Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

 << zurück
Integrationshandbuch Microsoft-Netzwerk von Ulrich Schlüter
Windows Server 2003 R2, SBS 2003, ADS, Exchange Server, Windows XP und Microsoft Office
Buch: Integrationshandbuch Microsoft-Netzwerk

Integrationshandbuch Microsoft-Netzwerk
1.008 S., mit CD, 69,90 Euro
Galileo Computing
ISBN 3-89842-847-8

>>Jetzt bestellen!
gp Kapitel 15 Das Anmeldeskript
  gp 15.1 Das Anmeldeskript als »eierlegende Wollmilchsau« verwenden
  gp 15.2 Wo liegt das Anmeldeskript auf dem Domänencontroller?
  gp 15.3 Das Anmeldeskript strukturieren
  gp 15.4 Die Netlogon-Freigabe mit Unterverzeichnissen strukturieren
  gp 15.5 Ein Anmeldeskript einem Benutzer zuweisen
  gp 15.6 Ein Anmeldeskript einer Benutzergruppe zuweisen
  gp 15.7 Startskripte und Herunterfahrenskripte
  gp 15.8 Verhindern, dass das Anmeldeskript versehentlich auf einem Server oder unter der Kennung eines Domänen-Administrators abläuft
  gp 15.9 Für eine Gruppe von Anwendern ein Gruppenlaufwerk definieren
  gp 15.10 Exkurs zum Verständnis des Befehls
»if errorlevel Zahl«
  gp 15.11 Die Variable LOGONSERVER verwenden
  gp 15.12 Die Möglichkeiten der Gruppenverschachtelung nutzen
  gp 15.13 Laufwerkszuordnungen für Unterabteilungen einrichten
  gp 15.14 Der Befehl »subst« als Alternative zu Freigaben
  gp 15.15 Den Ablauf des Anmeldeskriptes beschleunigen
  gp 15.16 Unterroutinen einsetzen
  gp 15.17 Skripte mit dem Tool Kix32 rasend schnell machen
  gp 15.18 Switch User nutzen, um mit beliebigen Rechten zu operieren
  gp 15.19 Beispiele für die Anwendung von SU
  gp 15.20 Psexec als Alternative zu Runas, SU oder MakeMeAdmin
  gp 15.21 Ein zentrales Verzeichnis für temporäre Dateien anlegen
  gp 15.22 Umgebungsvariable setzen
  gp 15.23 Netzdrucker zentral den Clients oder Benutzern zuweisen
  gp 15.24 Informationen über den Computer oder den angemeldeten Benutzer auf dem Bildschirm anzeigen
  gp 15.25 BGInfo von www.sysinternals.com
  gp 15.26 Verknüpfungen mit dem Tool SHORTCUT.EXE generieren
  gp 15.27 Hardware- und Softwareinformationen in einer zentralen Serverfreigabe sammeln
  gp 15.28 MSINFO32 inventarisiert Ihre Computer
  gp 15.29 Einen Nachrichtentext bei der Anmeldung anzeigen
  gp 15.30 Zugriff auf Programme zum Bearbeiten der Registrierung verhindern
  gp 15.31 Ein vollständiges Beispielskript für unsere Organisation »Company.local«
    gp 15.31.1 Anmeldeskript für den Small Business Server
  gp 15.32 Visual-Basic-Skripte verwenden


Galileo Computing

15.19 Beispiele für die Anwendung von SU  toptop

Im Unterverzeichnis NETLOGON\REG der Buch-DVD finden Sie die Datei ArbeitsplatzUmbenennen.reg, die drei Schlüssel unter HKEY_CLASSES_ROOT\CLSID\{20D04FE0 – 3AEA-1069-A2D8 – 08002B30309D} so umändert, dass das Desktopsymbol Arbeitsplatz anschließend nicht mehr die Bezeichnung »Arbeitsplatz«, sondern den Namen des aktuell angemeldeten Anwenders und dahinter den Namen des PCs trägt, z.B. »Testuser an PC0001«.

Die Datei MachineTempPath.reg verändert im Registry-Pfad HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Environment die beiden Variablen Temp und Tmp derart, dass sie zukünftig nicht mehr auf %SystemRoot\Temp verweisen, sondern auf C:\Temp.

Die Datei NoDebugFile.reg ändert unter [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl] den Wert des Schlüssels CrashDumpEnabled in 0 ab, so dass bei einem Absturz des Rechners kein Speicherabbild mehr erzeugt wird.

Die Datei WheelMouseErkennen.reg erzeugt unter HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\i8042prt\Parameters den Schlüssel EnableWheelDetection«=dword:1, wodurch eine Maus mit Rad zukünftig automatisch erkannt wird.

Alle diese Änderungen kann ein normaler Benutzer nicht durchführen, da er im Maschinenteil der Registrierdatenbank keine Änderungen vornehmen kann. Mit dem erzeugten Tool intel.exe sind derartige Manipulationen nun möglich.

Legen Sie eine Routine hlm1.cmd unter netlogon\batch mit folgendem Inhalt an. Sie finden hlm1.cmd auch auf der DVD:

@echo off
cls
if exist c:\temp\NUL goto TEMPOKAY
md c:\temp > NUL
%LOGONSERVER%\netlogon\util\xcacls.exe c:\temp /e /g Benutzer:wc /y
regedit /s %LOGONSERVER%\netlogon\reg\MachineTemp.reg
:TEMPOKAY
regedit.exe /s %LOGONSERVER%\netlogon\reg\ArbeitsplatzUmbenennen.reg
regedit.exe /s %LOGONSERVER%\netlogon\reg\NoDebugFile.reg
regedit.exe /s %LOGONSERVER%\netlogon\reg\WheelMouseErkennen.reg

Diese Routine erzeugt das Verzeichnis C:\Temp, falls es noch nicht existiert, und erteilt der lokalen Gruppe Benutzer die zusätzlichen Rechte Schreiben, Ändern und Löschen. Danach werden die oben genannten Änderungen im Schlüssel HKEY_LOCAL_MACHINE der Registrierdatenbank vorgenommen. Der Parameter /s hinter dem Befehl regedit.exe bewirkt, dass der Regedit-Befehl im »Silent-Mode«, d.  h. ohne Aufforderung zur Bestätigung durchgeführt wird. Ohne diesen Parameter würden zwei Fenster erscheinen und der Anwender müsste bestätigen, dass die jeweilige reg-Datei importiert werden soll.

Aktivieren Sie als Anmeldeskript für die Kennung Testuser das nachfolgende Skript intel1.cmd. Es startet die Unterroutine NETLOGON\batch\hlm1.cmd:

@echo off
cls
echo Anmeldung an der Domaene %USERDNSDOMAIN%
c:
net use L: /d > NUL: 2>&1
net use L: %LOGONSERVER%\netlogon > NUL: 2>&1
L:\util\intel.exe %LOGONSERVER%\netlogon\batch\hlm1.cmd

Beachten Sie, dass das erzeugte Tool intel.exe aus dem Verzeichnis L:\util aufgerufen wird, der übergebene Parameter jedoch %LOGONSERVER%\netlogon\batch\hlm1.cmd und nicht etwa L:\batch\hlm1.cmd lauten muss. Warum? Sobald mittels SU in den Kontext der Kennung Intel gewechselt wurde, ist die Laufwerkszuweisung net use L: %LOGONSERVER%\netlogon nicht mehr gültig und damit würde die Routine L:\batch\hlm1.cmd nicht gefunden. Denn die Laufwerkszuweisung L: gilt nur für den sich gerade anmeldenden Anwender, nicht aber für die Kennung Intel, die mittels SU aktiviert wird. Würde hier stattdessen die Zeile L:\util\intel.exe L:\batch\hlm1.cmd stehen, so erhielten Sie die Fehlermeldung CreateProcessAsUser error! (rc=3).

Die Unterroutine hlm1.cmd wird somit nicht mit den Rechten des sich anmeldenden Anwenders durchgeführt, sondern mit den Rechten der Kennung Intel, also mit administrativen Rechten. Da die Routine hlm1.cmd Änderungen am Zweig HKEY-LOCAL-MACHINE vornimmt, werden diese Änderungen eventuell erst wirksam, wenn der Computer neu gestartet und dieser Zweig in der Registrierdatenbank neu ausgelesen wird.

Durch das Aktivieren der Gruppenrichtlinie Zugriff auf Programme zum Bearbeiten der Registrierung verhindern unter Benutzerkonfiguration · Administrative Vorlagen · System können Sie übrigens verhindern, dass ein Anwender ein Registry-Tool wie regedit.exe überhaupt starten kann. Die Sonderkennung Intel sollte deshalb nicht in einer OU liegen, für die die Verwendung von regedit mit einer Gruppenrichtlinie verboten ist. Sie können jedoch alle benötigten Manipulationen an der Registrierdatenbank auch mittels eines Kix-Skriptes vornehmen. Kix-Befehle wie ADDKey, WriteValue, DelKey, DelTree oder DelValue funktionieren aus einem Anmeldeskript heraus auch dann, wenn die Gruppenrichtlinie Zugriff auf Programme zum Bearbeiten der Registrierung verhindern aktiviert ist.

Zum Lieferumfang von Windows XP gehören aber auch die Tools regini.exe und reg.exe. Beide Tools werden bei der Installation in das Verzeichnis c:\windows\system32 eingespielt. Beide finden Sie übrigens auch im Windows Server Resource Kit und dort sind sie und viele weitere Registrierdatenbank-Tools in ihrer Funktionsweise ausführlich beschrieben. Zu regini.exe finden Sie dort eine regini.doc. Die Parameter des Tools reg.exe erhalten Sie über den Befehl reg.exe /? > c:\reg.txt.

Verzeichnis- und Dateirechte können Sie mit den Tools Xcacls und SubInACL beliebig setzen. Informationen zu diesen Tools finden Sie auf der Buch-DVD.

 << zurück
  
  Zum Katalog
Zum Katalog: Integrationshandbuch Microsoft-Netzwerk
Integrationshandbuch Microsoft-Netzwerk
Jetzt bestellen!
 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchtipps
Zum Katalog: Konzepte und Lösungen für Microsoft-Netzwerke






 Konzepte und Lösungen
 für Microsoft-Netzwerke


Zum Katalog: Windows Server Longhorn






 Windows Server
 Longhorn


Zum Katalog: Small Business Server 2003 R2






 Small Business
 Server 2003 R2


Zum Katalog: SharePoint Portal Server 2003 und Windows SharePoint Services






 SharePoint Portal Server
 2003 und Windows
 SharePoint Services


Zum Katalog: Exchange Server 2003 und Live Communications Server






 Exchange Server 2003
 Live Communications
 Server


Zum Katalog: Praxisbuch Netzwerk-Sicherheit






 Praxisbuch
 Netzwerk-Sicherheit


Zum Katalog: VMware und Microsoft Virtual Server






 VMware und
 Microsoft Virtual Server


Zum Katalog: VMware Server und VMware Player






 VMware Server und
 VMware Player


Zum Katalog: Citrix Presentation <br /> Server 4






 Citrix Presentation
 Server 4


Zum Katalog: ITIL






 ITIL


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo





Copyright © Galileo Press 2006
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Galileo Computing]

Galileo Press, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, info@galileo-press.de