none
請問遠端新增機碼 RRS feed

  • 問題

  • 請問我如果要一次在多台電腦新增一筆機碼
    但是我們公司的電腦都只有Domain users權限
    如果使用login script會執行失敗
    (例如我建立一個bat file,裡面執行regedit /s test.reg)
    我要如何才能讓user登入電腦時以管理者權限執行新增機碼呢?
    請大家給我具體的建議
    謝謝!!

    2006年11月17日 上午 03:37

解答

  • 使用群組原則的 Logon Script 變更用戶端電腦的 Registry Key,可由下列步驟完成,亦可達成您的目標;祝您成功:

    註:下列步驟的環境未安裝 GPMC,亦適用於安裝 GPMC 的環境,只是步驟會略有不同。

    1.      以具網域管理者權限的帳號登入任一部網域控制站(test.reg複製到此伺服器的桌面)

    2.      開啟Active Directory使用者及電腦

    3.      以滑鼠右鍵點名為「ClientPC」的OU,選內容(這個 OU 是放置要變更 Registry Key 的電腦帳號)。

    4.      點選群組原則頁面。

    5.      新物件按鈕,清單中將出現「新的群組原則物件」GPO,本例將它更名為Modify Registry Key

    6.      點選Modify Registry Key,按編輯按鈕。

    7.      電腦設定下展開Windows設定

    8.      點選指令碼-(啟動/關機),在其右側視窗以滑鼠雙擊啟動

    9.      啟動內容視窗中,按顯示檔案按鈕。

    10.  將桌面上的test.reg拖曳到第9步驟執行後所開啟的視窗內之後,關閉此視窗。

    11.  回到啟動內容視窗,按新增按鈕。

    12.  指令碼名稱欄位中鍵入regedit

    13.  指令碼參數欄位中鍵入 /s test.reg,按確定

    註:步驟1213執行後,相當於執行「regedit /s test.reg」的命令。

     

    14.  回到啟動內容視窗,確認先前設定的項目存在於清單中,按確定

    註:若清單中已有其他指令碼檔案,請考量這些檔案的執行順序,並以向上/向下按鈕調整執行順序。

    15.  關閉群組原則編輯器視窗。

    16.  回到ClientPC內容視窗,按關閉

    17.  關閉Active Directory使用者及電腦管理視窗。

    18.  開始執行,在開啟欄位中鍵入cmd

    19.  在視窗中鍵入「gpupdate /force,以強制更新群組原則設定。

    20.  執行完成後,關閉此視窗。

    21.  待此群組原則物件套用完成,並同步到所有網域控制站後,確認用戶端電腦下次登入後,Registry Key 會依 test.reg 的內容變更

    22.  此時可刪除網域控制站桌面上的test.reg檔案。

     

    2006年11月18日 上午 12:00

所有回覆

  • 您好:
    參考看看這篇文章的作法:「如何在批次檔裡使用 Runas 同時傳入密碼」合不合用,如果不合用,就考慮自行撰寫程式把管理者的帳號與密碼包起來,然後去做您要做的事情。
    2006年11月17日 上午 04:15
  • 用Group Policy中的電腦啟動指令檔而不是使用者登入指令檔,或是用Domain Admins執行reg add指令配合for指令及電腦名稱列表檔案遠端新增機碼。
    2006年11月17日 下午 07:44
  • 使用群組原則的 Logon Script 變更用戶端電腦的 Registry Key,可由下列步驟完成,亦可達成您的目標;祝您成功:

    註:下列步驟的環境未安裝 GPMC,亦適用於安裝 GPMC 的環境,只是步驟會略有不同。

    1.      以具網域管理者權限的帳號登入任一部網域控制站(test.reg複製到此伺服器的桌面)

    2.      開啟Active Directory使用者及電腦

    3.      以滑鼠右鍵點名為「ClientPC」的OU,選內容(這個 OU 是放置要變更 Registry Key 的電腦帳號)。

    4.      點選群組原則頁面。

    5.      新物件按鈕,清單中將出現「新的群組原則物件」GPO,本例將它更名為Modify Registry Key

    6.      點選Modify Registry Key,按編輯按鈕。

    7.      電腦設定下展開Windows設定

    8.      點選指令碼-(啟動/關機),在其右側視窗以滑鼠雙擊啟動

    9.      啟動內容視窗中,按顯示檔案按鈕。

    10.  將桌面上的test.reg拖曳到第9步驟執行後所開啟的視窗內之後,關閉此視窗。

    11.  回到啟動內容視窗,按新增按鈕。

    12.  指令碼名稱欄位中鍵入regedit

    13.  指令碼參數欄位中鍵入 /s test.reg,按確定

    註:步驟1213執行後,相當於執行「regedit /s test.reg」的命令。

     

    14.  回到啟動內容視窗,確認先前設定的項目存在於清單中,按確定

    註:若清單中已有其他指令碼檔案,請考量這些檔案的執行順序,並以向上/向下按鈕調整執行順序。

    15.  關閉群組原則編輯器視窗。

    16.  回到ClientPC內容視窗,按關閉

    17.  關閉Active Directory使用者及電腦管理視窗。

    18.  開始執行,在開啟欄位中鍵入cmd

    19.  在視窗中鍵入「gpupdate /force,以強制更新群組原則設定。

    20.  執行完成後,關閉此視窗。

    21.  待此群組原則物件套用完成,並同步到所有網域控制站後,確認用戶端電腦下次登入後,Registry Key 會依 test.reg 的內容變更

    22.  此時可刪除網域控制站桌面上的test.reg檔案。

     

    2006年11月18日 上午 12:00
  • Dear Harvey

    我依照你的步驟進行測試

    不過在第13點有出現問題

    我如果加上/s就會執行失敗

    沒加的話是可以執行成功

    只不過會出現詢問是否要登錄的視窗

    想請問這個問題有方法可解嗎?

    謝謝!!

    2006年11月18日 上午 08:00
  •  NewGuard 寫信:

    Dear Harvey

    我依照你的步驟進行測試

    不過在第13點有出現問題

    我如果加上/s就會執行失敗

    沒加的話是可以執行成功

    只不過會出現詢問是否要登錄的視窗

    想請問這個問題有方法可解嗎?

    謝謝!!

    這個 GPO 套用的對象是電腦帳號,若套用在使用者帳戶上,當該使用者帳戶為本機 Users 的成員,將因權限之故無法變更 Registry Key;所以請您:

    1. 以本機權限為 Administrators 成員的網域使用者帳戶登入用戶端電腦上執行 regedit /s test.reg,確認可以變更 Registry Key。
    2. 若還是不成功,請列出您看到的錯誤訊息,以及您套用此群組原則的環境(DC 的 OS 版本、套用電腦的 OS 版本)。
    2006年11月18日 上午 09:34
  •  Harvey Liang 寫信:
     NewGuard 寫信:

    Dear Harvey

    我依照你的步驟進行測試

    不過在第13點有出現問題

    我如果加上/s就會執行失敗

    沒加的話是可以執行成功

    只不過會出現詢問是否要登錄的視窗

    想請問這個問題有方法可解嗎?

    謝謝!!

    這個 GPO 套用的對象是電腦帳號,若套用在使用者帳戶上,當該使用者帳戶為本機 Users 的成員,將因權限之故無法變更 Registry Key;所以請您:

    1. 以本機權限為 Administrators 成員的網域使用者帳戶登入用戶端電腦上執行 regedit /s test.reg,確認可以變更 Registry Key。
    2. 若還是不成功,請列出您看到的錯誤訊息,以及您套用此群組原則的環境(DC 的 OS 版本、套用電腦的 OS 版本)。

    我使用administrator登入本機去執行regedit /s test.reg是可以成功的

    可是當使用GPO的電腦設定\Windows設定\指令碼-(啟動/關機)執行時

    我在指令碼名稱欄位輸入regedit

    指令碼參數輸入/s test.reg就不會成功

    去掉/s將電腦重新開機在登入畫面時就會跳出註冊確認的訊息

    按下"是"的按鈕後就可以成功新增registry

    我的Client是使用WinXP with SP2

    DC則是Windows 2003 with SP1

     

    2006年11月18日 上午 10:55
  • 您的設定的程序是正確的,但結果不如預期;請使用 GPMC 的「群組原則結果」來觀察為何 regedit /s test.reg 無法執行;使用群組原則結果前,請先建立一個 GPO,內容如下:

    當群組原則結果精靈要到用戶端電腦取得執行結果時,基於用戶端電腦(Windows XP)預設的防火牆安全性規則,網域控制站無法攫取用戶端電腦的資料,如果您需要執行群組原則結果,請建立一個GPO,連結到網域或特定電腦帳號的 OU,並在GPO內啟用「電腦設定系統管理範本網路網路連線→Windows防火牆網域設定檔」下的「Windows防火牆:允許遠端系統管理例外」項目,以變更用戶端電腦的防火牆安全性設定。

     

    2006年11月18日 下午 12:43
  •  Harvey Liang 寫信:

    您的設定的程序是正確的,但結果不如預期;請使用 GPMC 的「群組原則結果」來觀察為何 regedit /s test.reg 無法執行;使用群組原則結果前,請先建立一個 GPO,內容如下:

    當群組原則結果精靈要到用戶端電腦取得執行結果時,基於用戶端電腦(Windows XP)預設的防火牆安全性規則,網域控制站無法攫取用戶端電腦的資料,如果您需要執行群組原則結果,請建立一個GPO,連結到網域或特定電腦帳號的 OU,並在GPO內啟用「電腦設定系統管理範本網路網路連線→Windows防火牆網域設定檔」下的「Windows防火牆:允許遠端系統管理例外」項目,以變更用戶端電腦的防火牆安全性設定。

     

    感謝Harvey耐心的回答我的疑問

    我今天重新測試

    發現之前會失敗是因為使用無線網路的NB來測試

    每次重新開機群組員則結果的原則事件都會顯示Event ID 1054

    "Windows 無法取得電腦所屬網域的網域控制站名稱。(指定的網域可能不存在或無法連線。 )。群組原則處理已中止。"

    現在改接網路線後GPO就可以正常運作了

    不知道是不是跟無線網路在剛開完機時的網路連線準備較慢有關係

    導致GPO會執行失敗

    不過我們要套用的電腦主要還是以Desktop為主

    所以影響不大

    非常感謝Harvey的幫忙

    2006年11月19日 上午 07:04
  • 謝謝您,我也藉此學到了您的經驗。
    2006年11月19日 上午 07:47
  • 使用群組原則的 Logon Script 變更用戶端電腦的 Registry Key,可由下列步驟完成,亦可達成您的目標;祝您成功:

    註:下列步驟的環境未安裝 GPMC,亦適用於安裝 GPMC 的環境,只是步驟會略有不同。

    1.      以具網域管理者權限的帳號登入任一部網域控制站(test.reg複製到此伺服器的桌面)

    2.      開啟Active Directory使用者及電腦

    3.      以滑鼠右鍵點名為「ClientPC」的OU,選內容(這個 OU 是放置要變更 Registry Key 的電腦帳號)。

    4.      點選群組原則頁面。

    5.      新物件按鈕,清單中將出現「新的群組原則物件」GPO,本例將它更名為Modify Registry Key

    6.      點選Modify Registry Key,按編輯按鈕。

    7.      電腦設定下展開Windows設定

    8.      點選指令碼-(啟動/關機),在其右側視窗以滑鼠雙擊啟動

    9.      啟動內容視窗中,按顯示檔案按鈕。

    10.  將桌面上的test.reg拖曳到第9步驟執行後所開啟的視窗內之後,關閉此視窗。

    11.  回到啟動內容視窗,按新增按鈕。

    12.  指令碼名稱欄位中鍵入regedit

    13.  指令碼參數欄位中鍵入 /s test.reg,按確定

    註:步驟1213執行後,相當於執行「regedit /s test.reg」的命令。

     

    14.  回到啟動內容視窗,確認先前設定的項目存在於清單中,按確定

    註:若清單中已有其他指令碼檔案,請考量這些檔案的執行順序,並以向上/向下按鈕調整執行順序。

    15.  關閉群組原則編輯器視窗。

    16.  回到ClientPC內容視窗,按關閉

    17.  關閉Active Directory使用者及電腦管理視窗。

    18.  開始執行,在開啟欄位中鍵入cmd

    19.  在視窗中鍵入「gpupdate /force,以強制更新群組原則設定。

    20.  執行完成後,關閉此視窗。

    21.  待此群組原則物件套用完成,並同步到所有網域控制站後,確認用戶端電腦下次登入後,Registry Key 會依 test.reg 的內容變更

    22.  此時可刪除網域控制站桌面上的test.reg檔案。

     


    謝謝,真的很有用
    2009年5月14日 上午 09:37