Gruppenrichtlinien für bestimmte User deaktivieren

[TruckerTom 10]

Ich habe folgendes Problem:

Die momentanen Loginscripts bei einem Kunden sind über die Gruppenrichtlinien definiert.

Dies ist sehr unübersichtlich, ausserdem können die einzelnen Benutzer die Scripta ja nur aus ihrer eigenen OU bekommen und keine anderen.

Deshalb will ich in einem sanften Übergang die User langsam auf KiXtart umstellen. Dazu müsste ich aber bestimmten Usern in der OU das Login- und Logoff-Script wegnehmen können, andere User in der gleichen OU sollen es aber, zumindest vorerst, noch weiter benutzen.

Wie kann ich das realisieren?

[NorbertFe 1.835]

Ich habe folgendes Problem:

Die momentanen Loginscripts bei einem Kunden sind über die Gruppenrichtlinien definiert.

Dies ist sehr unübersichtlich,

[/Quote]

 

Warum ist das unübersichtlich? Eher eine Frage der eigenen Struktur würd ich sagen.

 

ausserdem können die einzelnen Benutzer die Scripta ja nur aus ihrer eigenen OU bekommen und keine anderen.

 

Sie sind ja auch nur in einer OU. Verstehe deinen Satz nicht... :)

 

Deshalb will ich in einem sanften Übergang die User langsam auf KiXtart umstellen. Dazu müsste ich aber bestimmten Usern in der OU das Login- und Logoff-Script wegnehmen können, andere User in der gleichen OU sollen es aber, zumindest vorerst, noch weiter benutzen.

Wie kann ich das realisieren?

 

Wie soll jemand das sagen können, ohne deine Struktur zu kennen? Was genau hindert dich denn daran, deine bisherigen Skripte dem User direkt anzuhängen und dann dein neues Skript zu bauen und an der Stelle "anzubasteln" an der es dir besser gefällt?

 

bye

Norbert

[TruckerTom 10]

also:

 

das ist deswegen unübersichtlich, weil teilweise auch OU-Übergreifend auf andere Laufwerke zugegriffen werden muss und dann die Abteilung "Buchhaltung" z.B. auch auf das Laufwerk "Einkauf" der OU Einkauf zugreifen muss.

 

Dazu müsste ich aber bestimmten Usern in der OU das Login- und Logoff-Script wegnehmen können, andere User in der gleichen OU sollen es aber, zumindest vorerst, noch weiter benutzen.

Ich habe gedacht, dass man das diese Frage beantworten kann, ohne gleich die ganze Struktur zu kennen, sry wenn das zu wenig Infos sind/waren.

Was musst Du denn noch über die Struktur wissen, um meine Frage zu ebantworten?

 

Beispiel:

Domäne: firma.local

--> OU: User Firma --> OU Einkauf: Benutzer A

Benutzer B

--> OU Buchhaltung: Benutzer C

Benutzer D

 

in der OU "User Firma" existiert eine Gruppenrichtlinie die auf ein Login-Script namens "generelles Laufwerk" verweist.

in der OU "Einkauf" existiert eine Gruppenrichtlinie die auf ein Login-Script namens "Einkauf" verweist.

Jetzt soll Benutzer B weiterhin die beiden Script ebenutzen, Benutzer A aber nicht, weil ich mit diesem das KiXtart austesten will.

Wie kann ich das managen?

[NorbertFe 1.835]

also:

 

das ist deswegen unübersichtlich, weil teilweise auch OU-Übergreifend auf andere Laufwerke zugegriffen werden muss und dann die Abteilung "Buchhaltung" z.B. auch auf das Laufwerk "Einkauf" der OU Einkauf zugreifen muss. [/Quote]

 

Und was ist daran unübersichtlich? definiere halt ein Skript für alle und bearbeite darin deine Abhängigkeiten. Was anderes wirst du mit Kixstart doch auch nicht tun, oder? Oder schreib in deine Skripte eben die Laufwerke rein, die gebraucht werden. So ganz kann ich nicht verstehen wo dein Problem liegt.

 

 

Ich habe gedacht, dass man das diese Frage beantworten kann, ohne gleich die ganze Struktur zu kennen, sry wenn das zu wenig Infos sind/waren.

Was musst Du denn noch über die Struktur wissen, um meine Frage zu ebantworten?

 

Also eigentlich hab ich deine Frage schon beantwortet ;) Nur du sagst ja nicht, wie es später aussehen soll. Nennt sich Zieldefinition ;)

 

Beispiel:

Domäne: firma.local

--> OU: User Firma --> OU Einkauf: Benutzer A

Benutzer B

--> OU Buchhaltung: Benutzer C

Benutzer D

 

in der OU "User Firma" existiert eine Gruppenrichtlinie die auf ein Login-Script namens "generelles Laufwerk" verweist.

in der OU "Einkauf" existiert eine Gruppenrichtlinie die auf ein Login-Script namens "Einkauf" verweist.

Jetzt soll Benutzer B weiterhin die beiden Script ebenutzen, Benutzer A aber nicht, weil ich mit diesem das KiXtart austesten will.

Wie kann ich das managen?

 

Also erstens, geht sowas wohl am einfachsten, in dem man den User A komplett aus der Struktur rausnimmt und in eine Temporäre Struktur steckt. Dort muß man dann natürlich die GPOs verlinken, die er weiterhin benötigt. Was genau versprichst du dir eigentlich von Kixstart?

 

bye

Norbert

[Loki-123 10]

Hi,

 

Was Du auch machen kannst, ist die Gruppenrichtlinien-Verwaltung zu installieren. Gerade wenn man viel mit Gruppenrichtlinien arbeitet macht es wirklich Sinn. Dort kannst Du nämlich User-Berechtigungen zum Verabeiten von Gruppenrichtlinien vergeben.

 

Gruß, Thomas

[TruckerTom 10]

Ok versuche ich es so zu beschreiben, wie ich es mir vorstelle:

 

Im Moment ist es ja so, dass BA und BB (Benutzer A und Benutzer B) das gleiche Loginscript haben mit den Laufwerken LA und LB.

Jetzt hat irgendwann in der Vergangenheit (beim alten Dienstleister) BA noch LC gebraucht, weil er darin arbeiten musste.

Dann wurde (so sieht es für mich im Moment aus) dem BA lokal eine Verknüpfung auf LC hinzugefügt und er bekam die (Einzel-)Rechte auf LC.

 

Was ich jetzt machen will:

1. Ich vergebe auf den freigegebenen Ordnern (z.B. Einkauf) der Gruppe "freigegebener Ordner_lesen" (also Einkauf_lesen) die Leserechte
   
2. ich füge den entsprechenden Benutzer der Grupe Einkauf_lesen hinzu
   
3. im Script wird definiert, dass wenn der Benutzer in der Gruppe Einkauf_lesen ist er das Laufwerk Einkauf gemappt bekommt
   
4. ziel erreicht.
   

 

Denke ich zu kompliziert?

[lefg 276]

Ich habe mal ganz einfach gedacht und das auch so gemacht.

 

if exist \\%FS%\%group% net use G: \\%FS%\%group% /persistent:no
if exist \\%FS%\%group%\%username%Home net use H: \\%FS%\%group%\%username%Home /persistent:no
if exist \\%FS%\%group%\1Aufgaben net use I: \\%FS%\%group%\1Aufgaben /persistent:no
if exist \\%FS%\%group%\1Austausch net use J: \\%FS%\%group%\1Austausch /persistent:no

 

Falls der Benutzer die Berechtigung auf den Ordner hat, dann wird das Mapping durchgeführt, sonst nicht.

 

Möglicherweise hilft das als Ansatz ja weiter.

[TruckerTom 10]

\\%FS%\%group%\

 

das verstehe ich nicht.

Was bedeutet das?

 

Die Abfrage "if exist \\%FS%\%group%\1Aufgaben net use ..." bedeutet auf gut deutsch:

Wenn der sich gerade anmeldende Benutzer in der Gruppe "1Aufgaben" drin ist, dann bekommt er das Laufwerk gemappt, wenn nicht, dann nicht?

[lefg 276]

.....Dazu müsste ich aber bestimmten Usern in der OU das Login- und Logoff-Script wegnehmen können, andere User in der gleichen OU sollen es aber, ....

In den Eigenschaften der OU, Sicherheit, dort den Benutzer oder die Gruppe eintragen und verweigern. Sicherheitsfilterung ist wohl der Begriff dafür. Das wirkt aber auf alle Richtlinien der OU. Ich muss gestehen, selbst habe ich sowas noch nicht machen müssen.

[lefg 276]

das verstehe ich nicht.

Was bedeutet das?

 

Die Abfrage "if exist \\%FS%\%group%\1Aufgaben net use ..." bedeutet auf gut deutsch:

Wenn der sich gerade anmeldende Benutzer in der Gruppe "1Aufgaben" drin ist, dann bekommt er das Laufwerk gemappt, wenn nicht, dann nicht?

%FS% ist die Variable mit dem Namen des Fileservers, %group% ist die Studiengruppe, der freigebene Ordner.

 

Falls der Benutzer berechtigt ist, auf den Fileserver zu greifen, weiter berechtigt ist, auf die Freigabe des Ordners der Studiengruppe zu greifen, weiter auf den Unterordner 1Aufgaben, dann wird das Mapping darauf durchgeführt. Das "if exist" war ursprünglich gedacht zum Prüfen des Vorhandenseins von Dateien und Ordnern (siehe IF-Befehl). Nach dem Einführen von Netzwerken und dem Mappen mit Net Use fiel mir auf, es wirkt auch bei (Nicht)Berechtigung auf Netzwerkressourcen (Freigaben).

 

Es könnte prinzipiell also heissen:

 

if exist \\Serrver\Freigabe\Unterordner net user G: \\Serrver\Freigabe\Unterordner

 

Ob es die wahre Lösung ist, das sage ich nicht. Wahrscheinlich gibt es Besseres heute. Sorry, ich hätte geleich das Einfache schreiben sollen, ich habe das Komplizierte aus einem Skript rauskopiert.

[TruckerTom 10]

ich werde mal beides durchtesten, mal sehen was schneller durchläuft und letztenendes komfortabler zu warten ist...

[lefg 276]

Viel Erfolg. :)

[NorbertFe 1.835]

Ok versuche ich es so zu beschreiben, wie ich es mir vorstelle:

 

Im Moment ist es ja so, dass BA und BB (Benutzer A und Benutzer B) das gleiche Loginscript haben mit den Laufwerken LA und LB.

Jetzt hat irgendwann in der Vergangenheit (beim alten Dienstleister) BA noch LC gebraucht, weil er darin arbeiten musste.

Dann wurde (so sieht es für mich im Moment aus) dem BA lokal eine Verknüpfung auf LC hinzugefügt und er bekam die (Einzel-)Rechte auf LC.

 

Was ich jetzt machen will:

1. Ich vergebe auf den freigegebenen Ordnern (z.B. Einkauf) der Gruppe "freigegebener Ordner_lesen" (also Einkauf_lesen) die Leserechte
   
2. ich füge den entsprechenden Benutzer der Grupe Einkauf_lesen hinzu
   
3. im Script wird definiert, dass wenn der Benutzer in der Gruppe Einkauf_lesen ist er das Laufwerk Einkauf gemappt bekommt
   
4. ziel erreicht.
   

 

Denke ich zu kompliziert?

 

Wie wärs, wenn du nur noch ein Laufwerk mappst und dort dann lauter Unterordner mit NTFS Berechtigungen nutzt? Mittels ABE ist das oftmals viel übersichtlicher und erspart dir das Loginskript ;)

 

Bye

Norbert

[TruckerTom 10]

Stell Dir vor, Du hast 80 Benutzer die verschiedene Laufwerke teilweise seit 10 Jahren und mehr benutzen und die Bezeichnung der Laufwerke in der Firma schon nur noch die Buchstaben betrifft. ("schiebs mir auf laufwerk k").

 

Dann würde ich so eine Umstellung wirklich nur dann durchführen, wenn ich keine freien Buchstaben mehr habe.

 

Was meinst Du mit "ABE"?

[lefg 276]

Will der Kunde denn überhaupt eine Veränderung? Will er möglicherweise die bisherigen Mappings für die Benutzer so erhalten?