diverse aufgaben per script erledigen?

[guybrush 19]

hallo,

 

ich hab derzeit eine umstellung bei vielen kunden laufen, und zwar von etrust 7.1 auf itm 8.0.

dazu sollen, um einen reibungslosen ablauf usw zu gewährleisten, diverse kleinigkeiten per logonscript erledigt werden (bis jetzt werden einfach die netzlaufwerke verbunden usw).

einfach ein "call irgendeinbatchfile.bat" am ende, alle clients 1x rebooten lassen und dann wieder raus mit dem eintrag.

 

folgende dinge sollten erledigt werden:

- xp firewall service deaktivieren

- der domänenuser soll zu den lokalen admins hinzugefügt werden (am besten den gerade angemeldeten user auslesen un dann zum lok.admin machen).

- der domänenadmin soll zu den lokalen admins hinzugefügt werden.

- ein regfile soll ohne nachfrage ausgeführt werden

 

die meisten der dinge sind recht einfach zu erledigen, allerdings hab ich keine lösung für die deaktivierung des services, und für den domänenuser auslesen usw...

auch das regfile ohne nachfrage ist mir noch ein kleines rätsel...

 

vielleicht könnt ihr mir da ein wenig auf die sprünge helfen?

 

mfg und danke

hannes

 

//edit: eine kleine frage noch: das logonscript wird doch mit systemrechten ausgeführt, oder?

[IThome 10]

Den Dienst kannst Du via Gruppenrichtlinie deaktivieren, die Regkeys via Gruppenrichtlinienscript mit REG.EXE oder REGEDIT /S ändern, das Zufügen zu den Gruppen bzw. aus Gruppen entfernen machst Du auch über Gruppenrichtlinie (Stichwort Eingeschränkte Gruppen). Zum Zufügen des einzelnen Users fällt mir im Moment auch nix ein ... :D

Das Logonscript wird im Sicherheitskontext des sich anmeldenden Benutzers ausgeführt. Ein Computerstartscript wird mit Systemrechten ausgeführt ...

[Das Urmel 10]

roat haute in die Tastatur

- xp firewall service deaktivieren

- der domänenuser soll zu den lokalen admins hinzugefügt werden (am besten den gerade angemeldeten user auslesen un dann zum lok.admin machen).

- der domänenadmin soll zu den lokalen admins hinzugefügt werden.

 

und all das machst du via GPO ( Richtlinien )

 

den rest hat dir IT-Home gesagt.

auch hier plaudert ein Poster namens "Sponsor" :D

[IThome 10]

Ist mir einfach nur zu warm oder wie bekommt man den gerade angemeldeten Benutzer in die lokale Administratorengruppe, ich wüsste jetzt nicht, wie das gehen soll ... :rolleyes:

[blub 115]

in die lokale Admingruppe bekommt man einen User mittels "net localgroup "administrators" %account% /ADD"

 

das Auslesen des/ der aktuell angemeldeten User geht z.B. mit win32_loggedonuser

 

cu

blub

 

scriptomatic-code:

*************

 

On Error Resume Next

 

Const wbemFlagReturnImmediately = &h10

Const wbemFlagForwardOnly = &h20

 

arrComputers = Array("meinPC")

For Each strComputer In arrComputers

WScript.Echo

WScript.Echo "=========================================="

WScript.Echo "Computer: " & strComputer

WScript.Echo "=========================================="

 

Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\CIMV2")

Set colItems = objWMIService.ExecQuery("SELECT * FROM Win32_LoggedOnUser", "WQL", _

wbemFlagReturnImmediately + wbemFlagForwardOnly)

 

For Each objItem In colItems

WScript.Echo "Antecedent: " & objItem.Antecedent

WScript.Echo "Dependent: " & objItem.Dependent

WScript.Echo

Next

Next

 

 

PS: @Urmel, ist das ein Insider, den nicht jeder verstehen muss?

[IThome 10]

am besten den gerade angemeldeten user auslesen un dann zum lok.admin machen

Und wann soll das Zufügen passieren (das muss ja wohl auf dem lokalen Client per Script passieren) ?

[IThome 10]

Ist wahrscheinlich potteneinfach und ich kapier´s nur nicht, ich schau mir das morgen nochmal an ... :D

[Das Urmel 10]

Off-Topic:
PS: @Urmel, ist das ein Insider, den nicht jeder verstehen muss?

meinst du den Sponsor?
der taucht immer am Ende des Threads auf, kann sein dass ihr den nicht seht?

für den rest dachte ich eigentlich, Ihr seit auf dem laufendem bei
http://www.grurili.de :suspect:
genau da ist das Szenario von Mark schön beschrieben, nicht erst seit gestern. :)

[XP-Fan 220]

meinst du den Sponsor?

der taucht immer am Ende des Threads auf, kann sein dass ihr den nicht seht?

 

Da gibts wohl noch Probleme mit der Darstellung unter https und den verschiedenen Browsern.

Denke aber die Moderatoren haben das schon in Arbeit.

[guybrush 19]

%account% sollte dann eine systemvariable sein, oder?

ich kann die (zumindest bei mir lokal) nicht finden. gibts die nur in einer domäne?

 

ansonsten hätt ich bei:

"net localgroup "administrators" %username%@%userdomain% /ADD"

kein so schlechtes gefühl, oder seh ich das falsch?

[master-obi-wan 10]

Hallo Hannes,

 

wie bereits von ITHome erwähnt läuft das Loginscript mit den Rechten des angemeldeten Benutzers.

Und da ein "normaler" User nicht das Recht hat sich selbst in die Admin-Gruppe zu verschieben wird dein Script so auch nicht funktionieren ! ;)

 

Wie bereits von meinen Vorrednern geschrieben, würde ich dies auch über GruRiLi - "Eingeschränkte Gruppen" erledigen ...

So lässt es sich zentral regeln wer was darf ... ;)

[IThome 10]

Das mit dem User kann man auch vollkommen ohne Script machen: Eingeschränkte Gruppen - die Gruppe Interaktiv in die Administratoren-Gruppe. Das hat mit Sicherheit allerdings nichts mehr zu tun ...

[blub 115]

hi,

klar, muss das Skript unter einem Adminkontext ausgeführt werden (RDP, psexec). Es gibt zum Glück meistens mehrere Lösungen. Ob's im konkreten Fall per GPO oder Skript günstiger ist, lässt sich aus der Ferne nicht beurteilen.

 

cu

blub