michel0203 10 Posted January 27, 2006 Report Share Posted January 27, 2006 Hallo, ich möchte gerne über ein LogOn Script sowohl auf 2000er als auch auf XP Clients einen Eintrag in "Lokale Sicherheitseinstellungen/Zuweisen von Benutzerrechten" und dann "Annehmen der Clientidentität nach Authentifizierung". Hier soll per Script ein User hinzugefügt werden. Ist eine NT4 Domäne. Ich habe bereits von secedit gehört und nachgeschlagen, die Syntax ist mir aber noch nicht ganz geheuer. Das das Script im Kontext des Users abläuft ist klar, sollte aber funzen, da lokaler Admin. Meine Frage nun, wie gehe ich da am besten vor? Quote Link to comment
madspin 10 Posted January 27, 2006 Report Share Posted January 27, 2006 Ich würde mal vorschlagen einen Server mit Windows 2003 und Active Directory, dann kannst du alles steuern was du willst. Quote Link to comment
IThome 10 Posted January 27, 2006 Report Share Posted January 27, 2006 Du könntest Dir eine Sicherheitsvorlage mit dem MMC-Snapin "Sicherheitsvorlagen" erstellen und diese Vorlage mit secedit importieren SECEDIT /CONFIGURE / DB SECEDIT.SDB /CFG <Ort und Name der Vorlage> Quote Link to comment
grizzly999 11 Posted January 27, 2006 Report Share Posted January 27, 2006 Ich würde mal vorschlagen einen Server mit Windows 2003 und Active Directory, dann kannst du alles steuern was du willst. Sorry, das ist sehr hilfreich ... :rolleyes: Zusatz zu IThome: den Parameter /overwrite würde ich auch noch mit übergeben, falls man den gleichen Befehl mit unterschiedlichen Vorlagen testet, damit nicht Leichen von alten inf-Dateien in einer möglichen vorhenanden sdb-Datei mitschleppt. Der /overwrite leert zuerst die sdb-Datei. grizzly999 Quote Link to comment
michel0203 10 Posted January 28, 2006 Author Report Share Posted January 28, 2006 Danke, bringe das nochmal auf den Punkt. Also, ich lege mir mit ner mmc ne eigene, sagen wir, da "hasse.inf", an. Worin besteht der Unterschied zwischen compatws, hisec.dc, hisecws, rootsec, securedc,securews und secur security? Welche ist am besten geeignet für eine individuelle Vorlage, wie ich sie brauche? ...oder anders gefragt, welche inf entspricht der XP Default Umgebung? Werde es am Montag auf der Arbeit dann mal testen und die Ergebnisse posten. Der Tip mit der 2003er AD Domäne war echt super, ich kaufe mir auch einen Neuwagen wenn der Aschenbecher voll ist :) .... obwohl natürlich was dran ist, aber eine unternehmensweite Migration ist schließlich keine Hauruckaktion. Michel Quote Link to comment
IThome 10 Posted January 28, 2006 Report Share Posted January 28, 2006 Die Setup Security.inf ist die Vorlage, die den Einstellungen direkt nach der Installation entspricht. Rootsec.inf definiert die NTFS-Berechtigungen des Root-Laufwerkes, Hisecws.inf und Hisecdc.inf enthalten diverse Einstellungen, um ein entsprechendes Gerät abzuschotten. securedc und securews sind weniger radikal aber sicherer als Standard eingestellt, compatws hat eine sehr geringe Sicherheitsstufe. Du kannst Dir eine neue, leere Vorlage erstellen, einstellen und diese dann importieren ... Quote Link to comment
Gadget 37 Posted January 28, 2006 Report Share Posted January 28, 2006 Hi Michel, Worin besteht der Unterschied zwischen compatws, hisec.dc, hisecws, rootsec, securedc,securews und secur security? hier findest du eine Erklärung zu den einzelnen Vorlagen die du als Konfigurationsvorschlag von MSFT sehen kannst: Predefined security templates http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sag_scewhatis.mspx http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sag_scedefaultpols.mspx Hier noch mehr Info zu den Sicherheitsvorlagen: http://www.windowsecurity.com/articles/Baselining-Security-Templates.html http://www.windowsecurity.com/articles/Understanding-Windows-Security-Templates.html http://www.windowsecurity.com/articles/Customizing-Windows-Security-Templates.html LG Gadget Quote Link to comment
IThome 10 Posted January 28, 2006 Report Share Posted January 28, 2006 @Kohn Woher zauberst Du sowas immer so schnell her ? ;) Quote Link to comment
Gadget 37 Posted January 28, 2006 Report Share Posted January 28, 2006 @KohnWoher zauberst Du sowas immer so schnell her ? ;) Off-Topic:ich suche nur englisch über http://www.google.com/microsoft u. kenne die guten Seiten..nach sehr langer Übung jetzt recht gut... u. ne strukturierte Link-Datenbank hilft natürlich auch ... Quote Link to comment
IThome 10 Posted January 28, 2006 Report Share Posted January 28, 2006 Off-Topic:Hehe, ne Linksammlung habe ich auch, aber strukturiert kann man die nicht gerade nennen (die ist glaube ich 300m lang) :D Quote Link to comment
michel0203 10 Posted January 31, 2006 Author Report Share Posted January 31, 2006 So, habe jetzt mal begonnen bei einem Rechner, der mir momentan als Schablone dient, zu exportieren:secedit /export /DB %windir%\security\Database\secedit.sdb /mergedpolicy /cfg C:\WINDOWS\security\templates\test.inf Was mich stutzig macht isr das Ergebnis, die test.inf ist 1kb groß und in dem log steht irgendwie gar nichts. Quote Link to comment
michel0203 10 Posted January 31, 2006 Author Report Share Posted January 31, 2006 Nachdem in nun via: secedit /export /DB %windir%\security\Database\secedit.sdb /mergedpolicy /cfg C:\WINDOWS\security\templates\test.inf .... exportiert habe, versuche ich nun via: secedit /import /db %windir%\security\database\secedit.sdb /cfg %windir%\security\templates\test.inf /overwrite .... zu importieren, das klapt aber nicht, die Hilfe klappt auf und thats it. Quote Link to comment
IThome 10 Posted January 31, 2006 Report Share Posted January 31, 2006 Nur secedit.sdb, ohne Pfadangabe ... Quote Link to comment
michel0203 10 Posted January 31, 2006 Author Report Share Posted January 31, 2006 Ne, Pfadangabe isset nicht, geht auch ohne nicht. Quote Link to comment
IThome 10 Posted January 31, 2006 Report Share Posted January 31, 2006 Mit welchem Betriebssystem führst Du diese Befehle aus ? Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.