an-wei
Goto Top

client-gpo per script zurücksetzen

hallo zusammen,
ich habe hier ca 50 windows xp clients, die umziehen sollen und angepasste gpo bekommen sollen.
an sich kein problem; ich habe mir ein kleines script geschrieben, welches die arbeit machen soll.

:: user aus gruppe entfernen und in neue gruppe einfuegen
    NET LOCALGROUP Administratoren %USERNAME% /ADD
    NET LOCALGROUP Benutzer %USERNAME% /DELETE

:: entfernen von datei attributen
    ATTRIB -H -R %SystemRoot%\system32\GroupPolicy\Machine\registry.pol /S /D
    ATTRIB -H -R %SystemRoot%\system32\GroupPolicy\User\registry.pol /S /D
    ATTRIB -H -R %USERPROFILE%\ntuser.pol /S /D
    
:: loeschen von gpo-dateien
    ERASE /F /Q %SystemRoot%\system32\GroupPolicy\Machine\registry.pol
    ERASE /F /Q %SystemRoot%\system32\GroupPolicy\User\registry.pol
    ERASE /F /Q %userprofile%\ntuser.pol    

:: loeschen von reg-gpo-keys des angemeldeten users
    REG DELETE "HKCU\Software\Policies" /f   
    REG DELETE "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies" /f  
    REG DELETE "HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy\History" /f  
    
:: loeschen von reg-gpo-keys des lokalen client
    REG DELETE "HKLM\SOFTWARE\Policies" /f   
    REG DELETE "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies" /f  
    REG DELETE "HKLM\Software\Microsoft\Windows\CurrentVersion\Group Policy\History" /f  

:: user aus gruppe entfernen und in neue gruppe einfuegen
    NET LOCALGROUP Benutzer %USERNAME% /ADD
    NET LOCALGROUP Administratoren %USERNAME% /DELETE

    SHUTDOWN -r -f

jetzt aber zu meinem problemchen.

die user melden sich als als normale domaenen-user an, koennen also nicht ohne weiteres registry-zweige loeschen und attribute von systemdateien aendern und diese dann loeschen.
hier habe ich vor, die user fuer den zeitraum des scripts, in die lokale admingruppe zu legen und dann wieder zu entfernen.
ist das sinnvoll bzw in dieser form machbar? da reg-zweige im hkcu und hklm-bereich der registry geloescht werden muessen, muss der user ueber adminrechte dazu verfuegen.

gibt es eventuell noch andere moeglichkeiten, bzw ueber eine anzulegende gpo die das alles erledigt?

vielen dank im voraus fuer eure hinweise und ggf verbesserungen.

andré

Content-ID: 104213

Url: https://administrator.de/forum/client-gpo-per-script-zuruecksetzen-104213.html

Ausgedruckt am: 26.12.2024 um 03:12 Uhr

Logan000
Logan000 16.12.2008 um 15:25:54 Uhr
Goto Top
Moin Moin

Du kannst doch auch Skripte per GPO bein Starten bzw. Anmelden ausführen.
Ich würde aus dem Skript 2 machen:
einmal nur das REG DELETE "HKCU... geschleuder un die bei der benutzeranmeldung auszuführen.
Und einmal den Rest ohne NET LOCALGROUP .... (das wird dann nicht mehr bbenötigt) beim Neustarten ausführen.

Gruß L.
DerWoWusste
DerWoWusste 21.12.2008 um 14:10:31 Uhr
Goto Top
Warum überhaupt das Ganze? Ziehen Sie in eine neue Domäne/OU, bekommen Sie neue Richtlinien, wieso alte überschreiben?
Willst Du unbedingt, kann ich nur Logan unterstützen, nimm ein Domänenstartskript, dies arbeitet mit Systemrechten und kann alles ausführen.