brauche lokale Admin-Rechte durch Logon-Script

[psychonatic 10]

Hi,

habe ein Problem mit meinem Windows 2003 Netzwerk.

Und zwar habe ich in meinem Logon-Script reingeschrieben, dass bei allen User automatisch, beim Anmelden die Num_Lock Taste aktiviert wird.

Dann verweiß ich auf eine Reg in der dann der Befehl steht...

 

Problem: Script meint, dass der User nicht die erforderlichen Rechte hätte... also lokale adminrechte. Die will ich den Usern aber nicht geben.

 

Gibt es eine Möglichkeit, den Usern per Logon-Script, nur bei der Anmeldung kurzzeitig lokale adminrechte zu geben?

 

Wenn ja bitte melden,

ist ziemlich wichtig und eilig.

 

Gruß

BP

[grizzly999 11]

Hallo und Willkommen im Board :)

 

Also erstens mache ich das immer per GPO über eine eigene ADM-Datei, und zweitens sollte das aber gehen, außer der Key in der Reg-Datei wäre falsch? Denn der Key befidnet sich unter HKCU, da hat der User Vollzugriff drauf.

 

 

grizzly999

[coolsuper 10]

Hi,

 

es kann auch vorkommen, dass einige Einstellungen den "Hauptbenutzer" verlangen. Dies ist z.B. bei der Systemzeit der Fall. Wenn du die über ein Logonscript einstellen lassen willst.

[psychonatic 10]

ja genau ! !

den fehler habe ich auch mit der Zeit.

Habe eingestellt dass serverzeit = clientzeit sein soll.

ging auch nicht wegen den rechten.

 

Wie kann ich das beheben?

am liebsten wär mir eine erweiterung des logon.

Wenn es euch hilft, kann ich das logon auch mal posten, is nicht al zu groß.

 

Gruß

BP

[psychonatic 10]

@echo off

 

 

:: Ordner Temp erstellen

 

if not exist C:\Temp md c:\Temp

 

 

:: NUM-LOCK beim anmelden aktivieren

 

if exist \\Srv01\NETLOGON\num_lock.reg regedit

/s \\Srv01\NETLOGON\num_lock.reg

 

:: Mit Netzlaufwerk p: verbinden

 

if exist p:\nul net use p: /d

net use p: \\srv01\company

 

 

:: Zeitsynchronisierung

 

NET TIME \\SRV01 /SET /YES

 

 

 

:: GPUPDATE

 

 

if exist c:\temp\Link.txt goto nonlink

 

if exist "%ALLUSERSPROFILE%\Desktop\TEST.LNK" del "%ALLUSERSPROFILE%\Desktop\TEST.LNK"

if not exist "%ALLUSERSPROFILE%\Desktop\TEST.LNK" copy \\srv01\NETLOGON\TEST.lnk "%ALLUSERSPROFILE%\Desktop\TEST.LNK"

echo link updatet >c:\temp\Link.txt

 

:nonlink

 

 

 

:: Script nicht am Server nicht für admins und nicht an clients aelter WinNT ausfuehren

 

if /i "%computername%"=="srv01" exit

if /i "%username%"=="admin01" exit

if /i "%username%"=="administrator" exit

if not "%OS%"=="Windows_NT" echo Skript wird wegen nicht unterstuetztem Betriebssystem abgebrochen

if not "%OS%"=="Windows_NT" exit

 

 

 

:ScriptENDE

 

 

 

Hier der Key der Reg:

 

Windows Registry Editor Version 5.00

 

[HKEY_USERS\.DEFAULT\Control Panel\Keyboard]

"InitialKeyboardIndicators"="2"

 

Hoffe es hilft euch.

Gruß

BP

[grizzly999 11]

[HKEY_USERS\.DEFAULT\Control Panel\Keyboard]

"InitialKeyboardIndicators"="2"

Wieso der Key und nicht HKCU? UNd wieso nicht per GPO?

 

grizzly999

[grizzly999 11]

... wieso eigentlich Zeit mit net time synchronisieren? Sind das NT Clients?

[coolsuper 10]

Als Administrator kann man in der Systemsteuerung bei den Benutzern einen neuen Benutzer hinzufügen. Dort kann der Benutzername und die Domäne eingetragen werden. Es kann auch Domäne-User als Benutzer eingetragen werden, dadurch haben alle Domänenbenutzer auf den Rechner Hauptbenutzerrechte.

 

Wichtig: Der neue User muss als Hauptbenutzer eingetragen werden.

 

Wenn der Computer meckern sollte, dass der User schon vorhanden ist und sich nicht eintragen lässt, musst du mit der rechten Maustaste auf den Arbeitsplatz gehen und die Verwaltung auswählen. Dort kannst du unter Computerverwaltung->System->Lokale Benutzer und Gruppen->Benutzer / Gruppen (geschmackssache) als Hauptbenutzer eintragen.

 

Danach müsste auch die Serverzeit den Clients übergeben werden, vorausgesetzt, dass der Befehl noch in den Logon-Scripte(n) vorhanden ist.

[psychonatic 10]

@ grizzly999

 

Kenne mich mit den Abkürzungen nicht aus. Was bedeutet HKCU und GPO?

 

Gruß

Psychi

 

 

PS: Nochmals zu meiner eigentlichen Frage, ist es nicht möglich in meinem Logon-Script zu sagen, dass derjenige der sich anmeldet, "kurz" über lokale adminrechte verfügt?

 

hab mir das so vorgestellt...

 

1 gib user lokale adminrechte

2 ... script balblablalblalba...

3 nimm lokale adminrechte weg.

4 scriptende.

[psychonatic 10]

@ coolsuper

ich möchte gern alles über ein script oder Active-directory steuern und nicht zu jedem Arbeitsplatz laufen. In meinem Netzwerk würde das zwar noch gehn, da es nur 5 Clients (alle XP) gibt. Aber das script soll ja auch mal in einem Groß-Netzwerk einsetzbar sein.

 

Trotzdem vielen Dank für deinen Beitrag.

Gruß

 

BP

[coolsuper 10]

Als Admin muss man nicht zu jedem Arbeitsplatz laufen. Man kann das auch über eine mmc machen.

 

Aber mit w2k3 kann das natürlich auch über ADs laufen.

[psychonatic 10]

Könntest du mir auch sagen wie (AD) ?

Ich will aber vermeiden, dass die User dauerhaft lokale admin rechte besitzen.

 

BP

[psychonatic 10]

:push:

[Operator 10]

Hi pychonatic,

 

in den Richtlinien für Computer kannst Du die Berechtigung für einzelne Pfade in der Registry setzen.

Für spezielle Keys, wie z.B. die NUM-Taste, kannst Du dann den Benutzern (vorzugsweise die Gruppe Authentifizierte Benutzer und NICHT Jeder) das Recht zum Ändern geben.

 

Dann sollte auch ein normaler Aufruf der .reg-Datei durch den Benutzer funktionieren.

 

Gruß

Andre aka Operator

[coolsuper 10]

Alternativ würde es auch reichen in den Computerrichtlinien den Domänenusern auf den Domänencomputern Hauptbenutzerrechnte zu geben.

 

Wo der genaue Pfad ist weis ich momentan nicht.