Loginscript mit Administratorrechten starten
Hallo,
folgendes Problem habe ich in einer Domäne mit Windows 2003 Standard als DC und Windows XP Pro- Clients:
Wie bekomme ich es hin (bzw. geht das überhaupt), dass bei der Anmeldung eines Users mit eingeschränkten Rechten ein Loginscript abläuft, das Administratorrechte hat? Beispielsweise soll nach der Anmeldung je nach User die IP-Adresse geändert werden, was ja nur mit Admin-Rechten möglich ist. Die User selbst wechseln verhältnismäßig oft, sodass ein Einstellen durch den Admin ziemlich aufwendig wäre, aber sie dürfen selbst auf !keinen! Fall Adminrechte haben!
Danke,
kingkong
folgendes Problem habe ich in einer Domäne mit Windows 2003 Standard als DC und Windows XP Pro- Clients:
Wie bekomme ich es hin (bzw. geht das überhaupt), dass bei der Anmeldung eines Users mit eingeschränkten Rechten ein Loginscript abläuft, das Administratorrechte hat? Beispielsweise soll nach der Anmeldung je nach User die IP-Adresse geändert werden, was ja nur mit Admin-Rechten möglich ist. Die User selbst wechseln verhältnismäßig oft, sodass ein Einstellen durch den Admin ziemlich aufwendig wäre, aber sie dürfen selbst auf !keinen! Fall Adminrechte haben!
Danke,
kingkong
Please also mark the comments that contributed to the solution of the article
Content-Key: 84551
Url: https://administrator.de/contentid/84551
Printed on: April 20, 2024 at 12:04 o'clock
7 Comments
Latest comment
Hi,
"sowas" kannst du "theoretisch" über die GPO / Computer Einstellungen regeln.
Jedoch würde ich in deinem speziellen Fall die Finger davon lassen.
(Client bekommt eine IP, mit der Verbindet er sich zum AD und bekommt dann eine neue IP - für was soll das bitte gut sein?)
Während der Client eine "neue" IP bekommt, hat er kurzzeitig "keine" und damit auch keine verbindung zum AD.....
Schreib mal lieber auf, was du vorhast - ganz sicher gibts dafür eine "richtige" Lösung....
"sowas" kannst du "theoretisch" über die GPO / Computer Einstellungen regeln.
Jedoch würde ich in deinem speziellen Fall die Finger davon lassen.
(Client bekommt eine IP, mit der Verbindet er sich zum AD und bekommt dann eine neue IP - für was soll das bitte gut sein?)
Während der Client eine "neue" IP bekommt, hat er kurzzeitig "keine" und damit auch keine verbindung zum AD.....
Schreib mal lieber auf, was du vorhast - ganz sicher gibts dafür eine "richtige" Lösung....
Hi,
dann mach es einfach so:
Die User die NICHT ins Internet sollen, bekommen einen Proxy verpasst - den es nicht gibt.
fakeproxy.reg
Kommt ins Loginscript als regedit /s fakeproxy.reg
Die User, die ins Inet dürfen, bekommen KEINEN Proxy verpasst.
Noproxy.reg
Kommt ins Loginscript als regedit /s Noproxy.reg
BTW: NEIN M$ trennt sehr schön "Standard" ISA usw. IMHO hat evtl. der SBS einen Proxy dabei - mangels SBS Kenntnissen meinerseits ist das aber "geraten".
Es gibt sowohl User als auch Rechnerspezifische Startupeinträge und regkeys.
Natürlich funktioniert dieser Trick nur, wenn er nicht bei den Usern die Runde macht, oder sich einer den z.B Firefox installieren würde.
dann mach es einfach so:
Die User die NICHT ins Internet sollen, bekommen einen Proxy verpasst - den es nicht gibt.
fakeproxy.reg
Kommt ins Loginscript als regedit /s fakeproxy.reg
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=dword:00000001
"ProxyServer"="192.168.1.254:80"
Die User, die ins Inet dürfen, bekommen KEINEN Proxy verpasst.
Noproxy.reg
Kommt ins Loginscript als regedit /s Noproxy.reg
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=dword:00000000
- "ProxyServer"
BTW: NEIN M$ trennt sehr schön "Standard" ISA usw. IMHO hat evtl. der SBS einen Proxy dabei - mangels SBS Kenntnissen meinerseits ist das aber "geraten".
Es gibt sowohl User als auch Rechnerspezifische Startupeinträge und regkeys.
Natürlich funktioniert dieser Trick nur, wenn er nicht bei den Usern die Runde macht, oder sich einer den z.B Firefox installieren würde.
Hi,
"lückenfrei" ist nur das Gebiss von Stefan Raab
Da du den User "abfragen" willst, ob oder ob nicht ins Inet darf, kannst du die betreffenden Einstellungen auch nur im Userkontext eintragen und da kann er Sie auch ändern....
Natürlich kannst du den Menüpunkt zum ändern im IE verstecken, über den Regwert kann der aber auch von findigen gefunden und geändert werden.
Firefox gibts z.B auch als "Portable" Anwendung für USB Sticks - die läuft ohne Installation.
Squid - warte mal ich schau grad mal nach Ihm - lach - bei uns läuft Squid seit einigen Jahren
Da Squid (den - den ich kenne) eine Linux Software ist - läuft die auch nur unter Linux, oder in einer VMWare Session von Linux.
"lückenfrei" ist nur das Gebiss von Stefan Raab
Da du den User "abfragen" willst, ob oder ob nicht ins Inet darf, kannst du die betreffenden Einstellungen auch nur im Userkontext eintragen und da kann er Sie auch ändern....
Natürlich kannst du den Menüpunkt zum ändern im IE verstecken, über den Regwert kann der aber auch von findigen gefunden und geändert werden.
Firefox gibts z.B auch als "Portable" Anwendung für USB Sticks - die läuft ohne Installation.
Squid - warte mal ich schau grad mal nach Ihm - lach - bei uns läuft Squid seit einigen Jahren
Da Squid (den - den ich kenne) eine Linux Software ist - läuft die auch nur unter Linux, oder in einer VMWare Session von Linux.
Aber um nochmal auf die Adminrechte
zurückzukommen. Wie stelle ich denn in
den GPO (= Gruppenrichtlinien, oder?!) ein,
dass die Skripte die Rechte haben.
zurückzukommen. Wie stelle ich denn in
den GPO (= Gruppenrichtlinien, oder?!) ein,
dass die Skripte die Rechte haben.
1) starte die Active Directory Users and Computers aus der Verwaltung.
2) gehe in die OU, wo sich die Clientrechner (Computereinstellungen) oder die User (Usereinstellungen) befinden - liegen beide in der gleichen OU, dann erübrigt sich Schritt 11.
3) rechtsklick properties
4) Reiter Group Policy anwählen
5) Button NEW anklicken und Namen vergeben
6) Edit
7) navigiere zu computer configuration/ Windows Settings / Scripts (startup/shutdown)
8) Doppelklick auf Startup
9) Add und das Skript auswählen
10 ) OK drücken
11) nochmal das ganze ab 2 von vorne, nur dann nicht Computer Config sondern User Config.