CMD, NETLOGON - Offline Logon.cmd (offline Scripte) Konzept

Hallo Werte IT Kollegen und Kolleginnen,

wir hatten bei uns öfters folgende Probleme:

User starteten Computer nie neu.
Ehemalige Administratoren veränderten Security Einstellungen
User mit Firmennotebook zuhause.

Man hatte einfach keine Kontrolle mehr über das Gerät, wenn ein User nicht im Firmennetzwerk war.
Daher habe ich mir folgendes Offline Script-Konzept überlegt.

##orange | Mit dem Offline-Konzept haben wir die Möglichkeit, jeden Domain User aktuelle Scripte bereitzustellen die regelmäßig auch bei keiner Netzwerkverbindung ausgeführt werden.

##

Diese Probleme können wir alle beheben, indem wir Scripte auf die Client Rechner kopieren und die Scripte dort mit dem Aufgabenplaner starten.

Grundstruktur des Offline Script Konzepts:

Eine GPO mit dem Namen "offline_script" wird mit einer Computer OU verknüpft.
Diese GPO soll bei jedem Systemstart eine Batch-Datei mit dem Namen "create_offline_script.cmd" ausführen.

Das create_offline_script liegt im folgenden Verzeichnis
\\domain.local\NETLOGON\offline_script\create_offline_script.cmd

Das create_offline_script erstellt einen Ordner auf jedem PC/Notebook wo diese GPO angewendet wird.
Danach werden diesem Ordner die Rechte zum Löschen und ändern entzogen.
Anschließend wird ein Script mit dem Namen „offline_agent.cmd“
auf dem lokalen PC/Notebook kopiert (wird bei jedem Systemstart neu kopiert)

Zum Schluss wird noch ein Task erstellt „offline_agent“
dieser Task läuft alle 30 Minuten und startet das lokal gespeicherte Script „offline_agent.cmd“ mit Systemrechten.

In dem „offline_agent.cmd“ stehen alle Scripte die ausgeführt werden sollen.
Bevor die Scripte ausgeführt werden, werden die Scripte nochmals kopiert
(um den letzten Status zu haben)

CREATE_OFFLINE_SCRIPT.CMD

 
REM ++++++++++ OVERVIEW ++++++++++

REM ++++++++++ Step 1 == create Folder
REM ++++++++++ Step 2 == sync script
REM ++++++++++ Step 3 == create Task


echo ###################################
echo ######################## create Folder 
echo ################### Creator: Nachname
echo ################## last Update: 03.12.14 
echo ###################################

if exist C:\offline_script goto is_created
mkdir C:\offline_script
mkdir C:\offline_script\offline_logon

REM ### set right for folder and subfolder
icacls C:\offline_script /grant Jeder:(CI)(OI)(RX) /inheritance:d
icacls C:\offline_script\offline_logon /grant Jeder:(CI)(OI)(RX) /inheritance:d
REM ### *S-1-5-11 ist "Authentifizierte Benutzer"  
icacls C:\offline_script /remove *S-1-5-11
icacls C:\offline_script\offline_logon /remove *S-1-5-11

:is_created


echo ###################################
echo ########################## sync script 
echo ################### Creator: Nachname
echo ################## last Update: 03.12.14 
echo ###################################

REM ### copy the offline_agent.cmd to local
robocopy \\domain.local\NETLOGON\offline_script\offline_agent.cmd C:\offline_script\offline_agent.cmd /W:2 /R:3



echo ###################################
echo ########################## create Task 
echo #################### Creator: Nachname
echo ################## last Update: 03.12.14 
echo ###################################

REM ### create new Task the run all 30 min.
schtasks /Create /TN offline_agent /F /SC MINUTE /MO 30 /tr "C:\Windows\System32\cmd.exe /C "C:\offline_script\offline_agent.cmd" " /RU System  

OFFLINE_AGENT.CMD

 
REM ++++++++++ OVERVIEW ++++++++++

REM ++++++++++ Step 1 == create Folder
REM ++++++++++ Step 2 == Update all Script
REM ++++++++++ Step 3 == starting Script


echo ###################################
echo ######################## create Folder
echo ################# Creator: Nachname IT
echo ################## last Update: 10.02.15 
echo ###################################

REM ### mkdir C:\offline_script\exeample



echo ###################################
echo ##################### Update all Script
echo ################# Creator: Nachname IT
echo ################## last Update: 10.02.15 
echo ###################################

REM ### copy the offline_logon.cmd to local
robocopy \\domain.local\NETLOGON\offline_script\offline_logon\offline_logon.cmd C:\offline_script\offline_logon\offline_agent.cmd /W:2 /R:3
REM ### robocopy \\domain.local\NETLOGON\offline_script\exeample\exeample.cmd C:\offline_script\exeample\exeample.cmd /W:2 /R:3


echo ###################################
echo ####################### starting Script
echo ################ Creator: Nachname IT
echo ################# last Update: 10.02.15 
echo ###################################

start C:\offline_script\offline_logon\offline_agent.cmd
REM ### start C:\offline_script\exeample\exeample.cmd

OFFLINE_LOGON.CMD

Es gibt noch kein fertiges Script.
Mein Plan ist aber folgendes hineinzuschreiben.

Check wie lange der Computer schon läuft.
Check ist ein Virenschutz installiert und aktiv.
Check ist die Firewall eingeschaltet.
Admin-Check siehe CMD - Admin Check - User mit Admin Rechten finden
Eventuell Standard Programme definieren
Client Backup (kopiere bei Internetverbindung einen bestimmten Ordner in die Firmen Cloud, wenn Gerät extern)

Hoffe es hilft irgendwem und ich hoffe es gibt nicht all zu viele Fehler

Sollte es Fehler geben, bitte mitteilen und ich bessere sie aus.

Lg K

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 263849

Url: https://administrator.de/tutorial/cmd-netlogon-offline-logon-cmd-offline-scripte-konzept-263849.html

Ausgedruckt am: 06.04.2025 um 00:04 Uhr

4 Kommentare

Neuester Kommentar

Hi.

Verdeutliche doch bitte zunächst die Probleme und gib dann an, wieso Dein Konzept diese löst.

•User starteten Computer nie neu.

...und dadurch...?

•Ehemalige Administratoren veränderten Security Einstellungen

ehemalige Admins haben noch immer Adminrechte?

•User mit Firmennotebook zuhause.

...tun was?

Wenn es nur darum geht, das Konzept "offline-Maintenance" zu promoten, dann ist das nichts wirklich Neues

User starten Computer nie neu.
(mit dem zukünftigen Script kann ich das lösen, das Script gibt es noch nicht)

Das Script prüft wie lange der PC schon online ist
(das Script wird ja direkt am PC ausgeführt und daher wird kein Netzwerk benötigt)
Sollte der PC schon länger als 24 Stunden laufen gebe ich den User einen Hinweis er soll neustarten.
Nach 48 Stunden starte ich den PC neu.

Ehemalige Administratoren haben natürlich keine Rechte mehr.
Aber wenn ein Administrator nicht sorgfältig arbeitet,
weil er ja kündigen möchte und einen neuen Job sucht,
dann arbeiten die meistens schnell und für die User.
Bso.: User fragt nach lokalen Admin Rechten oder ob er nicht nicht Arbeitsplatz Firewall deaktivieren kann. etc.

Das zukünftige Script soll dann lokal dann nach solchen Problemen suchen und wieder auf richtig stellen.

Das mit dem Firmennotebook zuhause,
sollte nur zeigen das es Situationen gibt wo ein Firmennotebook keinen direkten Schutz hat.

Das es "offline-Maintenance" Konzepte gibt war mir nicht ganz klar.
Ich habe in der Suche gesucht, aber nichts gefunden.

Ich dachte mir nur, wenn wir bei uns solche Probleme haben,
dann haben vllt. andere auch das Problem und wissen nicht genau wie Sie es lösen sollen.

Hättest du Links zu "offline-Maintenance" Projekten, Konzepte wie auch immer.
Sollte aber wenn möglich kostenlos sein, da für solche Sachen kein Geld da ist bei uns.

hi,
aaaalso ich starte meinen privaten Rechner vielleicht alle 4 Wochen neu... mein firmen-user-Client immer wenn ich an den gpo's oder rechten gedreht hab und das firmen-admin-notebook (identischer Client aber nur für admin-aufgaben) so gut wie nie neu.

ich habe dadurch keinerlei nachteil... gpo's werden ja ständig vom System aktualisiert und wenn er nix neues bekommt nimmt er das was er gespeichert hat.

der user darf (egal wo er ist) natürlich nicht überall dran drehen... (felder ausgrauen per Richtlinie...)
ein admin der nachlässig arbeitet weil er gehen möchte... mh, würde er nicht gehen würde ich "ihn gehen lassen"... hält man die konfig zentral, sollten ausbrecher wie ein Client mit deaktivierter Firewall oder so sowieso direkt auffallen oder per gpo bereinigt werden... adminrechte können ebenfalls automatisch per gpo entzogen werden... sprich du gibst sie zum testen oder testest selber und falls du vergisst sie rauszunehmen bereinigt die gpo es nach 1-2h automatisch...

sicherlich kann man das gpo Konzept so ausbauen das andere gpos (härtere) gelten wenn der DC nicht erreichbar ist ?!
hab ich mir noch keine Gedanken zu gemacht ... aber nen simples ping DC oder sowas sollte da gehen...

den virenschutz kann der Client bei uns weder abschalten noch deinstallieren noch den scan unterbrechen
ich für meinen teil würde / mache mir also nicht sooo die Gedanken um offline maintenence...

oder sehe ich da was falsch?
Gruß

Bezüglich der lokalen Admin Rechten (außerhalb der Domäne) die haben manche Leute,
weil ex Admin's als Freundlichkeit eingerichtet haben.

Bei uns wechseln leider sehr oft die Admins.

Virenschutz können bei uns nur Admins abdrehen, falls Sie das Passwort wissen.
Es gab auch da wieder Admins die schleißig waren und den Virenschutz
nicht 5 oder 10 min. deaktiviert haben bei einer Software Installertion sondern
deaktivieren bis Neustart oder deaktivieren bis reaktivierung.

Der Hauptgrund warum wir uns das ausgedacht haben war
das die PCs teilweise nie neugestartet wurden (fast 1-4 Wochen)

Ich weiß das kann man auch anders Lösen zB WSUS mit GPO.
Aber wir wollten halt mehrere Sachen realisieren und da fanden wir
ein Offline Script Konzept am besten.

Lg

Anleitung Entwicklung Batch, Shell

Mehr von K-ist-K

Defender - Gerätesicherheit - Kernisolierung (Speicher-Integrität) ausblendenK-ist-K

MS Power Automate (Desktop) Flow starten automatisiertK-ist-K - 10 Kommentare

Download File per PowerShell (AGBs akzeptieren)K-ist-K - 12 Kommentare

Outlook - Informiere wenn eine Email nicht kommtK-ist-K - 4 Kommentare

Heiß diskutiert