Jump to content

accolon

Members
  • Gesamte Inhalte

    5
  • Registriert seit

  • Letzter Besuch

Alle erstellten Inhalte von accolon

  1. Ich muss leider zugeben, noch nicht so tief in der Materie drinzustecken... Mein Wissen habe ich mir in den letzten paar Tagen aus verschiedenen Quellen angelesen und war zunächst auch ganz zuversichtlich, was aber wohl etwas voreilig war. Von Linux-Seite werden einige Dienste zur Verfügung gestellt, die ein gültiges Kerberos-Ticket benötigen; dieses Problem habe ich eben dadurch gelöst, dass ich den einzelnen Nutzern meiner Domäne "win.meine.domain.de" eine Namenszuordung vom Format "user@MEINE.DOMAIN.DE" verpasst habe. Wie schon beschrieben, klappt das ja auch alles wunderbar. Wenn ich euch richtig verstehe, meldet sich der Benutzer dann also bei der Kerberos-Atuhentifizierung sozusagen nur an der Linux-Domäne an, mein Domain Controller hat dabei lediglich die Funktion, die Namenszuordnungen zu liefern? Dann scheint es ein grundlegenderes Problem zu sein. Wie kann ich es trotzdem schaffen, meine Benutzer über die jew. Gruppenrichtlinien einzuschränken und ihnen gleichzeitig die benötigten Kerberos-Tickets zu geben? Vielleicht kennt auch jemand eine gute Dokumentation für solche Fälle?
  2. Ich stehe vor der Aufgabe, ein bisher nur aus Linuxrechnern bestehendes Netzwerk um einige XP-Clients zu erweitern. An den Rechnern sollen verschiedene Arten von Benutzern arbeiten, für die ich daher auf meinem 2k3-Server unterschiedliche Richtlinien festgelegt habe. Die Benutzer sollen sich über den vorhandenen Linux-Kerberos-Server authentifizieren. Dazu habe ich einen Trust hergestellt, auf den XP-Clients den Kerberos-Server bekanntgemacht und den Benutzern im Active Directory über "Namenszuordnungen" die korrekten Prinzipalnamen zugeordnet. Die Benutzer können sich nun erfolgreich direkt an der Windows-Domäne anmelden, oder aber bei der Anmeldung den Kerberosbereich auswählen und sich auch dort problemlos authentifizieren. Das Problem besteht nun darin, dass die den einzelnen Benutzergruppen zugeordneten GPOs nur greifen, wenn sich ein User direkt an der Windows-Domäne anmeldet. Bei einer Anmeldung via Kerberos werden sämtliche Richtlinien einfach vollständig ignoriert -- ganz so, als ob sie gar nicht da wären. Hat vielleicht jemand eine Idee, was ich übersehen haben könnte? Ich konnte dazu nirgendwo etwas finden. Soweit ich weiß, sollte der Client doch auch nach einer Kerberos-Authentifizierung trotzdem die passenden Gruppenrichtlinien vom DC holen und anwenden, bei der "normalen" Anmeldung funktioniert das ja auch. Muss ich dazu vielleicht noch zusätzliche Einstellungen machen?
  3. Vielen Dank, das hat mir sehr geholfen. Wenn man die benutzerdefinierte Installation aktiviert hat, wird exakt auf die OSC-Seite verzweigt, von der ich oben gesprochen habe, und der Name nicht mehr durch den vom Server generierten überschrieben.
  4. Wenn deine LAN-Karte PXE (also direkt vom Netzwerk booten) kann, baust du einfach die passenden Treiber in das RIS-Image ein. Dazu parallel zum i386-Ordner des RIS-Images die Ordner $OEM$\$1\Drivers\ anlegen und den Treiber dort hinkopieren. Die SIF passt du dann an, indem du unter [unattended] das hier ergänzt: OemPreinstall = Yes OemPnpDriversPath = \Drivers Der Ordner ist relativ zu $OEM\$1, du kannst natrülich auch Unterordner erzeugen und mehrere angeben, z.B. für Grafikkarten etc. Der Client holt sich dann den passenden Treiber, nachdem er durch den Textteil der RIS-Installation durch ist. Wenn du allerdings eine Diskette brauchen würdest, weil du keine PXE-Unterstützung hast, kommst du nicht weiter -- die MS-Diskette kann man nicht erweitern. Bleibt nur, eine andere Karte einzubauen.
  5. Hallo, ich stehe derzeit vor dem gleichen Problem. Mir wurde diese Lösung empfohlen, die jedoch bei mir nicht funktioniert... Im RIS-Ordner auf dem Server existiert in \OSChooser\German eine Datei custom.osc, in der %MACHINENAME% über ein Eingabefeld abgefragt wird. Man kann dann von einer anderen OSC-Seite über <FORM ACTION="CUSTOM"> hierhin verzweigen und danach wieder zurück; die Datei kann man natürlich auch anpassen. Trotzdem zeigt mir die Installation auf der Übersichtsseite (die letzte, bevor es losgeht) den automatisch vegebenen Namen an und der Rechner erhält diesen auch in der Domäne. Offenbar hat der vom Server vergebene Name Priorität. Man kann es dem Server auch nicht abgewöhnen, einen Namen zu vergeben -- im Eigenschafts-Dialog des Domänencontrollers kann man zwar auch ein selbst angepasstes Namensformat verwenden, der Name lässt sich aber nicht auf "keinen vergeben" oder ähnlich stellen. Ich finde es interessant, dass offenbar eine Möglichkeit für den Namen in den OSCs vorgesehen, diese aber wirkungslos ist. Für jede Hilfe bin ich dankbar! :)
×
×
  • Neu erstellen...