei der benutzeranmeldung auszuführen.
Und einmal den Rest ohne NET LOCALGROUP .... (das wird dann nicht mehr bbenötigt) beim Neustarten ausführen.

Gruß L.

Warum überhaupt das Ganze? Ziehen Sie in eine neue Domäne/OU, bekommen Sie neue Richtlinien, wieso alte überschreiben?
Willst Du unbedingt, kann ich nur Logan unterstützen, nimm ein Domänenstartskript, dies arbeitet mit Systemrechten und kann alles ausführen.

Frage Entwicklung

Mehr von an-wei

Über Powershell AD Gruppen erstellen und anpassenan-wei - 2 Kommentare

Aufgaben zusammenfassen und mittels Schleife verarbeitenan-wei - 3 Kommentare

Hostnamen von ThinClients abfragen - Wie optimaler gestalten?an-wei - 1 Kommentar

SAP Symbole werden nicht angezeigtan-wei - 2 Kommentare

Heiß diskutiert