Benutzer-Werkzeuge

Webseiten-Werkzeuge


 [[anwenderwiki:windowsclient:anmeldung_einschraenken]] 

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

anwenderwiki:windowsclient:anmeldung_einschraenken [2013/10/28 16:40] (aktuell)
Zeile 1: Zeile 1:
 +{{tag> windowsclient anmelden}}
  
 +====== Nur ausgewählte User dürfen sich am Client anmelden ======
 +
 +
 +===== Über Gruppenrichtlinien =====
 +
 +... in Arbeit ...
 +===== Über die Computerverwaltung =====
 +Als administrator am Windows-Client in der Computerverwaltung die zugelassenen Benutzergruppen abändern. An anderen Stellen dürfen keine weiteren User der Domäne SCHULE eingetragen sein - ausgenommen Admins.
 +
 +
 +{{:​anwenderwiki:​windowsclient:​benutzer-screenshot.jpg|}}
 +
 +Diese Änderungen werden dann nach meiner Information in der Registry in der Datei ''/​WINDOWS/​system32/​config/​SAM''​ gespeichert. Direkt zugänglich über regedit sind sie aber wegen fehlender Zugriffsrechte zur Laufzeit nicht.
 +
 +**Idee:** Die SAM-Datei per postsync-Script je nach Client entsprechend patchen, so dass sowohl Lehrer-PC als auch Schüler-PC das gleiche cloop-Image haben. -> [[anwenderwiki:​linbo:​postsync_scripte:​start|Hinweise zu postsync-Scripte]]\\
 +**Vorgehen: ** (statt linbo-ssh kann man natürlich auch die Konsole direkt unter LINBO benutzen, ist aber unübersichtlicher)
 +  - Client PC booten (hier pc001), syncen, reboot bis zum LINBO-Bildschirm
 +  - sich per linbo-ssh von server aus einloggen und die Standard-SAM-Datei als Kopie SAM.1 anlegen:<​code>#​ linbo-ssh pc001</​code><​code>​
 +~ # mount /dev/sda1 /mnt
 +~ # cp /​mnt/​WINDOWS/​system32/​config/​SAM /​mnt/​WINDOWS/​system32/​config/​SAM.1
 +~ # umount /mnt
 +~ # exit</​code>​
 +  - Client PC dann __ohne__ sync starten
 +  - als administrator am Client anmelden und obige Veränderung der Benutzergruppen vornehmen, dann reboot bis zum LINBO-Bildschirm
 +  - sich per linbo-ssh einloggen und die veränderte SAM-Datei als Kopie SAM.2 anlegen:<​code>#​ linbo-ssh pc001</​code><​code>​
 +~ # mount /dev/sda1 /mnt
 +~ # cp /​mnt/​WINDOWS/​system32/​config/​SAM /​mnt/​WINDOWS/​system32/​config/​SAM.2
 +~ # umount /mnt
 +~ # exit</​code>​
 +  - jetzt ein cloop-Image schreiben
 +  - zum Image eine postsync-Datei am server anlegen (Dateiname dem eigenem cloop anpassen):<​code text /​var/​linbo/​winxp.cloop.postsync>​case $HOSTNAME in
 +lehrer-pc100) [ -e "/​mnt/​WINDOWS/​system32/​config/​SAM.2"​ ] && cp "/​mnt/​WINDOWS/​system32/​config/​SAM.2"​ "/​mnt/​WINDOWS/​system32/​config/​SAM"​
 +   ;;
 +*)         [ -e "/​mnt/​WINDOWS/​system32/​config/​SAM.1"​ ] && cp "/​mnt/​WINDOWS/​system32/​config/​SAM.1"​ "/​mnt/​WINDOWS/​system32/​config/​SAM"​
 +   ;;
 +esac</​code>​
 +Bei einem Testsystem funktionierte das Vorgehen einwandfrei.
 +<note important>​Welche Auswirkungen das Kopieren der SAM-Datei auf andere Windows-Dienste und die Windows-Registry hat habe ich nicht ausführlich getestet, bitte beobachtete Probleme hier ergänzen. Die SAM-Datei enthält außer den Benutzergruppen keine weiteren Informationen,​ so dass Nebenwirkungen sehr begrenzt sein sollten.</​note>​
 [[anwenderwiki:windowsclient:anmeldung_einschraenken]] anwenderwiki/windowsclient/anmeldung_einschraenken.txt · Zuletzt geändert: 2013/10/28 16:40 (Externe Bearbeitung)