Server Anmeldescript

[Sigi 10]

Ich habe ein Windows Script auf dem Server in das entsprechende Logon-Verzeichnis kopiert.

Beim Anmelden auf den Arbeitsstation wird dort aber ausser dem Ausführen des Scriptes auch das Logon-Verzeichnis geöffnet und jeder kann den Quelltext lesen. Dies möchte ich aber nicht.

Früher hatte ich das Verzeichnis einmal gesperrt, dann kam nur eine Fehlermeldung aber das Script lief, das bekomme ich jetzt aber auch nicht mehr hin. Entweder das Verzeichnis lässt sich öffnen oder das Script startet nicht.

Wie wird ein Anmeldescript gestartet, ohne dass das Verzeichnis geöffnet wird?

[grizzly999 11]

Beim Anmelden auf den Arbeitsstation wird dort aber ausser dem Ausführen des Scriptes auch das Logon-Verzeichnis geöffnet und jeder kann den Quelltext lesen

Wie meinst du das mit dem "Logon-verzeichnis wird geöffnet"?

 

Auf jeden Fall ist es so, dass der/die Benutzer auf das Verzeichnis mit den Anmeldescripts Leseberechtigung brauchen und für das spezifische Script Lesen/Ausführen. Sonst läuft es nicht. Damit kann ein Benutzer, wenn der auf die Netlogon-Freigabe geht auch das Script lesen und anschauen. Lässt sich nicht verhindern. Was steht denn da geheimes drin, was der Benutzer nicht lesen darf

 

grizzly999

 

P.S:

Früher hatte ich das Verzeichnis einmal gesperrt, dann kam nur eine Fehlermeldung aber das Script lief, das bekomme ich jetzt aber auch nicht mehr hin.

Die beschriebene Berechtigungssache ist seit NT 4.0 so, darum habe ich meine Zweifel mit diesem Statement.

[thorgood 10]

Vielleicht über ein GPO Script, das erschwert die Suche für die Anwender schon mal.

[Sigi 10]

Also das Netzwerk ist an einer Berufsschule mit ca 700 Accounts

Damit ich später die Passwörter kenne, soll das Script beim Erstzugang das geänderte Erstpasswort entgegen nehmen und auf dem Server im Klartext ablegen. Dort frage ich diese Dateien ab und setze die neuen Passwörter mit Net User. Ich möchte nicht, dass jemand das mitbekommt und dann auch noch die Pfade kennt.

 

Mit Öffnen des Verzeichnisses meine ich, dass auf den Arbeitsstationen zusätzlich ein Explorer- oder Arbeitsplatzfenster für dieses Logon-Script-Verzeichnis geöffnt wird und dort das Script angezeigt und zum Bearbeiten oder Lesen geöffnet werden kann.

 

Es ist mir damals gelungen das Öffnen dieses Verzeichnisses

zu verhindern, obwohl das Script ausgeführt wurde.

Einem anderen Administrator hat aber die Fehlermeldung nicht gepasst, die ich meinerseits aber in Kauf nehmen wollte, und hat das Verzeichnis wieder freigegeben.

Seither habe ich das nicht mehr wieder hingekriegt.

 

Danke für die Hilfe

[Sigi 10]

Was ist ein GPO-Script?

Ich habe ein VBScript für den Windows Script Host.

Compilierung wäre allerdings auch eine Lösung, das kann ich allerdings nicht.

Dann wäre mir das Öffnen des Verzeichnisses egal, obwohl es für die Benutzer natürlich genauso lästig wie eine Fehlermeldung ist.

 

Gruss

Sigi

[grizzly999 11]

Damit ich später die Passwörter kenne, soll das Script beim Erstzugang das geänderte Erstpasswort entgegen nehmen und auf dem Server im Klartext ablegen. Dort frage ich diese Dateien ab und setze die neuen Passwörter mit Net User

Wenn du das Kennwort der User wissen willst, dann gib es doch einfach vor, und stelle es so ein, dass der Benutzer es nicht ändern kann.

Alles andere ist IMHO "unsicheres" Gepfriemel, das in scheinbarer Sicherheit wiegt.

 

Dass das Anmeldescript nicht sichtbar abläuft kann man per Gruppenrichtlinie einstellen Benutzereinstellungen/Administrative Vorlagen/System/Skripts.

 

grizzly999

[thorgood 10]

Wozu muss man als Admin überhaupt die Kennwörter seiner Anwender wissen, denn was die können kann der Admin schon lange. Und ändern kann ich es jederzeit ohne Kenntnis des Passworts.

 

Was willst du denn machen, vielleicht ist der Weg das Ziel !!!

[grizzly999 11]

Du sprichst mir aus dem Munde ;)

Ich denke, er möchte, dass nur er und der Benutzer das kennwort kennen. Aber da ich ihm ja sowieso ein Startkennwort mitgeben muss (hoffentlich nicht ein leeres), dann kenne ich das schon, und der Benutzer auch. Und wenn er das jetzt nicht ändern kann, habe ich doch genau das Ziel erreicht. Und sollte ich es ändern müssen, wie du es gesagt hast, dann kenne ich es wieder, und nachdem ich es dem Benutzer gesagt, dieser auch.

Warten wir, was Sigi dazu schreibt...

 

grizzly999

[Sigi 10]

Jeder Schüler muss einen Vertrag unterschreiben und bekommt ein Erstpasswort, das eigentlich nicht geheim ist, weil die Verträge offen lesbar sind und in vielen Händen waren.

Eine verschlossene Übergabe von Passwörtern ist mir auch zu umständlich. Vertag mit Passwort ausdrucken, and die Lehrer ausgeben, vertelen und wieder einsammeln lassen ist einfacher.

Dann soll der Schüler dieses Passwort beim Erstzugang ändern.

Hierfür ist ein Script einfacher, als jedem zu erklären, wie er das im System macht. Die neuen Kennwörter müsste ich eigentlich nicht kennen, ist aber einfacher, sie schnell nachzulesen als neue zu erstellen, wenn welche ihr Kennwort nur vergessen haben.

Das Problem ist, dass Schüler alles mögliche verstellen wollen zum Spass.

Ich will sie dabei erwischen und Ausreden verhindern wie, das war ich gar nicht, jemand anderes kennt mein Passwort.

Deshalb sollen sie ihr Passwort selber verwalten und die Verantwortung hierfür übernehmen.

Dann trauen sich viel weniger Schüler Unsinn zu machen.

 

Sicherheitsbedenken habe ich eigentlich keine, weil nichts schützenswertes auf diesen Netz abgelegt wird.

[Sigi 10]

Das Anmeldescript unsichtbar ablaufen lasssen, das ist wahrscheinlich genau das, was ich suchte.

Ich kann es aber erst wieder nach den Smmerferien ausprobieren.

 

Ich kenne mich nicht so sehr gut in Serveradministration aus und bedanke mich für die kompetente und propmte Hilfe.

 

Vielen Dank

Sigi

[grizzly999 11]

Zum Teil verstehe ich dein Anliegen, z.T. nicht. So z.B. das hier:

Hierfür ist ein Script einfacher, als jedem zu erklären, wie er das im System macht

Wenn ich ein Startkennwort setze und das Häkchen "Benutzer muss bei der nächsten Anmeldung Kennwrot ändern" setze, muss ich niemanden, der nicht Analphabet ist, irgednwas erklären. Der Dialog beim Anmelden ist, denke ich, selbstredend (trotz Pisa-Studie sollte es jedem nicht PC-Freak möglich sein, sein neues Kennwort zweimal fehlerfrei einzugeben :D )

Der andere Punkt ist natürlich deine "Bequemlichkeit". Wenn einer sein Kennwort vergessen hat - sollte selbst bei 700 Schülern nicht täglich vorkommen, setze ich schnell das Kennwort zurück, mit oben besagtem Häkchen, das wars. Ich bin sogar der Meinung, das das schenller ist, als einer Liste zu rumzublättern.

 

Dann hast du noch den Punkt "Verantwortung" der Schüler, bzw. verantwortungsvoller Umgang mit Kennwörtern angesprochen. Ich persönlich denke, wenn die Schüler wissen, dass nur SIE und niemand anders das Kennwort kennt, nicht einmal der Admin, dann könnte das viel mehr Gewicht haben.

 

Das Ganze stellt meine bescheidene Meinung als Senior Consultant dar, erhebt nicht den Anspruch der designerischen oder technischen Richtigkeit ;)

 

grizzly999

[Sigi 10]

Ich erstelle mir die Kennwörter und Accountnamen für eine Batchdatei zum Accounterstellen automatisch jedes Schuljahr für ca mindestens 200 neue Schüler mit einem Excelscript aus der Schülerliste der Schuldatenbank.

Die Erstkennwörter sind 6-stellige Zahlen.

Die Vergesslichkeitsrate wäre daher so hoch, dass die Arbeit für mich wieder sehr gross würde.

Genau das will ich verhindern.

Leichter merkbare Erstpasswörter kann ich nicht automatisch erstellen. Geheimhalten kann ich sie auch schlecht.

Deshab bevorzuge ich meine Lösung.

 

Gruss

Sigi

[Sigi 10]

Wenn ich die Passwortliste habe, kann ich vergessene Passwörter per Email, per Telefon oder durch Beantworten der Frage des Schüler oder Lehrers wieder benutzbar machen und muss nicht physikalisch am Server etwas machen.

Die meiste Zeit bin ich ja selber im Unterricht woanders oder zuhause.

Die Liste habe ich auf meinem Laptop immer dabei.

 

Gruss Sigi

[thorgood 10]

Man kann alles automatisch erstellen siehe

 

http://www.mcseboard.de/showthread.php?s=&threadid=11341

[Sigi 10]

Lieber Thorgood,

 

natürlich erstelle ich alles automatsch.

Ich mache es mit Excel und einem Makro.

Damit erzeuge ich eine Batchdatei, die ich auf dem Server nur laufenlassen muss.

Automatisch erzeuge ich aus Klassenname, Vorname und Nachname einen einmaligen umlautfreien Accountnamen, ein Ablaufdatum und ein Passwort aus Zahlen. Dann erzeugt mir das Makro eine Batchdatei, die die Accounts, Profilpfade und Homeverzeichnisse anlegt und zuweist, usw.

Ist so ähnlich wie in deinem Link.

 

Ich meinte aber das automatische Erstellen von für den Benutzer leicht merkbaren Passwörtern.

Das wird wohl nicht automatisch gehen, schliesslich kenn ich die Namen der Grossmütter, Freundinnen, EC-Nummern, ... der Benutzer ja nicht.

 

hehehe

 

Sigi