Benutzer-Werkzeuge

Webseiten-Werkzeuge


 [[anwenderwiki:windowsclient:anmeldung_einschraenken]] 

Nur ausgewählte User dürfen sich am Client anmelden

Über Gruppenrichtlinien

… in Arbeit …

Über die Computerverwaltung

Als administrator am Windows-Client in der Computerverwaltung die zugelassenen Benutzergruppen abändern. An anderen Stellen dürfen keine weiteren User der Domäne SCHULE eingetragen sein - ausgenommen Admins.

Diese Änderungen werden dann nach meiner Information in der Registry in der Datei /WINDOWS/system32/config/SAM gespeichert. Direkt zugänglich über regedit sind sie aber wegen fehlender Zugriffsrechte zur Laufzeit nicht.

Idee: Die SAM-Datei per postsync-Script je nach Client entsprechend patchen, so dass sowohl Lehrer-PC als auch Schüler-PC das gleiche cloop-Image haben. → Hinweise zu postsync-Scripte
Vorgehen: (statt linbo-ssh kann man natürlich auch die Konsole direkt unter LINBO benutzen, ist aber unübersichtlicher)

  1. Client PC booten (hier pc001), syncen, reboot bis zum LINBO-Bildschirm
  2. sich per linbo-ssh von server aus einloggen und die Standard-SAM-Datei als Kopie SAM.1 anlegen:
    # linbo-ssh pc001
    ~ # mount /dev/sda1 /mnt
    ~ # cp /mnt/WINDOWS/system32/config/SAM /mnt/WINDOWS/system32/config/SAM.1
    ~ # umount /mnt
    ~ # exit
  3. Client PC dann ohne sync starten
  4. als administrator am Client anmelden und obige Veränderung der Benutzergruppen vornehmen, dann reboot bis zum LINBO-Bildschirm
  5. sich per linbo-ssh einloggen und die veränderte SAM-Datei als Kopie SAM.2 anlegen:
    # linbo-ssh pc001
    ~ # mount /dev/sda1 /mnt
    ~ # cp /mnt/WINDOWS/system32/config/SAM /mnt/WINDOWS/system32/config/SAM.2
    ~ # umount /mnt
    ~ # exit
  6. jetzt ein cloop-Image schreiben
  7. zum Image eine postsync-Datei am server anlegen (Dateiname dem eigenem cloop anpassen):
    /var/linbo/winxp.cloop.postsync
    case $HOSTNAME in
    lehrer-pc100) [ -e "/mnt/WINDOWS/system32/config/SAM.2" ] && cp "/mnt/WINDOWS/system32/config/SAM.2" "/mnt/WINDOWS/system32/config/SAM"
       ;;
    *)         [ -e "/mnt/WINDOWS/system32/config/SAM.1" ] && cp "/mnt/WINDOWS/system32/config/SAM.1" "/mnt/WINDOWS/system32/config/SAM"
       ;;
    esac

Bei einem Testsystem funktionierte das Vorgehen einwandfrei.

Welche Auswirkungen das Kopieren der SAM-Datei auf andere Windows-Dienste und die Windows-Registry hat habe ich nicht ausführlich getestet, bitte beobachtete Probleme hier ergänzen. Die SAM-Datei enthält außer den Benutzergruppen keine weiteren Informationen, so dass Nebenwirkungen sehr begrenzt sein sollten.
 [[anwenderwiki:windowsclient:anmeldung_einschraenken]] anwenderwiki/windowsclient/anmeldung_einschraenken.txt · Zuletzt geändert: 2013/10/28 17:40 von 127.0.0.1