michseel 10 Geschrieben 3. November 2008 Autor Melden Teilen Geschrieben 3. November 2008 So habe ich das auch verstanden. Und genau das ist mein Problem, dass ich nicht den genauen Befehl weiß wie ich das per Batchdatei mach. Folgender Fall: Der Laptop wird neu installiert mit Windows XP, nach der Installation bin ich erstmal als lokaler Administrator angemeldet um den Client in die Domäne einzutragen, das sollte ja soweit klar sein :) Es erscheint die Meldung "Willkommen in der Domäne NETWORK" oder so ähnlich und ich werde aufgefordert neuzustarten. Nach dem Neustart melde ich mich mit "testuser" an "NETWORK" an, der User ist noch kein Admin und nichts, ist ja das erste Login. Und nun soll beim ersten Login auch der Benutzer "NETWORK\pdcadmin" in die Administratoren Gruppe eingetragen werden. Sinn davon ist folgender: Ich mache eine Ausbildung zum Fachinformatiker Fachrichtung Systemintegration und möchte mich einfach mit Domänen auseinandersetzen. Stellen wir uns das Szenario vor, es wär eine riesige Firma mit mehreren Standorden. Der IT-Support sitzt in Frankfurt. In München sitzt ein Kollege, der Probleme mit dem PC hat und ruft in Frankfurt an. Nun muss sich der Support über den User pdcadmin evtl Remote einloggen können, um das Problem des Users zu beseitigen, was das Problem auch immer ist. Da der Kollege in München aber noch weniger Ahnung von Domänen- und Netzwerkkram hat, soll das eben automatisch geschehen, dass der IT-Support nicht erst erklären muss wie er den User NETWORK\pdcadmin in die Administrator Gruppe einträgt (Abgesehen davon, dass er das gar nicht könnte, weil er nicht die Berechtigung dazu hat) Oder ein anderes Beispiel: pdcadmin soll die Rechner überwachen können. Falls das der Mitarbeiter nicht will, könnte er dann einfach sagen "Nö, ich trag den pdcadmin nicht in die Administratoren Gruppe ein.". Deshalb soll dies unbemerkt und automatisch im Hintergrund geschehen. Zitieren Link zu diesem Kommentar
NorbertFe 2.041 Geschrieben 3. November 2008 Melden Teilen Geschrieben 3. November 2008 Es erscheint die Meldung "Willkommen in der Domäne NETWORK" oder so ähnlich und ich werde aufgefordert neuzustarten. Nach dem Neustart melde ich mich mit "testuser" an "NETWORK" an, der User ist noch kein Admin und nichts, ist ja das erste Login. Und nun soll beim ersten Login auch der Benutzer "NETWORK\pdcadmin" in die Administratoren Gruppe eingetragen werden. Das kann nicht funktionieren. Der Nutzer der das Skript ausführt kann nicht irgendwen in irgendwelche (schon gar nicht in die Admingruppe) Gruppen aufnehmen. Wäre ja noch schöner. Also melde dich nach dem Neustart am besten einmalig als Domänenadmin an und schau obs dann funktioniert. Ich mache eine Ausbildung zum Fachinformatiker Fachrichtung Systemintegration und möchte mich einfach mit Domänen auseinandersetzen. Genau. Dazu nimmt man dann am besten ne Simulation wie Samba. :shock: Stellen wir uns das Szenario vor, es wär eine riesige Firma mit mehreren Standorden. Der IT-Support sitzt in Frankfurt. In München sitzt ein Kollege, der Probleme mit dem PC hat und ruft in Frankfurt an. Nun muss sich der Support über den User pdcadmin evtl Remote einloggen können, um das Problem des Users zu beseitigen, was das Problem auch immer ist. Da der Kollege in München aber noch weniger Ahnung von Domänen- und Netzwerkkram hat, soll das eben automatisch geschehen, dass der IT-Support nicht erst erklären muss wie er den User NETWORK\pdcadmin in die Administrator Gruppe einträgt (Abgesehen davon, dass er das gar nicht könnte, weil er nicht die Berechtigung dazu hat) Ich überlege, ob ich dazu was sagen soll. Ja: In einer riesigen Firma würde man all das mit GPOs erschlagen die man in einem Active Directory hätte. Oder ein anderes Beispiel: pdcadmin soll die Rechner überwachen können. Falls das der Mitarbeiter nicht will, könnte er dann einfach sagen "Nö, ich trag den pdcadmin nicht in die Administratoren Gruppe ein.". Deshalb soll dies unbemerkt und automatisch im Hintergrund geschehen. ... :rolleyes: Bye Norbert Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 3. November 2008 Melden Teilen Geschrieben 3. November 2008 Der IT-Support sitzt in Frankfurt. In München sitzt ein Kollege, der Probleme mit dem PC hat und ruft in Frankfurt an. Nun muss sich der Support über den User pdcadmin evtl Remote einloggen können, um das Problem des Users zu beseitigen, was das Problem auch immer ist. Da der Kollege in München aber noch weniger Ahnung von Domänen- und Netzwerkkram hat, soll das eben automatisch geschehen, dass der IT-Support nicht erst erklären muss wie er den User NETWORK\pdcadmin in die Administrator Gruppe einträgt (Abgesehen davon, dass er das gar nicht könnte, weil er nicht die Berechtigung dazu hat) Wenn der Admin in Frankfurt alles richtig gemacht hat, dann klappts ohne Probleme: Remoteunterstützung - Remoteassistence anbieten und konfigurieren pdcadmin soll die Rechner überwachen können. Falls das der Mitarbeiter nicht will, könnte er dann einfach sagen "Nö, ich trag den pdcadmin nicht in die Administratoren Gruppe ein.". Deshalb soll dies unbemerkt und automatisch im Hintergrund geschehen. Auweia, hast Du schon mal was von Betriebsräten und Datenschutzbeauftragten gehört? Ich glaub nicht, mit solchen Aktionen bist Du schneller wieder auf der Strasse, als Du dich verabschieden kannst. Remoteunterstützung muß der User absegnen, bzw. sein OK zur Verbindung geben. Das ist AFAIK Betriebsratskonform. Alles andere ist ein Grund für arbeitsrechtliche Massnahmen. ;) Zitieren Link zu diesem Kommentar
michseel 10 Geschrieben 3. November 2008 Autor Melden Teilen Geschrieben 3. November 2008 Naja, sei froh dass du den Betrieb nicht kennst in dem ich die Ausbildung gemacht habe *g* Da ist die IT noch viel Chaotischer. Die haben zwar Windows Server 2003 DCs aber da laufen die ganzen Share Verbindungen und Verknüpfungen anlegen usw auch über ne Batch Datei, genauso wie das mit den Ausführen der *.reg-Dateien. Daher hab ich auch die Idee per Batch Script und mit Registry Export Files den Proxy und Startseite usw einzutragen :) Aber dennoch danke für deine Hilfe. Nun haben wir also die Antwort => komplett automatisiert ist das nicht möglich, was mir nun auch logisch erscheint :) Zitieren Link zu diesem Kommentar
NorbertFe 2.041 Geschrieben 3. November 2008 Melden Teilen Geschrieben 3. November 2008 Aber dennoch danke für deine Hilfe. Nun haben wir also die Antwort => komplett automatisiert ist das nicht möglich, was mir nun auch logisch erscheint :) Du verstehst aber einiges falsch. So eine Aussage hat im gesamten Thread niemand getroffen. Wie kommst du jetzt dazu? Bye Norbert – Naja, sei froh dass du den Betrieb nicht kennst in dem ich die Ausbildung gemacht habe *g* Wieso gemacht hast? Ich denke du bist grad dabei? Da ist die IT noch viel Chaotischer. Die haben zwar Windows Server 2003 DCs aber da laufen die ganzen Share Verbindungen und Verknüpfungen anlegen usw auch über ne Batch Datei, genauso wie das mit den Ausführen der *.reg-Dateien. Daher hab ich auch die Idee per Batch Script und mit Registry Export Files den Proxy und Startseite usw einzutragen :) Erinnert mich so ein bisschen an die Ausrede nach der Klassenarbeit: Die anderen hatten aber auch alle eine 4-. Willst wissen was mein Vater dazu immer gesagt hat (obwohl ich keine 4- in Klassenarbeiten hatte)? Bye Norbert Zitieren Link zu diesem Kommentar
michseel 10 Geschrieben 3. November 2008 Autor Melden Teilen Geschrieben 3. November 2008 @Sunny61: In der Firma war das so. Ist ab und an mal passiert dass man am Arbeitsrechner plötzlich abgemeldet wurde und etwas später hat der IT-Support angerufen "Ich habe das ICQ auf deinem REchner deinstalliert, das hat dadrauf nichts zu suchen" oder ähnliches. Ist sowas also nicht erlaubt dass die das einfach machen? Zitieren Link zu diesem Kommentar
NorbertFe 2.041 Geschrieben 3. November 2008 Melden Teilen Geschrieben 3. November 2008 @Sunny61: In der Firma war das so. Ist ab und an mal passiert dass man am Arbeitsrechner plötzlich abgemeldet wurde und etwas später hat der IT-Support angerufen "Ich habe das ICQ auf deinem REchner deinstalliert, das hat dadrauf nichts zu suchen" oder ähnliches. Ist sowas also nicht erlaubt dass die das einfach machen? Hier dürfen keine Rechtsberatungen erfolgen. Aber du solltest dich im Rahmen deiner Ausbildung vielleicht auch mit dem Thema mal beschäftigen. Prinzipiell ist es schonmal merkwürdig, dass ICQ auf einem Rechner eines Firmennetzwerkes auftaucht. ;) Die Reaktion darauf erfolgt dann allerdings genauso falsch. Bye Norbert Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 3. November 2008 Melden Teilen Geschrieben 3. November 2008 Naja, sei froh dass du den Betrieb nicht kennst in dem ich die Ausbildung gemacht habe *g* Da ist die IT noch viel Chaotischer. Chaotischer ist aber nicht gleich zu setzen mit richtiger. Die haben zwar Windows Server 2003 DCs aber da laufen die ganzen Share Verbindungen und Verknüpfungen anlegen usw auch über ne Batch Datei, Ist ja kein Problem, das hat sich erst mit VISTA/W2K8 sehr zum positiven geändert. Batchdateien haben Vorteil, sie können von fast jedem gelesen und interpretiert werden. genauso wie das mit den Ausführen der *.reg-Dateien. Daher hab ich auch die Idee per Batch Script und mit Registry Export Files den Proxy und Startseite usw einzutragen :) Dafür gibts GPOs, schau dich einfach mal auf gruppenrichtlinien.de ein bisschen um, das hat noch niemandem geschadet. Aber dennoch danke für deine Hilfe. Nun haben wir also die Antwort => komplett automatisiert ist das nicht möglich, was mir nun auch logisch erscheint :) Lies dir den von mir geposteten Link mal genau durch, dann wirst Du das bestimmt besser verstehen. Zitieren Link zu diesem Kommentar
michseel 10 Geschrieben 3. November 2008 Autor Melden Teilen Geschrieben 3. November 2008 Ich habe das Tallent zu Antworten und in dieser Zeit schreibt wieder ein anderer was :D @NorbertFe Das kann nicht funktionieren. Der Nutzer der das Skript ausführt kann nicht irgendwen in irgendwelche (schon gar nicht in die Admingruppe) Gruppen aufnehmen. Wäre ja noch schöner. Also melde dich nach dem Neustart am besten einmalig als Domänenadmin an und schau obs dann funktioniert. Daher bin ich dadrauf gekommen. Wenn der User seinen Laptop selbst neuaufsetzt, und der IT-Support davon nichts weiß, dann gibt es ja keine einmalige Anmeldung als Domänenadmin. Lediglich dadrauf war bezogen dass es vollautomatisch nicht geht, da "testuser" ja nicht den Domänenadmin per Batchscript in die Administratoren Gruppe eintragen darf. Sorry, falsch geschrieben. Ja, ich bin noch in der Ausbildung. Das soll keine Ausrede sein, sondern ich fand das einfach faszinierend. Ich habe den Proxy ausm Browser geschmissen, die Startseite geändert, unbenötigte Verknüpfungen gelöscht etc und beim nächsten Anmelden war alles wieder da. Das hat mich irgendwie fasziniert, dass soetwas möglich ist. Also habe ich mich beim IT-Support informiert und diese haben mir die "Technik" die dahinter steckt erklärt und mir das auch wortwörtlich gesagt dass mit einem ".cmd" Script Registry Export Files ausgeführt werden usw. Da ich aber keine Lizenz für Windows Server 2003 oder 2008 habe, musste ich auf Linux zurückgreifen, da mich das eben interessiert hat und ich das auch mal testen wollte. Und weil ich bisher zu 90% immer mit Linux gearbeitet habe und mich mit Windows kaum auskenne, hab ich meine cmd-File von einem Freund erstellen lassen :) Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 3. November 2008 Melden Teilen Geschrieben 3. November 2008 @Sunny61: In der Firma war das so. Ist ab und an mal passiert dass man am Arbeitsrechner plötzlich abgemeldet wurde und etwas später hat der IT-Support angerufen "Ich habe das ICQ auf deinem REchner deinstalliert, das hat dadrauf nichts zu suchen" oder ähnliches. Ist sowas also nicht erlaubt dass die das einfach machen? In Sachen Rechtsberatung hast Du von Norbert ja schon Antwort bekommen. Wenn ein IT-Support für die Deinstallation eines Programmes, den RemoteDesktop braucht, hat er IMHO eh schon was grundsätzliches flasch gemacht. Denn ohne Adminrechte, keine Installation von ICQ oder ähnlichem, ganz einfach. Zitieren Link zu diesem Kommentar
NorbertFe 2.041 Geschrieben 3. November 2008 Melden Teilen Geschrieben 3. November 2008 Daher bin ich dadrauf gekommen. Wenn der User seinen Laptop selbst neuaufsetzt, und der IT-Support davon nichts weiß, dann gibt es ja keine einmalige Anmeldung als Domänenadmin. Richtig. Lediglich dadrauf war bezogen dass es vollautomatisch nicht geht, da "testuser" ja nicht den Domänenadmin per Batchscript in die Administratoren Gruppe eintragen darf. Selbst dann kann man sowas schaffen. Nur nicht mit deiner Humpellösug. In einem AD ist das überhaupt kein Problem. Sorry, falsch geschrieben. Ja, ich bin noch in der Ausbildung. Das soll keine Ausrede sein, sondern ich fand das einfach faszinierend. Klingt aber so. Ich habe den Proxy ausm Browser geschmissen, die Startseite geändert, unbenötigte Verknüpfungen gelöscht etc und beim nächsten Anmelden war alles wieder da. Das hat mich irgendwie fasziniert, dass soetwas möglich ist. Also habe ich mich beim IT-Support informiert und diese haben mir die "Technik" die dahinter steckt erklärt und mir das auch wortwörtlich gesagt dass mit einem ".cmd" Script Registry Export Files ausgeführt werden usw. Warum soll denn sowas nicht funktionieren? Ist zwar so ziemlich die ....... Lösung um solche Sache zu konfigurieren, aber naja. Wissensstand NT4 würd ich sagen. ;) Da ich aber keine Lizenz für Windows Server 2003 oder 2008 habe, musste ich auf Linux zurückgreifen, da mich das eben interessiert hat und ich das auch mal testen wollte. Stell dir vor, es gibt sogar von MS Trial Versionen. Windows Server 2008 Trial Software Und weil ich bisher zu 90% immer mit Linux gearbeitet habe und mich mit Windows kaum auskenne, hab ich meine cmd-File von einem Freund erstellen lassen :) Naja dagegen ist ja prinzipiell nichts auszusetzen, nur ist es der falsche Weg. Denn das was du dabei lernst ist die ....sinnigste Lösung um solche Probleme zu "umschiffen" (ums mal freundlich auszudrücken). Bye Norbert – Wenn ein IT-Support für die Deinstallation eines Programmes, den RemoteDesktop braucht, hat er IMHO eh schon was grundsätzliches flasch gemacht. Denn ohne Adminrechte, keine Installation von ICQ oder ähnlichem, ganz einfach. ICQ ist inzwischen auch so eine Software die mehr oder weniger ohne Installation aufrufbar ist. :( Da hilft dann nur Firewall oder SRP ;) Bye Norbert Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 3. November 2008 Melden Teilen Geschrieben 3. November 2008 ICQ ist inzwischen auch so eine Software die mehr oder weniger ohne Installation aufrufbar ist. :( Da hilft dann nur Firewall oder SRP ;) Bloß gut das ich eine ordentlich FW hier stehen habe. :D Zitieren Link zu diesem Kommentar
michseel 10 Geschrieben 3. November 2008 Autor Melden Teilen Geschrieben 3. November 2008 Warum soll denn sowas nicht funktionieren? Ist zwar so ziemlich die ....... Lösung um solche Sache zu konfigurieren, aber naja. Wissensstand NT4 würd ich sagen. Wie kann man das besser lösen? Nur wenn man ein AD und nen Windows DC hat? Oder gibt es auch bei einen Samba DC eine bessere Möglichkeit um den Proxy einzutragen und Netzlaufwerke zu verbinden usw? Zitieren Link zu diesem Kommentar
NorbertFe 2.041 Geschrieben 3. November 2008 Melden Teilen Geschrieben 3. November 2008 Wie kann man das besser lösen? Nur wenn man ein AD und nen Windows DC hat? Oder gibt es auch bei einen Samba DC eine bessere Möglichkeit um den Proxy einzutragen und Netzlaufwerke zu verbinden usw? Bei NT4 bzw. Samba bietet sich poledit an. Aber das ist auch beschränkt in seinen Möglichkeiten. Aber auf jeden Fall noch besser als nen regimport. ;) Netzlaufwerke verbindet man am besten als Nutzer (durchaus auch batch), dagegen ist nix einzuwenden. Bye Norbert Zitieren Link zu diesem Kommentar
michseel 10 Geschrieben 3. November 2008 Autor Melden Teilen Geschrieben 3. November 2008 Also bietet ein Windows Server 200X mit AD die schönste Möglichkeit und Administrationsfreiheit? Findet man hierzu gute, vllt sogar deutschsprachige Docs / Howtos im Netz? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.