Remote Benutzer in Registry eintragen

[michseel 10]

Hallo,

 

ich habe zu Hause eine Domäne namens "NETWORK". Ich habe ein logon.cmd-Script, welches automatisch ausgeführt wird wenn sich ein Client an der Domäne anmeldet. Hier ist unter Anderem eingetragen:

 

regedit /s \\192.168.1.1\netlogon\registry\Sys_EnableRemote.reg

 

Inhalt dieser Datei:

 

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
"fDenyTSConnections"=dword:00000000

 

Ich lasse also automatisch beim Login Remote Desktop aktivieren. Nun möchte ich noch zusätzlich den Benutzer "NETWORK\pdcadmin" für Remote Desktop eintragen, damit dieser Benutzer immer dazu berechtigt ist.

 

Kann mir jemand helfen, wo ich den zuständigen Registry Eintrag hierfür finde? Oder geht das überhaupt nicht?

 

Danke im Voraus.

michseel

[NorbertFe 2.041]

Hallo,

 

ich habe zu Hause eine Domäne namens "NETWORK". Ich habe ein logon.cmd-Script, welches automatisch ausgeführt wird wenn sich ein Client an der Domäne anmeldet. Hier ist unter Anderem eingetragen:

 

regedit /s \\192.168.1.1\netlogon\registry\Sys_EnableRemote.reg

 

Inhalt dieser Datei:

 

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
"fDenyTSConnections"=dword:00000000

 

Ich lasse also automatisch beim Login Remote Desktop aktivieren. Nun möchte ich noch zusätzlich den Benutzer "NETWORK\pdcadmin" für Remote Desktop eintragen, damit dieser Benutzer immer dazu berechtigt ist.

 

Kann mir jemand helfen, wo ich den zuständigen Registry Eintrag hierfür finde? Oder geht das überhaupt nicht?

 

Danke im Voraus.

michseel

 

Wenn das alles auf Domänencomputern passiert bedeutet das zweierlei:

1. Deine User haben zuviele Rechte wenn sie die RegDatei importieren können

2. Die elegante Lösung deines Problems heißt Gruppenrichtlinie.

Eingeschränkte Gruppen

 

Bye

Norbert

[michseel 10]

Hallo Norbert,

 

erstmal vielen Dank. Die Sicherheit ist mir in erster Linie nicht so wichtig, da ich das ja nur zu Hause zum Testen und "Spielen" mal benutze. Die Clients und der Domänen Controller hängen in einem seperaten Netz, dass keinen Internet Zugang etc hat, daher spielt Sicherheit für mich keine Rolle.

 

Direkt in die Registry des Clients kann ich also die Remote Desktop User nicht eintragen? Ich möchte nämlich dass jeder Client automatisch den User "NETWORK\pdcadmin" für Remote Desktop freischaltet, der User soll nichts hierfür am Client einstellen müssen.

[NorbertFe 2.041]

Hallo Norbert,

 

erstmal vielen Dank. Die Sicherheit ist mir in erster Linie nicht so wichtig, da ich das ja nur zu Hause zum Testen und "Spielen" mal benutze. Die Clients und der Domänen Controller hängen in einem seperaten Netz, dass keinen Internet Zugang etc hat, daher spielt Sicherheit für mich keine Rolle.

 

Direkt in die Registry des Clients kann ich also die Remote Desktop User nicht eintragen? Ich möchte nämlich dass jeder Client automatisch den User "NETWORK\pdcadmin" für Remote Desktop freischaltet, der User soll nichts hierfür am Client einstellen müssen.

 

Das hat mit der Registry nichts zu tun. Es gibt mehrere Möglichkeiten.

1. Lies dir den Link durch den ich gepostet hab

2. Deine Batchdatei packt den User Network\pcadmin in die lokale Gruppe der Remotedesktopbenutzer oder die Administratoren auf den PCs

3. Du gestattest dem User NEtwork\pcadmin mittels Anpassung der Sicherheitsrichtlinien logon per Remotedesktop.

 

Die schnellste und einfachste Version ist 1. Damit kannst du dir dann auch gleich deine Batch Datei komplett sparen und lieber per GPO diese Option konfigurieren. Dann hat dein Spiel- und Testtrieb auch gleich noch was hervorgebracht, nämlich dass GPOs die Arbeit deutlich vereinfachen. ;)

 

Bye

Norbert

[michseel 10]

Soweit ich das sehe, muss man die Lösungsmöglichkeit 1 mit den Gruppen aber auf dem Domain Controller Server einrichten, oder? Ich habe jedoch keinen Windows Server, sondern einen Samba Server als Domain Controller unter Debian Linux. Nur die Clients sind mit Windows XP aufgesetzt.

 

Ich muss es also über meine logon.cmd mit irgendwelchen Windows-CMD-Befehlen lösen. Weißt du die entsprechenden Befehle hierfür?

[NorbertFe 2.041]

Soweit ich das sehe, muss man die Lösungsmöglichkeit 1 mit den Gruppen aber auf dem Domain Controller Server einrichten, oder? Ich habe jedoch keinen Windows Server, sondern einen Samba Server als Domain Controller unter Debian Linux. Nur die Clients sind mit Windows XP aufgesetzt.

 

Ist scheinbar ja auch zuviel verlangt, dass man die nicht ganz unwichtige Info über seine grundlegende Umgebung einfach mal erwähnt. :suspect:

 

Ich muss es also über meine logon.cmd mit irgendwelchen Windows-CMD-Befehlen lösen. Weißt du die entsprechenden Befehle hierfür?

 

Net user sollte dir weiterhelfen.

 

Bye

Norbert

[michseel 10]

Sorry dass ich das nicht gleich erwähnt habe.

 

Leider komme ich da irgendwie nicht weiter, oder ich stelle mich zu **** an :D

 

Sofern ich die Hilfe (Aufgerufen mit Befehl "net user /help") richtig verstanden habe, kann ich damit Benutzer anlegen. Der Rechnername des Clients ist "CLIENT1", auf diesem ist Windows XP Pro SP3 installiert. Der Domänen Controller läuft mit Samba unter Debian Linux.

 

Was ich konkret machen möchte:

 

-Auf CLIENT1 soll der Benutzer NETWORK\pdcadmin in die Administrator Gruppe eingetragen werden

-Der Benutzer NETWORK\pdcadmin soll sich per Remote Desktop verbinden können

 

Diese beiden Dinge müssen noch in mein Script "logon.cmd" rein. Dieses Script wird immer ausgeführt, wenn ich mich z. b. mit "testuser" und der Domäne am CLIENT1 anmelde. Das Script sieht derzeit wie folgt aus:

 

if not exist "C:\Dokumente und Einstellungen\All Users\Desktop\Downloads.lnk" xcopy "\\192.168.1.1\netlogon\shortcuts\Downloads.lnk" "C:\Dokumente und Einstellungen\All Users\Desktop"
if not exist "C:\Dokumente und Einstellungen\All Users\Desktop\IrfanView.lnk" xcopy "\\192.168.1.1\netlogon\shortcuts\IrfanView.lnk" "C:\Dokumente und Einstellungen\All Users\Desktop"

regedit /s \\192.168.1.1\netlogon\registry\IE_Proxy.reg
regedit /s \\192.168.1.1\netlogon\registry\IE_StartPage.reg
regedit /s \\192.168.1.1\netlogon\registry\Sys_EnableRemote.reg

net use x: \\192.168.1.1\programs
net use y: \\192.168.1.1\e_hdd
net use z: \\192.168.1.1\public_ftp

 

Und meine 3 *.reg-Files:

 

IE_Proxy.reg:
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"AutoConfigURL"="http://proxycfg.network.muc/proxy"


============================================


IE_StartPage.reg:
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://intranet.network.muc/"


============================================


Sys_EnableRemote.reg:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
"fDenyTSConnections"=dword:00000000

 

Beim User Login wird also ausgeführt:

-Es werden 2 Verknüpfungen auf dem Desktop angelegt

-Es wird ein Proxy Config Script im IE eingetragen

-Es wird die Startseite des IE gesetzt

-Es wird Remote Desktop aktiviert

-Es werden 3 Samba Shares als Laufwerk verbunden

 

Und nun muss da noch mit rein dass NETWORK\pdcadmin in der Administratoren Gruppe von CLIENT1 eingetragen wird und auf diesem Rechner sich Remote anmelden darf.

 

Leider bin ich kein Windows Spezialist, die obigen Dinge hat mir ein Freund "gebastelt", aber für die Remote Desktop Verbindung weiß er auch keine Lösung.

 

Könntest du mir das bitte etwas genauer erklären, was ich noch in die logon.cmd eintragen muss?

[NorbertFe 2.041]

Sofern ich die Hilfe (Aufgerufen mit Befehl "net user /help") richtig verstanden habe, kann ich damit Benutzer anlegen.

 

Jupp war der falsche Befehl :)

Add a user to a group
NET GROUP groupname username [...] /ADD [/DOMAIN]

 

Diese beiden Dinge müssen noch in mein Script "logon.cmd" rein. Dieses Script wird immer ausgeführt, wenn ich mich z. b. mit "testuser" und der Domäne am CLIENT1 anmelde. Das Script sieht derzeit wie folgt aus:

 

Wozu soll das denn immer ausgeführt werden? Eher überflüssig oder? ;)

 

 

Leider bin ich kein Windows Spezialist, die obigen Dinge hat mir ein Freund "gebastelt", aber für die Remote Desktop Verbindung weiß er auch keine Lösung.

 

Entweder du steckst deinen user in die lokalen Admin oder in die Remote Desktopbenutzer.

 

Bye

Norbert

[michseel 10]

Der User soll sich per Remote Desktop einloggen können und Adminrechte haben. Reicht es also, den User in die Admin Gruppe einzutragen? Haben alle User in der Administrator Gruppe automatisch die Erlaubnis sich per Remote Desktop einzuloggen?

–

Ich habe das nun mal probiert, funktioniert aber leider nicht:

 

net group Administratoren pdcadmin /ADD /DOMAIN

 

Die Anforderung wird auf einem Domänencontroller für Domäne NETWORK verarbeitet.

 

Systemfehler 1326 aufgetreten.

 

Anmeldung fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort.

 

Der Benutzer hat natürlich ein Kennwort. An welcher Stelle muss ich dieses angeben? Entschuldige bitte dass ich mich so ungeschickt anstelle... Ich habe übrigens versucht den Befehl als lokaler Administrator auszuführen. Oder muss ich mich mit einem User an der Domäne hierfür anmelden?

[Sunny61 806]

Der User soll sich per Remote Desktop einloggen können und Adminrechte haben.

 

Wo soll der User sich per Remote Desktop einloggen können? Und wo soll er Adminrechte haben?

 

Reicht es also, den User in die Admin Gruppe einzutragen? Haben alle User in der Administrator Gruppe automatisch die Erlaubnis sich per Remote Desktop einzuloggen?

 

Auf einem Server hat der Admin bereits das Recht, sich per Remote Desktop anzumelden, dort muß man nur noch Remote Desktop aktivieren.

[NorbertFe 2.041]

Der User soll sich per Remote Desktop einloggen können und Adminrechte haben. Reicht es also, den User in die Admin Gruppe einzutragen? Haben alle User in der Administrator Gruppe automatisch die Erlaubnis sich per Remote Desktop einzuloggen?

 

Admins haben das per DEfault wenns nicht geändert wurde.

 

Ich habe das nun mal probiert, funktioniert aber leider nicht:

 

Liegt aber eher daran, dass du das Problem noch nicht erkannt hast. Du sollst das nicht auf dem DC ausführen, sondern den Domänenbenutzer in die lokale Gruppe der Remotedesktopbenutzer bzw. Administratoren hinzufügen. Schau dir das mal genauer an, wie net group funktioniert.

 

Der Benutzer hat natürlich ein Kennwort. An welcher Stelle muss ich dieses angeben?

 

Gar nicht.

 

versucht den Befehl als lokaler Administrator auszuführen. Oder muss ich mich mit einem User an der Domäne hierfür anmelden?

 

Als lokaler und Domänenadmin?

 

By

Norbert

[michseel 10]

Der User NETWORK\pdcadmin soll auf dem Rechner CLIENT1 Adminrechte haben und sich per Remotedesktop einloggen können. Bisher habe ich das wie Folgt manuell gemacht:

 

Mich auf Client (WIN XP Pro) angemeldet mit Benutzer Administrator, meinem Passwort und bei "Anmelden an:" habe ich "CLIENT1 (dieser Computer)" ausgewählt. Anschließend:

 

Rechtsklick auf Arbeitsplatz -> Verwalten -> Lokale Benutzer und Gruppen -> Gruppen -> Doppelklick auf Administratoren

 

Button "Hinzufügen":

-Objekttyp: Benutzer oder Gruppen

-Suchpfad: NETWORK

Geben Sie die zu verwendenden Objektnamen ein: Hier habe ich "pdcadmin" angegeben und anschließend auf den Button "Namen überprüfen" geklickt. Dann werde ich aufgefordert einen Benutzernamen und ein Passwort einzugeben. Hier habe ich als Benutzer "pdcadmin" eingegeben mit entsprechendem Passwortda dieser der domain administrator ist.

 

Anschließend steht Im Feld "Geben Sie die zu verwenden Objektnamen ein" nicht einfach "pdcadmin" sondern "NETWORK\pdcadmin" und dieser Wert ist unterstrichen. Nun die Fenster mit OK / Übernehmen schließen.

 

Und diesen Prozess will ich nun automatisieren und mit CMD-Befehlen in meine logon.cmd eintragen.

[NorbertFe 2.041]

Der User NETWORK\pdcadmin soll auf dem Rechner CLIENT1 Adminrechte haben und sich per Remotedesktop einloggen können. Bisher habe ich das wie Folgt manuell gemacht:

 

Mich auf Client (WIN XP Pro) angemeldet mit Benutzer Administrator, meinem Passwort und bei "Anmelden an:" habe ich "CLIENT1 (dieser Computer)" ausgewählt. Anschließend:

 

Wozu hast du eine Domäne, wenn du dich als lokaler Admin anmeldest? ;)

 

Und diesen Prozess will ich nun automatisieren und mit CMD-Befehlen in meine logon.cmd eintragen.

 

WEnn du die Batch als Domadmin ausführst brauchst du keine credentials übergeben, da die domadmins standardmässig auch lokale Admins sind. Dann mußt du nur noch die richtigen parameter übergeben und kannst auch einfach andere User in die lokale admingruppe aufnehmen.

 

Bye

Norbert

[michseel 10]

Ich habe nun mal eine Remote Desktop Verbindung zu CLIENT1 aufgebaut, noch nichts mit "net group" gemacht was fehlerfrei ausgeführt wurde und versucht mich anzumelden:

 

-Benutzer Administrator, anmelden an CLIENT1 / dieser Computer => funktioniert

-Benutzer "pdcadmin", anmelden an "NETWORK" => Fehlermeldung "Die lokale Richtline erlaubt es Ihnen nicht, sich interaktiv anzumelden."

 

Was muss ich tun, damit sich auch "pdcadmin" anmelden kann?

[NorbertFe 2.041]

Ich habe nun mal eine Remote Desktop Verbindung zu CLIENT1 aufgebaut, noch nichts mit "net group" gemacht was fehlerfrei ausgeführt wurde und versucht mich anzumelden:

 

-Benutzer Administrator, anmelden an CLIENT1 / dieser Computer => funktioniert

 

Na so ein Wunder. Der Admin kann sich anmelden. Hab ich das jetzt nicht schon mehrfach erwähnt?

 

-Benutzer "pdcadmin", anmelden an "NETWORK" => Fehlermeldung "Die lokale Richtline erlaubt es Ihnen nicht, sich interaktiv anzumelden."

 

Logisch. pcadmin ist normaler Nutzer und die dürfen das nicht.

 

Was muss ich tun, damit sich auch "pdcadmin" anmelden kann?

 

Schreib ich irgendwie in einer Sprache die du nich verstehst? :confused: Du mußt den Nutzer Network\pcadmin in die Administratoren-Gruppe von Client aufnehmen. Oder in die der Remotedesktopbenutzer. Das geht auch mittels Batch Datei. Wobei das ziemlich überflüssig ist, da man das ja nur einmal pro PC erledigen muß.

 

Bye

Norbert