Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Login Script als Domänenadmin ausführen

Mitglied: erikro

erikro (Level 2) - Jetzt verbinden

12.07.2017 um 10:43 Uhr, 1675 Aufrufe, 28 Kommentare

Hallo zusammen,

folgendes Problem:

Es sollen Außendienstmitarbeiter je nach Einsatzort einer bestimmten Gruppe im AD zugewiesen werden, damit sie Zugriff auf die jeweiligen Daten für diesen Ort bekommen. Zur Lösung habe ich ein Powershell-Skript geschrieben, das den Ort aus einer Textdatei ausliest und den User beim Logon in die Gruppe einfügt. Beim Logoff wird er wieder aus der Gruppe entfernt. Das funktioniert auch wunderbar, sofern der User Admin ist. Nun möchte ich natürlich nicht die User alle zu Admins machen.
28 Antworten
Mitglied: emeriks
12.07.2017 um 10:57 Uhr
Hi,
sorry, aber dieses Konzept ist Nonsens.
Es sollen Außendienstmitarbeiter je nach Einsatzort einer bestimmten Gruppe im AD zugewiesen werden, damit sie Zugriff auf die jeweiligen Daten für diesen Ort bekommen.
Welchen Sinn soll das haben? Wenn er in München ist kann er auf die München-Daten sowieso zugreifen. Warum sollte es nötig sein, explizit zu verbieten, dass er von Hamburg aus nicht auf diese Daten zugreifen kann, auch wenn er sie dort nicht benötigt?

Sinnvoller wäre es, den Zugriff z.B. über Netzlaufwerke zu lenken. Wenn er in München angemeldet ist, dann wird Netzlaufwerk X: mit \\server\münchen verbunden. Wenn er in Hamburg ist dann mit \\server\hamburg. Für den Anwender ist es immer X:\.

E.
Bitte warten ..
Mitglied: Penny.Cilin
12.07.2017 um 11:13 Uhr
Hallo,

welche Umgebung ist im Einsatz?
Je nach Umgebung kann die Lösung
  • Direct Access
  • Dynamic Access
  • Work Folders
  • oder anderes
sein.

Aber dazu sollte man beim erstellen eines Beitrages auch die nötigen Informationen angeben.
Siehe dazu Abschnitt Je nach Fragestellung werden folgende Informationen zusätzlich benötigt:


Gruss Penny
Bitte warten ..
Mitglied: erikro
12.07.2017 um 15:38 Uhr
Ganz einfach: Datensicherheit. Laufwerksbuchstaben werden natürlich vergeben.
Bitte warten ..
Mitglied: emeriks
12.07.2017, aktualisiert um 15:49 Uhr
Datensicherheit? Das musst mir mal erklären ...
Wenn es darum geht, dass die Daten des einen Standorts auch nicht theoretisch am anderen Standort eingesehen werden können, dann sollte man das netzwerktechnisch trennen.
Bedenke:
Du redest von Loginscript o.ä.
Dieses greift aber bloß bei einer interaktiven Anmeldung. Wenn man an einen PC geht, wo jemand anderes angemeldet ist, dann kann man rein mit den Anmeldedaten auf die Freigabe des anderen Standorts zugreifen, auch ohne sich lokal an diesem PC anzumelden.
01.
net use \\server\freigabe /user:domain\username
In puncto Datensicherheit kommst Du mit Deinem Ansatz da nicht weit.

Edit:
Das mit deinem Script bei Logon kann auch aus einem anderen Grund nicht funktionieren. Wenn ich angemeldet bin und dann ein Loginscript o.ä. läuft, welche dann erst meine Gruppenmitgliedschaft ändert, dann gilt das für die aktuelle Anmeldung überhaupt nicht. Geänderte Gruppenmitgliedschaften greifen erst bei nächster Anmeldung oder nach Ablauf des Token, was i.A. aber länger dauert.
Bitte warten ..
Mitglied: Penny.Cilin
12.07.2017 um 15:59 Uhr
Zitat von erikro:

Ganz einfach: Datensicherheit. Laufwerksbuchstaben werden natürlich vergeben.
Sorry, aber irgendwie hast Du KEINEN Plan bzw. Ahnung wie man deine Anforderung umsetzt.

  • Du hast verschiedene Außendienstmitarbeiter
  • die sind unter Umständen an verschiedenen Standorten
  • sollen Zugriff auf die Daten der jeweiligen Standorte bekommen

soweit die Anforderung, richtig?

Welche Umgebung setzt Ihr ein (Windows Server 2008, R2 2012, R2, oder neuer)? - meine Frage hast Du ja nicht beantwortet.
Bei Windows Server 2012 gibt es nämlich diverse Möglichkeiten, solche Anforderungen umzusetzen.
Bitte warten ..
Mitglied: erikro
12.07.2017 um 16:41 Uhr
Es geht um den Zugriff auf Dateien, die in einer DFS-Freigabe liegen. Stimmt, das war schlecht ausgedrückt. Ich pack nochmal ein wenig Butter bei die Fische.
Bitte warten ..
Mitglied: erikro
12.07.2017 um 16:42 Uhr
Immer diese Hektik.
Bitte warten ..
Mitglied: emeriks
12.07.2017 um 16:45 Uhr
Es geht um den Zugriff auf Dateien, die in einer DFS-Freigabe liegen. Stimmt, das war schlecht ausgedrückt. Ich pack nochmal ein wenig Butter bei die Fische.
DFS-N ändert daran gar nichts.
Lass mich raten: Die standortbezogenen Daten liegen dann jeweils in einer Freigabe auf einem Server, welcher vor Ort am betreffenden Standort steht?
Bitte warten ..
Mitglied: erikro
12.07.2017 um 20:25 Uhr
Nein, auf den Schiffen stehen keine Server. Aus Usersicht liegen sie in der Domain. Wo genau auf der Welt weiß der User nicht. Das Problem ist auch nicht, wo die Daten liegen, sondern dass die Mitarbeiter NUR und AUSSCHLIESSLICH an dem Tag, an dem sie auf dem Schiff arbeiten, auf die Dateien zugreifen dürfen.
Bitte warten ..
Mitglied: emeriks
12.07.2017 um 20:37 Uhr
Das wäre dann eine Frage des Arbeitsprozess. Das kann man vergleichen mit Arbeit in Projekten bei uns im Haus. Wenn jemand einem anderen Projekt zugeteilt wird, dann wird sein Konto vorher in die entsprechenden Berechtigungsgruppen aufgenommen. Entweder durch einen Admin oder durch eine Person mit delegierten Rechten im AD oder meinetwegen durch eine Software, welche das in Form eines Workflows abbildet.
Bitte warten ..
Mitglied: erikro
12.07.2017 um 20:50 Uhr
Dafür ist keine Zeit. Wenn die Admins das vorher wüssten, wo auf der Welt bei welchem Schiff von wem ein Noteinsatz durchgeführt wird, wäre das kein Problem.
Bitte warten ..
Mitglied: emeriks
12.07.2017 um 21:59 Uhr
Sorry, aber das ist eine Ausrede oder Du hast mich nicht verstanden.
Irgendjemand muss doch diese Leute beauftragen. Und an dieser Stelle muss ein definierter Prozess in Gange gesetzt werden. Fertig aus.
Bitte warten ..
Mitglied: erikro
12.07.2017 um 23:09 Uhr
Genau so ist es. Und der definierte Prozess heißt: Trage das Datum und das Schiff in den Einsatzplan des Users ein und er wird per Skript in die entsprechende Gruppe eingefügt. Ganz einfach. Jetzt brauche ich nur noch die Lösung, wie ich beim Logon das Skript mit entsprechenden Rechten ausführe, ohne das ein Admin Nachtschicht machen muss.

P.S. Ich habe eher das Gefühl, dass Du das Problem nicht verstehst.
Bitte warten ..
Mitglied: emeriks
13.07.2017 um 08:23 Uhr
Mir scheint, Du willst unbedingt diese Lösung über das Loginscript wissen. Den "Trick" dahinter.
Letzter Versuch von mir:
Und der definierte Prozess heißt: Trage das Datum und das Schiff in den Einsatzplan des Users ein und er wird per Skript in die entsprechende Gruppe eingefügt. Ganz einfach.
Ganz einfach wäre es, wenn Du jeden Tag um 00:01 Uhr eine Geplante Aufgabe laufen lässt, welche Name, Datum und Schiff aus dieser Datei ausliest und damit die Gruppenmitgliedschsaft des Benutzers anpasst.
Bitte warten ..
Mitglied: erikro
13.07.2017 um 09:10 Uhr
Siehst Du, Du hast das Problem nicht verstanden. 00:01 in Hamburg? Oder in Lima? Oder in Hongkong? Und was passiert, wenn der Kapitän um 00:02 anruft? Soll das Schiff dann einen ganzen Tag im Hafen liegen? Hast Du eine Vorstellung davon, was das kostet? Das vorgegebene Zeitfenster ist fünf Minuten zwischen Auftragserteilung und Rechtevergabe ohne Eingriff eines Admins. Außerdem ist die Vorgabe, dass die Rechte beim Logoff wieder entzogen werden. Und das ebenfalls automatisiert. Das ist eben nicht so banal wie die normale Rechtevergabe. Deshalb sind ja auch die festangestellten Admins der Firma daran gescheitert und schieben Nachtschichten.
Bitte warten ..
Mitglied: Penny.Cilin
13.07.2017 um 10:06 Uhr
Also mal halblang.
@emeriks hat völlig recht. Der Prozeß ist bei Euch in keinster Weise durchdacht worden.

Deine Lösungsversuche in Ehren, es kann nicht sein, daß die Administratoren die Fehlplanung der Prozesse ausbügeln müssen.
Korrekterweise MUSS für dieses Ansinnen ein Pflichtenheft erstellt werden, um die Arbeitsprozesse zu definieren.
Dafür gibt es das Prozeßmanagement. Anhand der definierten Prozesse werden die Lösungsmöglichkeiten erarbeitet.

Da dies aber nicht gewollt/gewünscht ist, sondern man nach der Methode Setzt das um, oder Ihr seid nicht für den Job geeignet verfährt,
stehst Du und (möglicherweise) Deine Kollegen in der Schußlinie.

Irgendwas läuft also bei Euch schief. - Aus diesem Grunde kommen auch keine weiteren Lösungvorschläge,
weil die Anforderung nicht einfach mit einem Loginscript umzusetzen ist. *Punkt*


Gruss Penny
Bitte warten ..
Mitglied: emeriks
13.07.2017 um 10:20 Uhr
@Penny.Cilin
Dito!

@erikro
Suche die Fehler hier bitte nicht bei mir! Ich will Dir nur helfen ...
00:01 in Hamburg? Oder in Lima? Oder in Hongkong?
Denkfehler! Die Zeit muss natürlich relativ zur Zeitzone, in welcher der Computer mit der geplanten Aufgabe steht, in diese betreffende Datei geschrieben werden. Da ist der Fehler!
wenn der Kapitän um 00:02 anruft? Soll das Schiff dann einen ganzen Tag im Hafen liegen?
Es ist ein leichtes, einen Trigger zu hinterlegen, welcher die geplante Aufgabe sofort ausführt, wenn diese Datei geändert wird.
Bitte warten ..
Mitglied: erikro
13.07.2017 um 17:06 Uhr
Denkfehler. Der Server steht nicht da, wo sich das Schiff gerade befindet. Schiffe haben es an sich, dass sie sich bewegen. Heute ist es vielleicht in Lima und in vier Wochen vielleicht in Hongkong.

Klar ist es leicht zu triggern, wenn die Datei geändert wird. Die Rechte sollen aber dann gesetzt werden, wenn der User sich einlogt. Und was ist mit dem Entzug der Rechte beim Logoff?
Bitte warten ..
Mitglied: emeriks
13.07.2017, aktualisiert um 19:44 Uhr
Ok, ich klinke mich dann mal aus.
Es wäre trotzdem toll, wenn Du die Lösung hier posten würdest, falls Du es hinbekommst. Die Münchhausen-Lösung mit dem Zopf wird es jedenfalls nicht sein können.
Bitte warten ..
Mitglied: Penny.Cilin
13.07.2017 um 17:57 Uhr
Zitat von emeriks:

Ok, ich klinke mich dann mal aus.
Es wäre trotzdem toll, wenn Du die Lösung hier posten würdest, falls Du es hinbekommst. Die Müchhausen-Lösung mit dem Zopf wird es jedenfalls nicht sein können.
Auch ich klinke mich her aus und schließe mich @emeriks an.

Leider hast Du uns bisher nicht verraten, welche Umgebung eingesetzt wird.
Ich hatte Dir weiter oben mitgeteilt, daß unter Umständen
  • Direct Access
  • Dynamic Access
eine Möglichkeit sind. dazu sollte aber Windows Server 2012 bzw. R2 eingesetzt werden.
Bitte warten ..
Mitglied: erikro
13.07.2017 um 18:03 Uhr
Dass es Server 2012 R2 ist, hatte ich erwähnt.
Bitte warten ..
Mitglied: Th0mKa
13.07.2017 um 18:16 Uhr
Zitat von erikro:

Dass es Server 2012 R2 ist, hatte ich erwähnt.
Hast du nicht, aber davon abgesehen wird es aus der oben bereits erwähnten Problematik das der Logon je nach Art eurer Gruppenzuweisung zu spät für die Security Token ist nicht funktionieren. Sinnvoller Ansatz wäre ein Workflowsystem das die User entsprechend ihrem Order Book den Gruppen zeitnah zum Termin zuweisst. Aber wie immer gilt, man kann organisatorsche Defizite nicht technisch lösen.

VG,

Thomas
Bitte warten ..
Mitglied: Penny.Cilin
13.07.2017 um 18:17 Uhr
Zitat von erikro:

Dass es Server 2012 R2 ist, hatte ich erwähnt.
Nöö leider nicht. Du hattest nur DFS-Freigabe erwähnt (nämlich gestern um 16:41 Beitrag)
Aber wenn W2K12 R2 eingesetzt wird, dann schau Dir mal die beiden von mir genannten Funktionen an.
Möglicherweise kannst Du damit Deine Anforderung lösen.
Bitte warten ..
Mitglied: erikro
14.07.2017 um 08:40 Uhr
Und um 16:42, dass es 2012 R2 ist.
Bitte warten ..
Mitglied: emeriks
14.07.2017, aktualisiert um 08:50 Uhr
Und um 16:42, dass es 2012 R2 ist.
Dann hätten wir hier ein technisches Problem im Forum ...
Deine 16:42 Antwort sieht bei mir so aus:

eriko_1642 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: erikro
14.07.2017 um 09:10 Uhr
klist purge
Bitte warten ..
Mitglied: emeriks
14.07.2017 um 09:14 Uhr
klist purge
Ach hör auf! Warum sollen wir uns Dein Steno-Gestottere antun?
Außerdem:
Membership in Domain Admins, or equivalent, is the minimum required to run all the parameters of this command.

Bin jetzt endgültig raus.
Bitte warten ..
Mitglied: Ex0r2k16
24.05.2018 um 15:26 Uhr
das was du/ihr plant ist AD Missbrauch vom Feinsten. Sowas realisiert man nicht über ein AD. Wenn der Workflow schon derart verkorkst ist, würde ich mir eine Plattform bauen (lassen), wo die User sich selber einen einmaligen und zeitlich begrenzten Zugriffstoken generieren können. Das ganze wird natürlich protokolliert. Wie siehts mit GPS aus? Zur Not könnte man ja noch den GPS Standort als Bedingung mit rein nehmen. Oder die Kombi der Mac Adresse von Client und Gateway und und und... Machbar ist da vieles aber nicht übers AD!

Wer hat euch da beraten?
Bitte warten ..
Ähnliche Inhalte
Windows Server

Login Script verzögert ausführen

Frage von Intruder0001Windows Server6 Kommentare

Hallo gibt es die Möglichkeit das login Script verzögert nach der Anmeldung ca. 10-20sek auszuführen ?? Gerade bei schnellen ...

Microsoft

ATLAS-Ausfuhr - Internetausfuhranmeldung Plus (IAA-Plus)

Frage von FischerICTMicrosoft6 Kommentare

Guten Abend -all, ich suche für einen Kungen ein kleines Anwendungsprogramm "Softwarelösung" die die Schnittstelle zu ATLAS aufweist Derzeit ...

Windows 10

Login Script funktioniert unter Win 10 nicht

gelöst Frage von SchauerWindows 103 Kommentare

Guten Morgen werte Kollegen. Erneut muss ich mit einem Problem auf euch zukommen. Eckdaten: Win 2008 DC Laufwerkszuweisung ( ...

Windows Server

Login Script nach der Anmeldung Zeitverzögert ausführen

gelöst Frage von Intruder0001Windows Server4 Kommentare

Hallo nochmal seit der Umstellung auf Domänen Control arbeiten wir für die Verteilung der verfügbaren Netzlaufwerke mit einem KIX ...

Neue Wissensbeiträge
Off Topic
Europawahl 2019 - Ein Statement der Jugend
Information von Frank vor 17 StundenOff Topic13 Kommentare

Dies ist ein offener Brief. Ein Statement. Von einem großen Teil der Youtuber-Szene. Am Wochenende sind die EU-Wahlen und ...

Off Topic
Europawahl 2019
Information von Frank vor 1 TagOff Topic44 Kommentare

Vom 23. bis 26. Mai 2019 findet die Europawahl in den Mitgliedstaaten der Europäischen Union statt (ja auch in ...

Humor (lol)

Minister wollen offenbar Ausweispflicht für .de-Domain

Information von Kraemer vor 2 TagenHumor (lol)7 Kommentare

Zitat von Golem.de: Die zuständigen Verbraucherschutzminister fordern einem Medienbericht zufolge offenbar eine Ausweispflicht für .de-Domains. Das soll Betrugsfälle mit ...

Off Topic
Was als Noob hier mal gesagt werden musste
Information von th30ther vor 3 TagenOff Topic5 Kommentare

Moinsen wertes Forum, ich möchte mich an dieser Stelle mal beim Forum generell und bei aqui speziell bedanken! Ich ...

Heiß diskutierte Inhalte
Off Topic
Europawahl 2019
Information von FrankOff Topic44 Kommentare

Vom 23. bis 26. Mai 2019 findet die Europawahl in den Mitgliedstaaten der Europäischen Union statt (ja auch in ...

Router & Routing
ZyXEL ZyWALL USG 20 Routing
Frage von Oggy01Router & Routing18 Kommentare

Hallo, und wieder habe ich ein Problem mit dem Routing. Bis vor ein paar Tagen habe ich das mit ...

Off Topic
Europawahl 2019 - Ein Statement der Jugend
Information von FrankOff Topic13 Kommentare

Dies ist ein offener Brief. Ein Statement. Von einem großen Teil der Youtuber-Szene. Am Wochenende sind die EU-Wahlen und ...

Server-Hardware
Server Umbau
Frage von cyberworm83Server-Hardware10 Kommentare

Hallo zusammen, ich habe einen 19" Server (HP ProLiant DL160 G6) dieser ist auch super. ABER jetzt meine Frage: ...