ich m�chte auf unseren Schulclients das Ausf�hren bestimmter Dateien in
betimmten Ordnern verhindern.
Habe lokal auf einem Client entsprechende Pfadregeln erstellt, funktioniert
sehr gut.
Nun suche ich nach einer M�glichkeit, diese Regeln per Script auf die
weiteren 230 PC's zu bekommen.
Hat da jemand Ideen?
Clients mit XP pro SP3, Server Debian Linux (Samba), also kein AD
Besten Dank schon mal, Otto Klein
Am 07.11.2009 07:46, schrieb Otto Klein:
> Habe lokal auf einem Client entsprechende Pfadregeln erstellt, funktioniert
> sehr gut.
> Nun suche ich nach einer Mᅵglichkeit, diese Regeln per Script auf die
> weiteren 230 PC's zu bekommen.
Nicht Script, sondern GPO.
-> Dateisystem!
http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm
http://www.gruppenrichtlinien.de/HowTo/Erste_Schritte_zum_erstellen_einer_Gruppenrichtlinie.htm
Tschᅵ
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy
Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate
Kein AD, keine GPO. ;-) Auszug aus dem OP:
| Clients mit XP pro SP3, Server Debian Linux (Samba), also kein AD
Servus
Winfried
--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: www.gruppenrichtlinien.de
Gruppenrichtlinien Mailingliste "gpupdate":
http://frickelsoft.net/cms/index.php?page=mailingliste
Wir arbeiten hier mit poledit f�r die Richtlinien.
Kenne keinen Eintrag f�r die ADM wo ich die Pfadregel imlementieren
k�nnte...
Tip hierzu?
Gru�
Otto
"Mark Heitbrink [MVP]" <spam...@gruppenrichtlinien.de> schrieb im
Newsbeitrag news:uUq$iC5XKH...@TK2MSFTNGP04.phx.gbl...
> Hi,
>
> Am 07.11.2009 07:46, schrieb Otto Klein:
>> Habe lokal auf einem Client entsprechende Pfadregeln erstellt,
>> funktioniert
>> sehr gut.
>> Nun suche ich nach einer M�glichkeit, diese Regeln per Script auf die
>> weiteren 230 PC's zu bekommen.
>
> Nicht Script, sondern GPO.
>
> -> Dateisystem!
> http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm
> http://www.gruppenrichtlinien.de/HowTo/Erste_Schritte_zum_erstellen_einer_Gruppenrichtlinie.htm
>
> Tsch�
Am 07.11.2009 11:40, schrieb Otto Klein:
> GPO? LINUX !
Selber schuld.
2008 Foundation kaufen.
> Wir arbeiten hier mit poledit fᅵr die Richtlinien.
Oh Gottes Armut ...
> Kenne keinen Eintrag fᅵr die ADM wo ich die Pfadregel imlementieren
> kᅵnnte...
Logisch, ist ja auch nur Registry und nicht Filesystem.
> Tip hierzu?
Per Hand und xcacls oder secedit mit Template, was aber immer auf
Turnschuhadministration rauslᅵuft.
Da du nicht mal Login Scripte als Benutzer ausfᅵhren kannst, die
Berechtigungen setzen, da du an den fehledn Rechten scheitern wirst.
Ihr wollt eure Client richtig verwalten? Kauft nen Server, der AD
kann und nutzt den Linux Server fᅵr das was er kann.
Tschᅵ
--
Andy Wendel
Senior Trainer & Consultant
Traicen GmbH
http://www.traicen.com
Wenn ich es schon auf meiner Seite habe, sollte ich es wenigstens
mal wieder nennen:
http://www.gruppenrichtlinien.de/Software/4.Analytiq_Nitrobit.htm
-> http://www.nitrobit.de/grouppolicy.html
Tschᅵ
"Andy Wendel" <andy....@traicen.com> schrieb im Newsbeitrag
news:26b64af4bead8...@news.microsoft.com...
Am 02.12.2009 23:47, schrieb Otto Klein:
> Tja, was lange wᅵhrt....
> wer die Lᅵsung will, mail mich an!
Was ist denn jetzt an der Erstellung einer INF Datei mit dem
MMC SnapIn "Sicherheitsvorlagen", das dann per secedit und
psexec ᅵbergeben werden kann so ein Geheimnis?
http://www.gruppenrichtlinien.de/sec/secedit_in_der_CMD.htm
http://www.gruppenrichtlinien.de/sec/Eigenes_Security_Template.htm
Das hatte ich in meiner Antwort schon als Lᅵsung genannt.
Zu guter Letzt dann noch mit psexec arbeiten? Passwort liegt dann im
Klartext vor!
L�sungsvorschlag ist aber trotzdem gut. Nur f�r uns nicht praktikabel.
Hatte mich wohl auch nicht so richtig ausgedr�ckt, sorry!
Wir haben es mit einem Dienst gel�st, welcher entsprechende "Antwortdaten"
ausliest. Dadurch keine Passworte n�tig und �nderungen auch zur Laufzeit
m�glich.
Gru�
Otto
"Mark Heitbrink [MVP]" <spam...@gruppenrichtlinien.de> schrieb im
Newsbeitrag news:4B1A1A85...@gruppenrichtlinien.de...
> Hi,
>
> Am 02.12.2009 23:47, schrieb Otto Klein:
>> Tja, was lange w�hrt....
>> wer die L�sung will, mail mich an!
>
> Was ist denn jetzt an der Erstellung einer INF Datei mit dem
> MMC SnapIn "Sicherheitsvorlagen", das dann per secedit und
> psexec �bergeben werden kann so ein Geheimnis?
>
> http://www.gruppenrichtlinien.de/sec/secedit_in_der_CMD.htm
> http://www.gruppenrichtlinien.de/sec/Eigenes_Security_Template.htm
>
> Das hatte ich in meiner Antwort schon als L�sung genannt.
>
> Tsch�
Am 08.12.2009 05:28, schrieb Otto Klein:
> Nur relativ umstᅵndlich da wir, wie gesagt, keinen Windows Server einsetzen.
... wie alles, was ihr verwalten wollt ohne AD ... ;-)
> Auch, hatte ich noch nicht erwᅵhnt, arbeiten wir mit Clients unter 2000 und
> XP. Hier geht's dann schon los:
> secedit (2000), gpupdate (XP). Muss ja irgendwie unterschieden werden,
> relativ komplex. Anlegen einer Datenbank...
Kleine Korrektur, du verwechselst das "manuelle Anstossen einer GPO
Aktualisierung" mit secedit.exe und der CMD
Die INF Dateien, die letztlich eine "offline" Version der GPO-CSE-
Security sind kᅵnnen in beiden OS per secedit ᅵbergeben werden.
das hat nichts mit secedit/gpupdate zu tun, secedit.exe fᅵr die
Konfiguration gab es schon in NT4.
> Zu guter Letzt dann noch mit psexec arbeiten? Passwort liegt dann im
> Klartext vor!
Du initiierst es ja an deiner Adminkiste und nicht als Task, das ist ja
der Trick an psexcec und an deinem System solltest du dich schon sicher
fᅵhlen, zudem musst du das Kennwort nicht ᅵbergeben, wenn du e3ine NT4
artige Domᅵne hast und den Domᅵnen Admin nimmst, denn dessen Anmeldung
wird durchgereicht, ohne Notwendigkeit das PW zu hinterlegen.
> Wir haben es mit einem Dienst gelᅵst, welcher entsprechende "Antwortdaten"
> ausliest. Dadurch keine Passworte nᅵtig und ᅵnderungen auch zur Laufzeit
> mᅵglich.
Das Problem: Der Dienst muss auf jedem Rechner hinterlegt werden, aber
ich finde die Idee mit dem Dienst geil, denn das ist "pauschal" und
tuts immer.
Ich stelle mir gerade vor, daᅵ der Dienst zB bei jedem Start
"schlagmich.bat" ausfᅵhrt. Fertig, mehr Konfiguration auf dem Client
braucht man nicht.
In die Batch packe ich mein secedit, meine anderen copy befehle und div.
andere Sachen. Das ist ne coole "gebastelte" Zentralisierung.
Die Batch verwalte ich an einer Stelle fᅵr alle und kann im Script
ᅵber div. "if" Abfragen gesteuert werden, mit runonce und Datumsabhᅵngig
etc.
Deine Lᅵsung ist IMO besser, als meine mit psexec, denn psexec ist
eigentlich nur fᅵr den "runonce" Aufruf. Dein Dienst macht wesentlich
mehr Arbeit im Vorfeld, ist aber danach die elegantere Lᅵsung.
Die Arbeit im Vorfeld muss man dann in der Installation des Clients
schon hinterlegen und alles andere geht von allein.
Vor allem: Dein Dienst scheitert nicht an Berechtigungen, wenn er im
Adminkontext lᅵuft.
Kᅵnnte ich mir glatt als HowTo auf meiner Seite vorstellen ... darf ich
die Idee mit der Integration des Dienstes klauen?
Hast du mit instsrv/srvany gearbeitet oder den Dienst mit sc.exe
angelegt?
Tschᅵ