lefg

Für den nächsten Versuch wurde ein Testbenutzer in die Richtlinie eingetragen. Das Ergebnis war negativ; es war nicht möglich den Rechner in die Domäne einzugliedern.

Auch das Negativergebnis ist überholt, es funktioniert auch mit einem Testuser.

Der vorherige Misserfolg lag wohl ganz einfach daran, es wurde an einem Produktivsystem mit mehreren DC`s getestet. Die Änderungen wurden an einem DC vorgenommen und es wurde nicht auf die Replikation geachtet.

Schande über mein Haupt. :o

Das ist interessant. Dabei könnten doch jede Menge Hintertüren eingebaut werden? Oder ist das Ganze eine reine bürokratische Scharade?

Und wenn man an W2k Manipulationen(Registry) zum Erreichen des Ziels durchführt, verliert W2k auf dem Rechner automatisch die Freigabe seitens der IT-Sicherheit, oder nicht?

netsh ist doch nur mit administrativen Rechten ausführbar; oder?

Für einen weiteren Versuch wurde die Gruppe Join geschaffen und der Testuser Mitglied. Die Gruppe wurde anstelle des Users in die Richtlinie eingetragen. Das Hinzufügen gelang nicht.

Auch das ist überholt. Es funktioniert bei der Wiederholung der Versuchsreihe.

unter XP gibts da wohl die gruppe der network configuration operators

Und warum wird nicht XP genommen?

Ich kann das Problem möglicherweise erahnen. :)

Es geht um das Laptop des Servicetechnikers und die Verwendung an verschiedenen Netzen, verschiedenen Standorten. Für diese Arbeit muss der Techniker die Adressierung ändern können.

Ist das so richtig?

Der folgende Versuch wurde wieder mit Authenfizierte Benutzer durchgeführt. Der Versuch misslang, ein Hinzufügen nicht möglich.

Das ist obrige überholt, es funktioniert wieder mit Authenfizierte Benutzer.

Jetzt können alle Domain Admins un der Beispiel User WS zur Domain hinzufügen.

Das können Domain Admins sowieso. Das braucht man denen nicht extra zugestehen.

scheint wohl wirklich nicht zu gehen, einem einfachen benutzer in einer domäne das recht zu geben, die ip-adresse zu ändern...

Das Ändern von IP-Adressen, Vornehmen von Netzwerkeinstellungen etc. sind einfach administrative Aufgaben. Eine Seminarsekretärin soll tippen und nicht konfigurieren. :)

Ich habe mal geschaut. Mit net computer ist es möglich, auf dem DC ein Computerkonto anzulegen. Den Rechner bekommt man damit nicht in die Domäne.

Rename kenne ich zum Umbennen von Dateien.

Mir ist da netdom aus dem RK eingefallen. Manchmal brauche ich ne Weile zum Erinnern.

Das ist so auch in Ordnung.

Hast Du dem Skript den Namen Login.bat gegeben, in den Kontoeinstellungen eingetragen?

Hast Du die Login.bat mit dem Explorer von der WS aus über das Netz gestartet?

Was passiert da?

Nun schildere das Problem doch mal konkret! :)

Was läuft denn nicht mehr?

Tritt das von mir beschriebene beim Beispiel Word auf?

Ich habe nun in der SiRiLi für Domänen bei der Einstellung Hinzufügen von Arbeitsstationen zur Domäne die Gruppe Authenfizierte Benutzer entfernt.

Danach war es einm Domänenbenutzer nicht mehr möglich, die WS der Domäne hinzu zu fügen, dem Administrator hingegen war es möglich.

Für den nächsten Versuch wurde ein Testbenutzer in die Richtlinie eingetragen. Das Ergebnis war negativ; es war nicht möglich den Rechner in die Domäne einzugliedern.

Für einen weiteren Versuch wurde die Gruppe Join geschaffen und der Testuser Mitglied. Die Gruppe wurde anstelle des Users in die Richtlinie eingetragen. Das Hinzufügen gelang nicht.

Der folgende Versuch wurde wieder mit Authenfizierte Benutzer durchgeführt. Der Versuch misslang, ein Hinzufügen nicht möglich.

Den ganzen Kram händisch durchzuführen kann bei einer grossen Menge WS ja sehr arbeitsreich und nervig sein.

Mir kam der Gedanke, das müsste sich doch automatisieren lassen per Skript.

Mit welchem Befehl kann ein Rechner aus einer Domäne entfernt und wieder eingefügt werden?

Mit welchem Befehl kann ein Rechner umbenannt werden?

Die Bezeichnung AD 1 hat mich sehr irritiert. In einer Domäne gibt es nur ein Active Directory. Deshalb ist das Anhängen einer Zahl nicht zweckmässig.

Mit Root ist das Wurzelverzeichnis einer Partition gemeint. Beispiel: C:\

Ich frage nun nochmals nach dem Zugriff auf das Benutzerprofil. Ist der möglich beispielsweise auf das Verzeichnis Eigene Dateien?

Falls das nicht so sein sollte, stellt sich die Frage, was ist da geschehen? Hat da jemand die Zugriffsrechte verändert?

Zu dem Wunsch, Zugriff auf die Platte(Partition c:\) zu erhalten: Mit administrativen Rechten die Sicherheitseinstellungen verändern! Ich nehme an, das Filesystem ist NTFS. Oder nicht?

:) Sorry für meinen Ausbruch eben.

Ich habe die anderen Beiträge jetzt erst reinbommen.

Wollen wir mal einen Versuch machen?

Benenne die Batch als Login.bat!

Schreibe rein

echo Hallo World

pause

Trage im Konto ein

Login.bat

Die Batch liegt in der Freigabe NETLOGON auf dem DC!

Es gibt nur einen DC?

Rufe die Batch von der WS mit dem Explorer aus Netlogon auf!

Berichte das Ergebnis!

Viel Erfolg

Edgar

Hallo,

ein nicht ganz einfaches Thema. Auch das einfach mal eine OU erstellen und eine Rili definieren geht meisten schief.

Hier zwei geschätzte Links.

http://www.mcseboard.de/community_cast.php

http://www.gruppenrichtlinien.de/index.html

Viel Erfolg

Edgar

Jetzt muss ich fragen.

Was ist mit AD 1 gemeint?

Ist klar, was mit Root gemeint ist?

Falls ein Skript vorzeitig beedet wird, gibt es nach meiner Erfahrung zwei Möglichkeiten.

1. Im Skript liegt ein Syntaxfehler vor. Ich denke mal, das hast Du ausgeschlossen, als nur der Pausebefehl drinstand.

2. Oder es ist etwas mit dem Kommandoprozessor. Wenn du eine Batch auf lokalen Rechner startest, funktioniert die aber, hast Du berichtet.

Es gibt aber bestimmt noch andere Möglichkeiten, die ausserhalb meiner persönlichen Erfahrung liegen.

Ich möchte deshalb nochmals auf eine konkrete Frage von mir zurückkommen, auf die ich von dir keine Antwort erhielt.

Es geht dabei um den Eintrag für den Start des Loginskriptes im Benutzerkonto.

Ist da nur der Name der Batch eingetragen? Oder gibt es da noch eine Pfadangabe?

Wie ist die Bezeichnung der Batch mit Extension?

Ein Domänenbenutzer erhält auf einen XP, der Mitglied der Domäne ist, nur den Zugriff auf sein Benutzerprofil, nicht auf andere Verzeichnisse, nicht auf die Root.

Nach dem Hinzufügen des Rechners zur Domäne, nach dem Neustart, nach dem Anmelden des Domänenbenutzers wird für den normalerweise eine neues Benutzerprofil erstellt. Auf diese Profil hat der Benutzer Zugriff.

Wurde dieses Profil erstellt? Falls nein, gab es Meldungen? Wie ist deren Wortlaut?

das ist allerdings auf allen PCs die ich in unserer Domäne mit diesem start script versehen habe genauso.

Wie wurde denn der PC mit dem Startskript versehen?

Hallo Andreas,

ich habe den Einduck, du fährst den falschen Dampfer.

Der Aufruf eines Logon-/Loginskriptes für den Benutzer wird im Benutzerkonto festgelegt.

In der Gruppenrichtline in Skript wurde die Bezeichnung Startskript gewählt. Ich denke, es hat seinen Grund, dass es deutschsprachig genau unterschieden wurde.

Gruß

Edgar

Und wie ist das bei einer lokalen Anmeldung am XP als Administrator?