PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Problem mit Anmeldescript



linux_freund
28.09.04, 13:10
Hi,

hab mal ne frage ich verwende in meinen anmeldescript von meinen Samba Server den Befehl

net time /set /yes

und das problem ist die Uhrzeit kann man nur mit Administratorrechten Synchronisieren. Daher wenn sich ein normaler Benutzer auf den Clients anmeldet ist es ziemlich problematisch, weil die Uhrzeit nicht Synchronisiert werden kann. Wie kann ich das Problem lösen?

Der Windows Zeitgeber Dienst arbeitet irgendwie gar nicht mit dem Samba bei mir zusammen also kann ich nur über das Anmeldescript wohl Synchronisieren.

Kennt einer von euch einen Trick dafür? Oder eine andere Möglichkeit die Uhrzeit zu Synchronisieren?

Gruß Linux_freund

eclipse
28.09.04, 13:15
Es gibt 2 Möglichkeiten, die ich jetzt auf anhieb weiß, entweder du lässt ihn übers Internet sich syncronisieren deinen Windosrechner, musst ja nicht den angegebenen Rechner nehmen.
Ich nehme gerne ptbtime1.ptb.de.
Ansonsten, setze selbst einen Zeitserver auf deinem Linuxrechner auf, welchen du dann beim Windowsrechner einträgst, zum aktualisieren.
Hier wurde schon besprochen, wie man einen Zeitserver selbst aufsetzt.
Kannst ja mal suchen hier im Forum.

Rennie
28.09.04, 16:56
Moin!

Es gibt auch noch eine dritte Möglichkeit: Gib der Gruppe Benutzer auf den Windowsrechnern einfach das Recht, die Zeit zu ändern. Das geht recht einfach über die lokalen Sicherheitsrichtlinien in der Systemsteuerung.


Rennie

linux_freund
28.09.04, 21:51
Danke erstmal für Eure Einträge. Ich muss leider sagen die Richtige Lösung war bei allen nicht bei. Weil es muss eine Lösung sein die nicht so aufwendig ist. Weil wenn man viele Clients hat dauert das doch alles sehr lange und ist sehr aufwendig. Ich hab jetzt unter Linux den xntp Server aktiviert das Problem ist die Uhrzeit lässt sich auch vom Server holen nur das geht eben auch nur mit Adminrechten und das ist das Problem. Der Windows Zeitgeber Dienst reagiert gar nicht auf den xntp Server. Weiß einer von euch was oder wie ich einen Dienst einstellen muss auf den XP Clients das sie die Uhrzeit vom xntp Server holen. Ich hab irgendwie das gefühl das man da extra einen Patch für braucht, ob Windows XP normalerweise keine NTP Server unterstützt.

Ich hoffe ihr könnt mir wieder helfen!

CYP
28.09.04, 23:00
bei win2000
NET TIME /SETSNTP:servername
allerding musst du den w32time dienst auf automatisch stellen

bei xp sollte das eigentlich auch so sein

dehein2
28.09.04, 23:26
win xp unterstützt ntp ohne zusatzprogramme.
meinst du, dass das einstellen der Zeit nur mit Administratorrechten am Client möglich ist, oder verstehe ich da was falsch? wenn ja, gibt es einen Regestry eintrag, den du ändern kannst, damit auch die eingeschänkten xp nutzer die zeit ändern können. wie das genau war weiß ich nciht mehr - musste mal suchn

linux_freund
28.09.04, 23:47
jo mein ich das sich die uhrzeit mit dem befehl net time /set
nur mit admin rechten stellen lässt. Das mit dem Zeitgeberdienst hab ich schon probiert. Wenn ich auf den Linux Server den xntpd server gestartet haben und auf dem xp client den zeitgeber dienst auf Automatisch gestellt habe dann holt der sich trotzdem nicht die Zeit. Deswegen frag ich ja. Aber wenn ich unten auf die Uhr gehe und die Uhr dort über Internetsynchronisation synchronisieren will und als server die ip meines Servers eingebe, dann synchronisiert dieser sich. Nur über den Dienst macht der das nicht.

Rennie
29.09.04, 10:13
Moin!

Also ich verstehe das Problem nicht ganz, glaub ich. Du muß an jeden Rechner dran um den Zeitserver einzustellen, damit der Dienst (der unter dem Administrator- oder System-Account laufen muß, sonst gelten dieselben Beschränkungen wie bei net time) synchronisiert. Anstatt einen ntp-Server aufzusetzen und dann noch die Clients einzurichten, hättest Du tatsächlich deutlich einfacher die Berechtigung für die Gruppe Benutzer setzen können. Dann klappt's nämlich auch ohne ntp-Server über den Samba mit net time ;)

Das ganze müßte sich sogar über eine Policy regeln lassen, die automatisch übernommen wird.


Ciao

Rennie

mamue
29.09.04, 11:22
Für den "net time" befehl muß der Benutzer "Hauptbenutzer" sein, oder es müssen eben per lokaler Richtlinie die entsprechenden Rechte gesetzt werden. Da aber eigentlich alle Nase lang mindestens Hauptbenutzerrechte nötig sind, mache ich hier die user gleich zu eben solchen, leider.
Meines wissens muss man dazu die entsprechenden Nutzer auf den lokalen PC in diese Gruppe eintragen, vielleicht hilft Dir aber auch das Samba-group-mapping und Du kannst der entsprechende Domain-gruppe einer dieser speziellen RID zuweisen. Ich glaube aber nicht, dass das genügt. Näheres zu den speziellen RID findest Du im Samba-guide und in der howto collection, beides auf samba.org.

mamue

Rennie
29.09.04, 12:11
Hi!

Also Hauptbenutzer? Das wären mir ein bißchen zu viele Rechte für meine Schüler. Die Gruppe Domain Users wird auf einem in einer Domäne befindlichen Rechner automatisch der Gruppe Benutzer hinzugefügt, so daß es in der lokalen Richtlinie reicht, der Gruppe Benutzer das Recht zu geben.

Für was brauchst Du denn noch Hauptbenutzerrechte? *grübel*


Rennie

dehein2
29.09.04, 12:58
wie schon geschrieben, du kannst auch einem eingeschränkten benutzer die Rechte für Net time geben - wo das genau geändert wird musste mal eben googeln

lx_bastler
01.10.04, 13:32
Du brauchst kein Anmeldeskript, sondern ein Startskript. Das läuft mit administrativer Vollmacht.

\windows\system32\grouppolicy\machine\scripts\star tup\

Die dort stehenden Skripte müssen registriert werden.
Die Installation ist daher etwas umständlich (am einfachsten mit gpedit.msc, einmalig auszuführen an jeder Workstation).
Hat man es dann aber installiert, kann man dank administraver Shares (C$, usw) alle Windows PCs weitgehend fernsteuern (indem man einfach das Startskript abändert bzw. Skripte auf die PCs kopiert (z.B. vom Samba-Server aus).
Auf die Art kann man z.B. automatisch Software (lokal) installieren lassen, secedit verwenden, Zeit synchronisieren, blabla, alles mögliche.

mamue
01.10.04, 14:16
Du must so oder so an die Kisten ran, also kannst Du genauso gut einen ntp-client installieren. Es gibt einen freien. Das geht zudem schneller als "net time".
Der andere Weg wurde schon angedeutet, ich ziehe aber den autoexnt-service vor (Google mal nach autoexnt). Der führt beim Start eine AutoExNT.bat aus und zwar, bevor ein user angemeldet ist, aber nachdem bereits alle Treiber geladen sind und die Netzwerkverbindung steht. Ich hab' das für mich ein wenig erweitert und lasse in der Autoexnt.bat per wget ein weiteres script vom Webserver abholen, dass dann wiederum ausgeführt wird. So kann ich auf allen PC lokal etwas ausführen lassen, ohne mich dort hinbegeben zu müssen.
Andererseits haben hier alle PC eigentlich einen Festplattenschutz (Wächter- oder Rebornkarte oder EzRestore von AOpen), so dass die user lokal nicht ganz so viel Unheil anrichten können. Einige Programme funktionieren nicht, wenn der user kein Hauptbenutzer ist.

HTH,
mamue

mamue
01.10.04, 17:54
Hi!
Für was brauchst Du denn noch Hauptbenutzerrechte? *grübel*
Rennie

Ich brauche das bei diverser Branchensoftware. Man kann so etwas Schrittweise durchtesten, bis es auch ohne Hauptbenutzerrechte läuft, aber das ist mir viel zu heikel. Stell Dir vor, Du hast alle PC soweit fertig und dann stellt sich im Praxisbetrieb heraus, dass für eine bestimmte Funktionalität doch wieder die Rechte fehlen. Es scheint noch zu viele Softwareentwickler unter Windows zu geben, die so etwas vernachlässigen. Sieh doch nur mal, welche Rechte die lokal eingerichteten User unter WinXP haben - Administratorrechte. (http://www.heise.de/security/artikel/49902)

mamue

linux_freund
01.10.04, 20:53
Danke für Eure Tipps erstmal!
Jo ich denke auch das ich den Benutzer Hauptrechte geben werde. Aber werde das dann wohl nicht mit Time /set machen sondern wie einer schon sagte mit einen NTP Client, weil das ja schneller gehen soll.
Übrigens irgendeiner meinte das er das nicht machen würde, weil er fände das sei für die Schüler zu viel Rechte. Seh ich genauso! Aber das ist für die Arbeit und daher kann man davon ausgehen das die Kollegen wohl nicht so viel Unfug machen werden.

Ich bin am Montag erst wieder auf der Arbeit und werd das dann mal alles ausprobieren.

Danke Nochmal

lx_bastler
01.10.04, 22:02
Das ist Blödsinn. Lass dir da nix einreden.
net time funktioniert gut. Für dieses Problem eine extra Software zu installieren, wäre paranoid.

eclipse
02.10.04, 12:27
Du willst jeden Benutzer zur Hauptbenutzer hizufügen?
Die gefährlichsten Angreifer, sitzen in den eigenen Reihen.

Also ich würde ganz einfach mal den Benutzer hinzufügen, beim Ändern der Systemzeit.
WindowsXP:
Start--->Systemsteuerung--->Verwaltung--->Lokale Sicherheitseinstellungen
Dort Zuweisen von Benutzerrichtlinien ----> Ändern der Systemzeit.
Dort den Benutzer hinzufügen, dann sollte es erledigt sein.

Rennie
03.10.04, 11:57
Moin!

@eclipse:
Endlich jemand, der mich versteht :D


Rennie

linux_freund
03.10.04, 13:21
ich bin da noch auf einen andere idee gekommen. Ich hab gelesen das man auch die Systemrichtlinien in den Samba intregrieren kann. Man soll da irgendwie eine NTconfig.pol auf den Netlogon ablegen. Daher werd ich das wohl so lösen.

mamue
03.10.04, 19:57
Um die Suche zu vereinfachen: poledit heißt der und ist zu finden bei MS unter dem Stichwort orktools. Am einfachsten die MS google suche nehmen:
www.google.com/microsoft
Man kann damit aber nicht alles machen...
Ich würde mich freuen, wenn Du die Lösung postest oder aber auch, wenn Du diesen Weg nicht mehr verfolgst, aus welchen Gründen auch immer.

Danke
mamue

lx_bastler
03.10.04, 19:57
ich bin da noch auf einen andere idee gekommen. Ich hab gelesen das man auch die Systemrichtlinien in den Samba intregrieren kann. Man soll da irgendwie eine NTconfig.pol auf den Netlogon ablegen. Daher werd ich das wohl so lösen.

Die Idee taugt nix für die Uhrzeit, denn Benutzerrechte sind kein Bestandteil der Policies von einst (ntconfig.pol).
Benutzerrechte weist man heute mit dem Erstellen einer Sicherheitsvorlage zu, die so leicht nicht mit Samba netzwerkweit zu verwenden ist. Es sei denn mit einem Startskript, s.o.
Ohnehin eine Idiotie, den Nutzern dafür Rechte zu geben. Wozu sich um die Uhrzeit kümmern, wenn doch jeder Benutzer einstellen kann wie er will?
Daher ist Benutzern ein solches Recht nicht zu gewähren.
Es sei denn, man kriegt es nicht anders hin. Nun gut, man muss seine Grenzen kennen.

linux_freund
04.10.04, 21:51
Jo danke nochmal. Halte das auch nicht für ne gute idee wenn die Benutzer die Uhr verstellen können. Hab aber noch ne andere Lösung im Web gefunden die ich leider noch nicht ausprobieren konnte. Müsste aber gehen. Und zwar kann man den Windows Zeitgeber Dienst festlegen kann etc.

http://www.gude.info/main-windows-ntp.htm

werd mal morgen schauen ob ich die sch**** endlich zum laufen bekomme. All der Stress nur weil M$ sich nicht anpassen will und seine Protokolle veröffentlichen/Anpassen will !!!

linux_freund
05.10.04, 22:14
JO hatte das mal ausprobiert das klappt alles nicht so. Liegt wahrscheinlich am Windows XP weiß auch nicht wieviel das mit dem Serverice Pack 2 zu tun hat, weil das neuerdings in unserer Unattend integriert ist. Ich hab da leider keine Zeit zu nach einer Lösung zu suchen. Wenn einer von euch noch eine weiß für das Problem (müsste ja eigentlich nicht der erste sein der auf das Problem stößt!) der kann mir das ja mal hier posten.
Denke das liegt an XP und nicht an meinen Linux Server weil der xntp server ist ordentlich eingestellt und gestartet usw. und wenn ich einen ntp client benutze der nicht bei XP bei ist (also nicht der Zeitgeber Dienst) dann synchronisiert der auch nur nachteil ist, das sich dieser externe ntp client leicht verstellen lässt und normale benutzer freien Zugriff drauf haben.

DANKE FÜR EURE HILFE

und haltet die OHREN STEIF ;-)