Mag 11 Geschrieben 9. November 2010 Melden Teilen Geschrieben 9. November 2010 Hallo Leute, ich bin mir nicht sicher, wie man mit folgendem Problem umgehen sollte. Es geht natürlich um Skripte via bat (während dem Userlogon an einer Domäne 2008 R2) auf Windows 7 Clients, die bald ausgerollt werden sollen. Lösung 1: UAC Abschalten. Das wollen wir eigentlich nicht, UAC bringt ja denke ich ein wenig mehr Sicherheit mit sich. Lösung 2: Netzlaufwerke per GPO verteilen Wir waren sehr zufrieden mit unserem Modell, ein zentrales Batch File startet bei jeder Useranmeldung und springt bei veschiedenen Gruppenzugehörigkeiten in Sub-Skripts die dezentral gepflegt werden. Diese greifen dann auch immer, egal wo sich der User in der AD befindet. Bei unserem Modell wäre das bei GPOs nicht drin, da die tiefer in der Struktur ansetzen. Außerdem lässt sich dieses eine zentrale Skript super überklicken, wenn die Struktur etwas gewahrt bleibt. Lösung 3: EnableLinkedConnections 1 Das war noch eine Lösung, allerdings weiß ich technisch nicht, was das alles bewirkt und hoffe da auf euer Wissen. Allgemein bleibt die Frage, wie geht ihr mit dem Problem um, falls ihr es schon hattet?! Ich würde ganz gern bei dem Skript bleiben, es war schwer es überall zu etablieren. Die Suche nach den 3-stelligen Begriffen uac net use bat gehen leider nicht so gut, bzw. sind manche Lösungen ja auch schon bekannt. Also sorry falls es die Frage schonmal gab. Merci im voraus. Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 9. November 2010 Melden Teilen Geschrieben 9. November 2010 Haben die User Admin Rechte auf den Maschinen? Zitieren Link zu diesem Kommentar
Mag 11 Geschrieben 9. November 2010 Autor Melden Teilen Geschrieben 9. November 2010 Ah, doch was vergessen. Mist :) Die User sind teilweise Admin, das lässt sich nicht immer ausschließen, leider. Ich habe irgendwo gelesen, dass das Problem nur als lokaler Admin auftaucht, beim Nachstellen gestern, war das aber nicht der Fall ?! Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 9. November 2010 Melden Teilen Geschrieben 9. November 2010 Beispiel No. 44 suchst Du: ADM Templates - Administrative Vorlagen, Weiter unten mal einige Sample´s und Codebeispiele: Zitieren Link zu diesem Kommentar
Mag 11 Geschrieben 9. November 2010 Autor Melden Teilen Geschrieben 9. November 2010 Danke für den Link, das ist ja genau die Lösung 3. Die habe ich gefunden, ich weiß nur nicht genau was das alles bewirkt. Microsoft sagt ja selbst dazu in Ihrem KB: "This ist not recommended, not supported and at your onw risk".... Nicht das ist deshalb nun ängstlich wäre, ich suche nur nach einer guten Lösung, die nicht alle Sicherheitsfeatures, die auch mit UAC einhergehen, wieder zu nichte machen. Ich wäre also begeistert, wenn du mir sagen könntest, was genau das bewirkt :) positiv wie negativ. Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 9. November 2010 Melden Teilen Geschrieben 9. November 2010 "This ist not recommended, not supported and at your onw risk".... Nicht das ist deshalb nun ängstlich wäre, ich suche nur nach einer guten Lösung, die nicht alle Sicherheitsfeatures, die auch mit UAC einhergehen, wieder zu nichte machen. Ich wäre also begeistert, wenn du mir sagen könntest, was genau das bewirkt :) positiv wie negativ. Wenn Du UAC aktiviert hast und der Benutzer in der Gruppe der lokalen Admins ist, wird das Script als lokaler Admin ausgeführt. Der Benutzer sieht aber die verbundenen NW-Laufwerke nicht. Weitere Infos findest Du in diesen beiden Artikeln: faq-o-matic.net Benutzerkontensteuerung (UAC) richtig einsetzen und faq-o-matic.net Kompromisse zwischen Sicherheit und Bequemlichkeit? Das Beispiel UAC Zitieren Link zu diesem Kommentar
Cybquest 36 Geschrieben 9. November 2010 Melden Teilen Geschrieben 9. November 2010 Ich halte Lösung 2 dennoch für überdenkenswert! (bzw. statt GPO lieber GPP!) Den Überblick bei deinem "zentralen" Script hast du ja eigentlich gerade durch die dezentralen Scripte nicht mehr! Es kann also recht schwierig sein, nachzuvollziehen, wann wer welches Laufwerk bekommt, wenn in den dezentralen Scripten die Laufwerksbuchastaben mehrfach verwendet werden. Bei GPPs können die Laufwerke z.B. über die Zielgruppenadressierung auf bestimmte Gruppen eingeschränkt werden. Oder eine kpl. GPP kann über die Sicherheitsfilterung nur bestimmten Gruppen zugeodnet werden (entspräche dann in etwa den dezentralen Scripten)... Man muss es nicht über OU's steuern. Zitieren Link zu diesem Kommentar
Mag 11 Geschrieben 10. November 2010 Autor Melden Teilen Geschrieben 10. November 2010 Vielen Dank für die Anregungen. Ich werde das mit dem GPP nochmals überdenken. Wir hatten uns damals beim Ausrollen neuer Drucker für die Skript Variante entschieden. Die Umstellung auf GPP würde auf jeden Fall nochmals einigen Aufwand und Erklärungsarbeit nach sich ziehen, aber das sollte natürlich nicht der Grund sein den Fortschritt auszusperren :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.