logon-script mit Rechteüberpüfung

[basstscho 10]

Hallo zusammen,

 

ich hab ein kleines Problem...

Wir haben hier viele Benutzer, mit unterschiedlichsten Rechten. Jeder hat daher auf nur bestimmte Freigaben zugriff. Soweit kein Problem.

Jetzt möchte ich aber ungern für jeden Benutzer ein eigenes LogonScript mit seinen entsprechenden Laufwerken erstellen, sondern am liebsten ein einiziges haben, in dem ich dann per net use die Laufwerke mappe.

Hier mal ein Ausschnitt:

net use h: \\calypso\allgemein
net use i: \\calypso\buchhaltung
net use j: \\calypso\admintools
net use k: \\tethys\betrieb
net use l: \\travos\htdocs
net use m: \\calypso\mh

Jetzt ist es allerdings so, dass beim Verbinden alle Netzlaufwerke verbunden werden. Erst beim Versuch das Laufwerk zu öffnen kommt dann der Fehler: Zugriff verweigert.

Das ist nat. **** und fürht bei den Benutzern zu Verwirrungen (ganz zu schweigen von der großen Anzahl an Laufwerken...).

 

Wie kann ich nun überprüfen lassen, ob ein Benutzer lese und oder schreib/rechte auf eine Freigabe hat? Erst dann soll er es verninden, andernfalls nicht.

 

Clienten sind XP und 2k - AD is Win2k3.

 

Ich danke euch,

Grüße Johannes

[morro 10]

Hallo,

 

ich könnte dir KIX empfehlen ist kostenlos und einfach.

 

Mappings kannste dann gruppenabhängig mappen lassen.

 

LG

[basstscho 10]

Hallo mouhcine,

 

leider sind viele Berechtigungen nur Benutzer bezogen. Evt. sollte ich dann überlegen alles auf Berechtigungen in Gruppen zu legen...

 

Grüße Johannes

[morro 10]

ja, wäre auch für die zukunft viel einfacher stichwort A-G-DL-P.

 

Kansnt dir ja mal den Link anschauen: Yusuf`s Directory - Blog - Gruppen

[pacobay 10]

Hallo Johannes.

 

kann meinen Vorrednern bzgl. A DGLP nur zustimmen. Ist auf jeden Fall besser.

 

Für die Übergangsphase habe ich Dir mal ein altes Logonbatch rausgesucht. Damit kannst Du in einem Script benutzerspezifische netuse umsetzen. Ist ein altes Script noch aus NT / 2K Zeiten. Läuft aber bei jemanden noch heute (2K) und ist in einfacher Umgebung auch klaglos. Aber hatte zuvor die dortige Struktur auch stark überarbeitet und vereinheitlicht. Deshalb gibt es auch keine Überprüfung wie z.B. ob Laufwerk schon zugeordnet wurde etc. In der dortigen Umgebung konnten sich solche Probleme per se nicht mehr ergeben.

Du solltest aber schauen ob dies auch so einfach bei Dir geht. Die CMD soll somit lediglich dazu dienen Dir das Prinzip verdeutlichen.

 

Das Grundprinzip in Kurzform

 

Eine CMD wird von oben nach unten abgearbeitet

 

GoTo ALL ‘ Sprungmarke durch GOTO

:ALL ’ Netwerkverbindungen die für alle gleich sind

net use /persistent:no ’ Die Verbindungen werden nach Abmeldung nicht erhalten

 

net use blablabla ’ Die jeweiligen Verbindungen

 

GOTO %USERNAME% ‘Sprungmarke userspezifisch (anmeldung)

 

:Username : Doppelpunkt vor Username bedeutet Einsprungsmarke

Goto End

 

:neuerUser

GotoEnd

 

:END

EXIT /B schließt cmd

 

Die CMD sende ich per PM. Will sie so grob überarbeitet & kaum anonymisiert nicht veröffentlichen.

 

Zukünftig kannst du dann via ifMember Gruppenzugehörigkeiten abfragen bzw beide Ansätze in einer cmd zusammenfassen

einfach kurz googeln nach: ifmember logon

Dann findest Du zum Beispiel

Logon-Script mit ifmember.exe - administrator

 

viel erfolg pacobay

[qmaestroq 10]

Hallo Zusammen,

 

dazu gibt es hier ein gutes Beispiel.

Ich empfehle dir auch, die User über Gruppen zu berechtigen.

 

Gruß

 

qmaestroq

[Mr.Crime 10]

Tipp: Ennumeration Tool

Jeder User Sieht nur Sachen wo er Rechte darauf hat.

 

LG Michi

[pacobay 10]

Enumeration-Tool ?!

Das Teil ist mir bisher glatt entgangen.

Werde ich mal direkt bei dem nächsten Server ausprobieren.

 

Foren bringen doch immer wieder neue Anregungen

@Mr.Crime Danke:D

 

 

 

Windows Server 2003 Access-based Enumeration

Der aktuelle Link:

 

Download details: Windows Server 2003 Access-based Enumeration

 

ciao

pacobay