none
Logon script na pridanie domenoveho uzivatela ako lokalneho admina

    Dotaz

  • Dobry den,

    mam na vas prosbu. Snazim vytvorit logon script, ktory by aktualne logovaneho domenoveho uzivatela na stanicu pridal do skupiny lokalnych administratorov.

    Na nete som nasiel mnoho scriptov, ale ani jeden nepriniesol kyzene ovocie a to ani v pripade, ze som to dal pod Computers a teda SYSTEM uctom. Nechcem to riesit cez restricted groups.

    Idea fungovania je taka, ze by sa to distribuovalo cez GPo. Zalogoval by som sa najprv nejakym inym uctom, ktory by aktualizoval GPo a script. Nasledne by sa zalogoval dany uzivatel na svoju stanicu a stal by sa lokalnym adminom. Na ADUC konzole by som nasledne nastavil, aby sa uzivatel mohol logovat len do svojej stanice a nikam inam.

    Viem, ze urobit domain uzivatela lokalnym adminom nesie so sebou riziko, ale mam svoje dovody :)

    Mozete mi prosim poradit ten spravny script? Velmi pekne dakujem...

    Arnie

    čtvrtek 17. února 2011 12:02

Odpovědi

  • Pouzival jsem v minulosti pridani uzivatelu do skupiny, ktera mela pravo provadet debug. Muzete si predpis upravit podle Vaseho systemu

    net localgroup "Debugger Users" ggInsiders /ADD

    Zde je"Debugger Users" lokalni skupina na pocitaci, vy zde dosadite "Aministrators". Misto globalni domenove skupiny ggInsiders dosadite odpovidajici skupinu z vasi AD.

    Skript jsem nakopiroval do C:\temp a pomoci psexec ze Sysinternals na dalku spustil. Samozrejme to muzete udelat i lokalne po prihlaseni jako administrator.

    S pozdravem

    Milos Puchta

    čtvrtek 17. února 2011 12:59
    Vlastník

Všechny reakce

  • Pouzival jsem v minulosti pridani uzivatelu do skupiny, ktera mela pravo provadet debug. Muzete si predpis upravit podle Vaseho systemu

    net localgroup "Debugger Users" ggInsiders /ADD

    Zde je"Debugger Users" lokalni skupina na pocitaci, vy zde dosadite "Aministrators". Misto globalni domenove skupiny ggInsiders dosadite odpovidajici skupinu z vasi AD.

    Skript jsem nakopiroval do C:\temp a pomoci psexec ze Sysinternals na dalku spustil. Samozrejme to muzete udelat i lokalne po prihlaseni jako administrator.

    S pozdravem

    Milos Puchta

    čtvrtek 17. února 2011 12:59
    Vlastník
  • mam na vas prosbu. Snazim vytvorit logon script, ktory by aktualne logovaneho domenoveho uzivatela na stanicu pridal do skupiny lokalnych administratorov.

    DD, jenom upozornuji, ze klasicky logon script bezi pod pravy prihlasovaneho uzivatele a neni dost dobre mozne, aby se on sam povysil na admina. To by byla obrovska bezpecnostni dira. K tomu musite mit script, bezici pod dostatecne silnym uctem (napr. admina) spoustenym treba jako startup script.
    pátek 18. února 2011 1:34
  • Nastavovat v logonscriptu admin. prava uzivateli muze jen uzivatel ktery ma admin prava. Bootstrap paradox

    MP

    pátek 18. února 2011 9:58
    Vlastník
  • Dakujem velmi pekne, urcite to vyskusam.

    dakujem pekne. Toho som si vedomi a preto to chcem dat pod Computer Policy. V tom pripade to pouzije SYSTEM account, ktory tie prava na to ma.

     

    dakujem za odpoved. Ako som uviedol vyssie, da sa to obist pouzitim GPo a sekciu Computer Policy. V tom pripade to nebude problem.

     

    "Vtipne" je, ze ked do scriptu zadam natvrdo skupinu z Active Directory, tak to funguje. Akonahle si script ma zistit sam uzivatela, uz ma problem. To je to, s cim bojujem.

     

    Script vyzera takto:

     

    Const strComputer = "."

     

    Dim objNetwork, objGroup, objUser, strUsername

     

    Set objNetwork = WScript.CreateObject("WScript.Network")

    strUsername = objNetwork.UserDomain & "/" & objNetwork.UserName

    Set objGroup = GetObject("WinNT://" & strComputer & "/Administrators")

    Set objUser = GetObject("WinNT://" & strUserName)

     

    If (objGroup.IsMember(objUser.ADsPath) = False) Then 

    objGroup.Add(objUser.ADsPath)

    End If

     

    Toto vsak robi problemy :(

     

    pátek 18. února 2011 14:36
  • To vypada nejen jako problem "obouvaku" (abych nepouzival ciziho nazvu), ale co je drive, vejce nebo slepice.

    pátek 18. února 2011 15:03
    Vlastník
  • :)))

    Riesenim je prave kombinacia GPo v Computer Policy (aplikovanie scriptu zo strany domenoveho controlleru) a nasledny prvy login na stanici pod nejakym uctom, co uz admin je a moze stiahnut GPo. Potom je potrebny nasledny restart stanice a prihlasenie sa pod cielovym uzivatelom, ktoreho spravi dany script lokalnym adminom.

    Viem, ze to funguje, pretoze v byvalej firme sme to zaviedli. Byvali kolegovia su vsak tajnostkari :( :)

    Dakujem

    pátek 18. února 2011 19:44
  • No ale když je to v Computer Policy, tak to těžko může zjistit uživatele...
    pátek 18. února 2011 20:00
  • IMHO: Daleko schudnejsi cesta k cili je rici, jak by to melo fungovat bez toho, aby se specifikovaly nastroje. Existuji i jine nastroje, jak takovy manevry udelat. Obavam se, ze se zbytecne upiname k urcite ceste, o ktere tady duskutujici pochybuji (omlouvam se tem, kteri nepochybuji).
    pátek 18. února 2011 20:33
    Vlastník
  • Preco myslite?

    S tym rozhodne suhlasim. Moje dovody su jednak minimalizovanie pouzitia 3rd party aplikacii (aj ked to v principe az tak nevadi) a tiez by som tomu sposobu rad prisiel "na kloub".

    Samozrejme, neidem cez mrtvoly a velmi rad si od vas necham poradit. Ostatne, to je aj dovod, preco som tuto otazku polozil do plena.

    pátek 18. února 2011 21:57
  • Stale nemam tu spravnou informaci. Tomuhle nerozumim:" minimalizovanie pouzitia 3rd party aplikacii". Jak s tim souvisi pridelovani prav lokalniho admina beznym uzivatelum.
    sobota 19. února 2011 9:05
    Vlastník
  • S trochou jizlivosti to zni jako: chci vyvrtat diru do betonu. Chci to udelat redidlem firmy Microsoft, ne tim od lachemy.

    MP

    sobota 19. února 2011 9:21
    Vlastník
  • Arnolde, jsem jedno velke ucho a cekam na zadani bez nejakych vazeb, jak to nekdo nekde udelal.

    sobota 19. února 2011 12:12
    Vlastník
  • Mal som na mysli sw typu psexec a podobne.

    Suhlasim :))) Viem, ze som teraz za debila, ale ja to vazne nemyslim v zlom.


    Nie, to urcite nie... Snazim sa tomu prist na kloub.


    OK :) Skusim to od nich vydolovat. Snad uspejem :) Urcite Vas budem informovat.


    V kazdom pripade viem, ze je to riesenie priamo od Microsoftu. Bolo to vytvorene v ramci prechodu migracie na Active Directory.


    Ak by som sa nahodou neozyval, tak sa ospravedlnujem.

    sobota 19. února 2011 14:00
  • 1. Mozna  bude dobre, kdyz tuto diskusi uzavrete a az budete vedet, muzete otevrit novou diskusi.

    2. PSEXEC jsem navrhoval 17.2. Je to pouzivane reseni pro dalkovou spravu/udrzbu ale odhaduji, ze to nebude cesta kompatibilni s GPO.

    3. Nikdo si o vas nic spatneho nemysli, berte to jako vyzvu si udelat ve vecech jasno a najit si vlastni reseni. Nejvice se s tim naucite. Pokud na vas tlaci terminy, pak bude nejlepsi si v miste pusobeni sehnat odbornou podporu (to je take prilezitost se neco naucit)

    sobota 19. února 2011 15:46
    Vlastník
  • Arnolde, jsem jedno velke ucho a cekam na zadani bez nejakych vazeb, jak to nekdo nekde udelal.


    Redidlo, k tomu par kapek neceho na snizeni PH, trochu okyslicovadla - ne nadarmo ma tato vybusnina na konte nejvic mladych chemiku :(

    Ted uz vim ze na tu diru je fakt lepsi vrtacka

    MP

    sobota 19. února 2011 17:40
    Vlastník
  • 1. Znie to rozumne, preto som tak ucinil ;)

    2. Uplne nie, ale napriek tomu som to oznacil za riesenie a uvidime, co dalej.

    3. Ja to viem. A suhlasim s Vami. Ako uvadzam v bode 2. urobim, co sa bude dat a v pripade zaujmu Vas budem informovat.

    Tymto sa chcem vsetkym podakovat za vstupy.

    Arnie

    sobota 19. února 2011 23:35