Zum Inhalt wechseln


Foto

Script über GPO geht nicht....:o(


  • Bitte melde dich an um zu Antworten
24 Antworten in diesem Thema

#16 szumbusch

szumbusch

    Junior Member

  • 118 Beiträge

 

Geschrieben 21. Dezember 2005 - 06:54

Hallo!

Vielleicht ein Hinweis, der etwas bringt.

Ich habe eine Sicherheitsgruppe AT04-4, um die zugehörigkeit zu dieser Klasse mit eigenen Permissions versehen zu können.

Ich habe einen user AT04-4-DAU, der im AD als Mitglied der Gruppe AT04-4 geführt wird.

Wenn ich aber gpresult auf einem Client-Rechner laufen lasse, wir die Mitgliedschaft in dieser Gruppe nicht angezeigt!

Wie kann das sein?

Sascha

#17 lefg

lefg

    Expert Member

  • 20.475 Beiträge

 

Geschrieben 21. Dezember 2005 - 07:16

Hallo Sascha,

kann es sein, du bist dem Irrtum erlegen, eine Gruppenrichtlinie wirke auf eine Sicherheitsgruppe?

Gruß

Edgar

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#18 szumbusch

szumbusch

    Junior Member

  • 118 Beiträge

 

Geschrieben 21. Dezember 2005 - 08:03

Nein, ich denke nicht.

Aber ich muß ja irgendwie realisieren, das nur Mitglieder der entsprechenden Klasse Zugriff auf das Laufwerk haben. Das mache ich über die Mitgliedschaft in einer Sicherheitsgruppe.

Und auf dem Client-Rechner sagt gpresult eben, das der entsprechende Benutzer NICHT zu dieser Gruppe gehört.

Warum aber die Policy nicht auf dem Ckient Rechner zieht, verstehe ich immer noch nicht.

Sascha

#19 szumbusch

szumbusch

    Junior Member

  • 118 Beiträge

 

Geschrieben 21. Dezember 2005 - 08:11

Vielleicht muß ich andersherum herangehen:

Ich habe ein Verzeichnis, welches ich als Gemeinsames Klassenlaufwerk für eine Schulklasse allen mitgliedern dieser Klasse bei Anmeldung am System unter dem Laufwerksbuchstaben 'K:' zuordnen möchte.

Wie mache ich das?

Es gibt eine OU für die Klasse und es gibt eine Sicherheitsgruppe für die Klasse.

Das Verzeichnis ist so eingerichtet, daß nur Mitglieder der Sicherheitsgruppe der Klasse Zugriff daraf haben.

Sascha

#20 lefg

lefg

    Expert Member

  • 20.475 Beiträge

 

Geschrieben 21. Dezember 2005 - 08:26

Das wird es sein, ich habe es geahnt. Ich schaue mal, wie ich es am Besten beschreibe, nehme meine Organisation zum Vorbild, sie wird sich wahrscheinlich nicht von der Deinigen unterscheiden, sie ist einfach und logisch.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#21 lefg

lefg

    Expert Member

  • 20.475 Beiträge

 

Geschrieben 21. Dezember 2005 - 08:42

Wie bereits vorher beschrieben:

Es existiert eine aus NT-Zeiten stammende Domäne. Der NetBIOS-Name ist Lubeca, der FQDN ist Lubeca.wak.de. Das WAK wird in absehbarer Zeit entfernt. das de geändert.

Für jeden Klassenverband gibt es in der Root des AD eine OU. Auf dem Datenplattensatz (Userbasis) wurde jeweils ein Klassenordner angelegt. Darauf haben die Dozenten und die Klasse (Sicherheitsgruppen) Zugriff über eine Freigabe. Innerhalb des Klassenordner gibt es Aufgaben-, Austauschordner und für jeden User jeweils ein Home- und ein Profilverzeichnis. Auf die Benutzerverzeichnisse haben zu Beginn nur die Benutzer selbst Zugriff, sie können selbst den Dozenten Zugriff gewähren.
Freigegeben sind nicht die Verzeichnisse der Benutzer, nur das der Gruppe.
Off-Topic:
kleine Unterbrechung

Der Container eines Benutzers ist feststellbar mit Dsquery. Das Programm ist bei mir auf dem DC im Share NETLOGON abgelegt.
\\1fs-lubeca\dsquery user -name %username%
Die Anwort lautet
"CN=EscherJ,CN=Dozenten,DC=Lubeca,DC=wak,DC=de"
Wir brauchen also den Term Dozenten zum Mappen in eine Variable.
for /f "tokens=2 delims=," %%a in ('%logonserver%\netlogon\dsquery user -name %username%') do set group=%%a
set group=%group:~3%
Danach können wir mappen in Abhängigkeit der Existenz.
set FS=1FS-LUBECA
if exist \\%FS%\%group%\%username%Home net use P: \\%FS%\%group%\%username%Home /persistent:no 
if exist \\%FS%\%group% net use G: \\%FS%\%group%
Soweit erstmal für ein Home- und ein Gruppenlaufwerk.

Ich mache die Abfrage und das Mapping allerdings nicht in einem von der Gruppenrichtlinie abhängigen Loginskript. Es wird ein Loginskript für alle benutzt. Der Hintergrund ist, ich möchte nicht für jede Gruppe ein neues Skript anlegen. Ich lege auch nicht für jede neue Gruppe in der OU eine Gruppenrichtlinie an.
Off-Topic:
Vorläufiges Ende

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#22 szumbusch

szumbusch

    Junior Member

  • 118 Beiträge

 

Geschrieben 21. Dezember 2005 - 10:03

OK.

Sehr ähnliche Struktur, völlig andere Herangehensweise.

Ich rekapituliere mal, was ich verstanden habe:

Du holst den OU-Namen mit dsquery, checkst, ob eine Freigabe mit dem selben Namen existiert, und wenn ja, dann bindest Du sie ein.

Korrekt?

Das muß ich mir erstmal auf der Zunge zergehen lassen.....

Ich bin im Windows Scripting nicht so bewandert, deshalb die folgende dumme Frage:
Das sind Windows-Shell Kommandos, kein VBS?

Ich muß jetzt erst einmal einiges austesten.

*denk*

Danke,
Sascha

#23 lefg

lefg

    Expert Member

  • 20.475 Beiträge

 

Geschrieben 21. Dezember 2005 - 10:20

Du holst den OU-Namen mit dsquery, checkst, ob eine Freigabe mit dem selben Namen existiert, und wenn ja, dann bindest Du sie ein.

Strenggenommen ist es der Container(CN) des Users, dieser ist aber die OU, so der User nicht im Standardcontainer(CN) ist. Es ist etwas spitzfindig von mir, sei deshalb bitte nicht gram. ;)

Das sind Windows-Shell Kommandos, kein VBS?

Dsquery ist kein Kommando der Shell selbst, es ist eine Exe, ein Bestandteil von 2k3, wird auch von 2k ausgeführt. Es gibt dsadd, dsmod, dsget, dsmove, dsrm, dsquery.
Off-Topic:
Du verwendest den Begriff Skripting. Damit verbinde ich Windows Skripting Host, VBS usw.
Hier ist eher der Begriff Batching angebracht. Das ist viel älter als Skripting. Mit Batches haben wir schon vor Windows und Dos gearbeitet, vor der Gründung von MS überhaupt. Es gab nämlich schon ein (EDV)Leben vor Bill Gates. ;)
Ich habe nämlich noch Heinz Nixdorf, Gary Kildall und Konrad Zuse in Erinnerung. :)

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#24 szumbusch

szumbusch

    Junior Member

  • 118 Beiträge

 

Geschrieben 21. Dezember 2005 - 10:43

Hi,

Strenggenommen ist es der Container(CN) des Users, dieser ist aber die OU, so der User nicht im Standardcontainer(CN) ist. Es ist etwas spitzfindig von mir, sei deshalb bitte nicht gram. ;)

Auf keinen Fall! Das ist völlig OK. Container und OU sind ja auch nicht zwangsläufig gleich.

Dsquery ist kein Kommando der Shell selbst, es ist eine Exe, ein Bestandteil von 2k3, wird auch von 2k ausgeführt. Es gibt dsadd, dsmod, dsget, dsmove, dsrm, dsquery.
Du verwendest den Begriff Skripting. Damit verbinde ich Windows Skripting Host, VBS usw.
Hier ist der Begriff Batching eher angebracht. Das ist viel älter als Skripting. Mit Batches haben wir schon vor Windows und Dos gearbeitet, vor der Gründung von MS überhaupt. Es gab nämlich schon ein (EDV)Leben vor Bill Gates. ;)


Hihi, wem sagst Du das...
Ich habe meine ersten (professionellen) Schritte auf einer PDP11 gemacht.
Das angesagte Kleincomputer-System nannte sich damals Osbourne-1 und lief unter CP/M.

Ach ja, PIP und ED...

Als UNIX Mensch bin ich natürlich mit batching und scripting durchaus vertraut.
Da das Behaviour von DOS etc. allerdings in meinen Augen nicht deterministisch war/ist(?),
habe ich darum immer einen großen Bogen gemacht. Und VBS war sowiso in meinen Kreisen immer sehr verpöhnt (ohne eigentlich zu wissen, warum)

Die Scripte, diew wir im Moment nutzen, habe ich aus dem Netz, oder diesem Forum und habe sie nach kurzem Studium an unsere Bedürfnisse angepasst.

Heute ist letzter Schultag, morgen werden die Messer gewetzt und scripte ausgetestet.

Vielen Dank erst einmal für diesen anderen Ansatz.

Sascha

#25 lefg

lefg

    Expert Member

  • 20.475 Beiträge

 

Geschrieben 21. Dezember 2005 - 12:54

Hihi, wem sagst Du das...
Ich habe meine ersten (professionellen) Schritte auf einer PDP11 gemacht. Das angesagte Kleincomputer-System nannte sich damals Osbourne-1 und lief unter CP/M. Ach ja, PIP und ED...

Supi :) Da kannst du ja auch auf einiges zurückblicken. :D

Als UNIX Mensch bin ich natürlich mit batching und scripting durchaus vertraut.
Da das Behaviour von DOS etc. allerdings in meinen Augen nicht deterministisch war/ist(?),
habe ich darum immer einen großen Bogen gemacht. Und VBS war sowiso in meinen Kreisen immer sehr verpöhnt (ohne eigentlich zu wissen, warum)

Naja, nach dem Hörensagen soll CP/M gegenüber Unix ja auch ein wenig einfach gewesen sein hinsichtlich der Möglichkeiten.

Die Scripte, diew wir im Moment nutzen, habe ich aus dem Netz, oder diesem Forum und habe sie nach kurzem Studium an unsere Bedürfnisse angepasst.

Ich denke, du bist ja insgesamt mit dem Thema vertraut. Das VBS ist auch nicht von mir, habe es aus dem Web so übernommen. Es ist primitiv, hat keine Fehlerbehandlung.

Heute ist letzter Schultag, morgen werden die Messer gewetzt und scripte ausgetestet.

Heute habe ich nochmals abends Fortbildung, morgen noch eine Baustelle, Freitag wird es ruhig. Ich habe hier (wieder) ein Problem mit einer 2k3Dom, möglicherweise erneuere ich über die Feiertage und den Jahreswechsel komplett.

Vielen Dank erst einmal für diesen anderen Ansatz.

Gern geschehen. Falls wir uns nicht lesen, schöne Feiertage und guten Rutsch wünsche ich dir.

Gruß

Edgar

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)