Teil 5 - Erstellen und Verknüpfen eines Login-Skripts, Setzen von lokalen Berechtigungen, DHCP-Reservierungen für die Clients, Erstellen und Verknüpfen eines Login-Skripts
Dieser Teil beginnt mit der Erstellung eines einfachen Login-Skripts, welches bei der Anmeldung eines Users den Laufwerksbuchstaben S: mit der Freigabe DATA auf dem Server verbindet.
Dazu öffnen wir auf dem Server den Explorer, navigieren zum Ordner NETLOGON und erstellen dort eine neue Textdatei namens login.bat.
Achtet darauf, dass ihr unter Ordneroptionen den Haken bei "Erweiterungen bei bekannten Dateitypen ausblenden" entfernt habt, sonst heißt euer Skript login.bat.txt und wird nicht funktionieren.
Das Skript selbst ist sehr einfach:
Inhalt des Scripts |
Nach dem Speichern des Skripts gilt es nun, dieses den Usern zuzuordnen, dazu gibt es zwei Wege: Der "klassische" Weg - der denjenigen, die mal mit NT gearbeitet haben, bekannt sein dürfte - ist der, das Skript bei jedem User einzeln in den Eigenschaften des Kontos einzutragen. Das geht mittels des SnapIns "Active Directory Benutzer- und Computer" => Doppelklick auf das User-Konto => Registerkarte "Profil".
Script im Profil zuweisen |
Bei einer Hand voll User ist das sicherlich nicht das Problem, aber es geht auch geschickter, indem man das Login-Skript via Gruppenrichtlinie einbindet. Dazu starten wir die GPMC und erstellen uns ein neues GPO mit dem Namen Loginskript.
Dieses neue GPO klicken wir mit der rechten Maustaste an, wählen "Bearbeiten" und navigieren zu Benutzerkonfiguration => Windows-Einstellungen => Skripts (Anmelden/Abmelden).
Durch einen Doppelklick auf "Anmelden" öffnet sich der Dialog "Eigenschaften von Anmelden".
Script über Gruppenrichtlinie zuweisen |
Hier klicken wir nun auf "Hinzufügen", dann auf "Durchsuchen" und navigieren in den Ordner NETLOGON (das geht am besten über Netzwerkumgebung => Gesamtes Netzwerk => Microsoft Windows-Netzwerk => MyDomain => Testserver => NETLOGON oder durch direkt Eingabe von \TestserverNETLOGON).
Script über Gruppenrichtlinie zuweisen |
Nun bestätigen wir noch alle Dialoge mit OK und voilà, die login.bat ist eingebunden. Wir schließen nun den Gruppenrichtlinien-Editor und verknüpfen das neue GPO via Drag&Drop mit unserer Domain (wie in Teil 4 für das GPO Ordnerumleitung beschrieben).
Hinweise:
Verwendet niemals beide Methoden gleichzeitig, das führt zwangsläufig zu Problemen. Ich nutze aufgrund der einfacheren Verteilung an die User mittlerweile nur noch die Variante über die Gruppenrichtlinien.
Das Login-Skript ist sehr einfach gehalten, man kann mit Login-Skripts selbstverständlich wesentlich mehr machen. Schaut doch einfach mal in die Skriptsammlung des WinTotal-Softwarearchivs.
Setzen von lokalen Berechtigungen
Kommen wir nun zum Setzen von lokalen Berechtigungen:
Per default werden Domänen-Benutzer auf den Clients, an denen sie sich anmelden, in der (lokalen) Gruppe Benutzer geführt, d.h. sie dürfen erstmal fast gar nichts, außer mit den vom Administrator bereitgestellten Anwendungen arbeiten.
Nun mag es aber Sinn machen, dass z.B. der Administrator selbst an jedem Rechner im Netz lokale Adminrechte haben möchte, OHNE sich dafür als Domänen-Administrator anzumelden - einfach mit seiner "normalen" Benutzeranmeldung.
Auch hier gibt es wieder zwei Wege, dies zu erreichen: einen "manuellen" Weg über die Computerverwaltung und einen via Gruppenrichtlinie. Da der Weg via Gruppenrichtlinie nicht mehr ganz trivial ist und eine Fehlkonfiguration bzw. eine nicht vollständige Übernahme der GPOs durch die Clients dazu führen kann, dass dann gar nichts mehr geht, werde ich diesen Weg hier nicht näher erläutern.
Für eine Hand voll Rechner ist der Weg über die Computerverwaltung durchaus brauchbar, zumal man damit dann noch mehr machen kann, als nur Berechtigungen zu setzen.
Um via Netzwerk die anderen Rechner direkt zu administrieren, müssen diese natürlich eingeschaltet sein; ein Benutzer hingegen muss nicht angemeldet sein.
Wir starten auf dem Server die Computerverwaltung (Start => Verwaltung => Computerverwaltung), klicken mit der rechten Maustaste auf den obersten Eintrag "Computerverwaltung (Lokal)" und wählen "Verbindung mit einem anderen Computer herstellen". Hier geben wir nun den Namen des zu administrierenden Rechners ein.
Computerverwaltung, anderer Computer |
Nach Klick auf OK erscheint nach kurzer Zeit die Computerverwaltungs-Konsole des remoten Rechners.
Computerverwaltung, anderer Computer |
Hier navigieren wir zu System => Lokale Benutzer und Gruppen => Gruppen und machen einen Doppelklick auf die Gruppe Administratoren.
Gruppe Administratoren |
Nun fügen wir den gewünschten User der lokalen Gruppe Administratoren hinzu.
Gruppe Administratoren, hinzufügen |
Nach Bestätigung mit OK hat dieser User nun ab dem Zeitpunkt der nächsten Anmeldung an diesem Client Administrator-Rechte auf der Maschine.
Bedenkt bitte, dass es nicht immer gleich Admin-Rechte sein müssen, wenn z.B. eine Anwendung unter einem normalen Benutzerkonto nicht funktioniert - hier kann u.U. schon das Hinzufügen des Benutzers zur Gruppe "Hauptbenutzer" Abhilfe schaffen.
DHCP-Reservierungen für die Clients
Wenden wir uns nun dem letzten Abschnitt dieses Teils zu, den DHCP-Reservierungen. Was ist das eigentlich, eine DHCP-Reservierung, und welchen Sinn macht sie?
Wie in Teil 3 erläutert, erhalten die Clients in unserem Netz ihre IP-Adressen automatisch vom Server bzw. von dessen DHCP-Server zugeteilt. Ist eine Lease abgelaufen, fordert der Client eine neue Lease an und erhält somit entweder dieselbe IP-Adresse wieder oder eben eine andere aus dem definierten Bereich. Kurz gesagt: Der Client kann heute unter einer anderen IP-Adresse erreichbar sein, als er das gestern war.
Die eigentliche Funktionalität des Netzwerks bleibt davon unberührt, aber wer z.B. auf seinem Router ein Port-Forwarding für bestimmte Dienste eingerichtet hat, dem dürfte genau dieser Umstand der wechselnden IP-Adressen missfallen.
Genau hier setzen die DHCP-Reservierungen an:
Mit ihrer Hilfe erhält der Client nach wie vor via DHCP seine IP-Adresse, aber immer dieselbe, da der Server den Client anhand der MAC-Adresse seiner Netzwerkkarte erkennt und für ihn die definierte IP-Adresse reserviert, sie also nur diesem einen Client zuweist.
Zum Einrichten der Reservierungen öffnen wir auf dem Server über Start => Verwaltung => DHCP die entsprechende Konsole und navigieren zu "Adressleases".
DHCP |
Hier sehen wir, dass der Rechner "Testpc" die IP-Adresse 192.168.1.110 aus dem von uns definierten Adresspool erhalten hat und damit im Netzwerk erreichbar ist. Wir möchten diesem Rechner nun aber die IP-Adresse 192.168.1.80 zuordnen und müssen dafür eine Reservierung erstellen. Die IP-Adressen, die für die Reservierungen verwendet werden, dürfen NICHT aus dem Adresspool stammen!
Das Ermitteln der MAC-Adresse dieses Rechners ist recht einfach, wir öffnen auf dem Server eine Kommandozeile und pingen den Rechner an.
Ping zur IP |
Nach dem Pingen führen wir in derselben Kommandozeile ein arp -a durch; der etwas kryptisch aussehende Teil unterhalb "Physikal. Adresse" ist die MAC-Adresse.
MAC-Adresse über arp -a |
Diese MAC-Adresse kopieren wir uns in die Zwischenablage (bei gedrückter linker Maustaste markieren und dann Enter drücken) und wechseln in die DHCP-Konsole. Hier führen wir einen Rechtsklick auf "Reservierungen" aus und wählen "Neue Reservierung" aus.
Den Dialog "Neue Reservierung" füttern wir mit den benötigten Daten, die MAC-Adresse fügen wir mittels [STRG]+[V] in das Feld MAC-Adresse ein und wählen bei "Unterstützte Typen" hier "Nur DHCP" aus.
Reservierung über MAC-Adresse |
Nach Klicken von OK sollte das in etwa so aussehen:
Reservierung über MAC-Adresse |
Damit bekommt unser Client "TestPC" von nun an immer die IP-Adresse 192.168.1.80 zugeordnet und ist somit auch immer unter diese IP-Adresse erreichbar. Noch allerdings verwendet der Client die aus dem Adresspool zugewiesene IP-Adresse.
Das ändert sich spätestens nach einem Reboot, kann aber auf dem Client auch durch ipconfig /release bzw. /renew an der Konsole erreicht werden.
Lösen der IP |
Neue IP |
In der DHCP-Konsole stellt sich das dann so dar.
Dieses Vorgehen müsst ihr für jeden Client im Netz, der via DHCP immer dieselbe IP-Adresse erhalten soll, wiederholen. Um die MAC-Adressen mehrerer Rechner auf einmal herauszufinden, könnt ihr auch das kleine Skript GetMac verwenden.
Teil 6 wird sich ausschließlich mit dem Thema Software Update Services (SUS) beschäftigen, also einer Möglichkeit, alle Rechner im Netz (ab Win2000 aufwärts) automatisch mit den wichtigsten Updates zu versorgen, wobei der Download aus dem Internet nur einmal auf dem Server erfolgt und die Clients sich die Updates dann lokal vom Server ziehen.