Logon script 2k3 <-> Xp

[Peterken]

Ik heb hier een werkende Windows 2003 active directory en xp client dankzij een paar ub-ers.

Nu zou ik een vrij simpel logon script willen uitvoeren maar dat lukt niet.
In het profiel van de gebruiker heb ik enerzijds enkel de naam van het batch bestand gezet en anderzijds het volledige unc path, zijnde \\<servernaam>\NETLOGON\<batch file> en uiteraard het bestand ook op die locatie aangemaakt.

Aangelogd als die gebruiker kan ik uiteraard aan die share en zie het bestand staan maar er gebeurt nikske bij het opnieuw aanmelden.
Voor NT4 was dat destijds 'c:\winnt\system32\repl\import\scripts' maar blijkbaar is die locatie gewijzigd naar 'C:\WINDOWS\sysvol\domain\scripts'.

Google verraad niet hoe het exact moet gedaan worden; heeft hier iemand enig idee wat ik fout doe?

P.

[NickG]

Een goede raad, browse gewoon naar het script ipv handmatig het pad in te vullen. Ik heb hier niet meteen een server staan waarop ik het kan controleren, dus ik kan je ook niet bevestigen of het de goeie plek is waar gij uw scripts zet. Ik voer mijn scripts uit via group policies, en niet rechtstreeks per user.

Mijn raad: browsen naar het script ipv het handmatig uit te voeren!

ps: google: If you use server 2003, save the logon.bat or logon.vbs files in the c:\windows\sysvol\sysvol\(yourdomain.local)\scripts folder.

[Peterken]

Ik was ietske te rap , ik had in het 'logon script' veld het path en bestandsnaam ingevuld maar het path moet blijkbaar in het 'profile path' staan.

Nu zou ik willen - afhankelijk van de user - een ander ip adres willen toekennen met netsh.
Enig idee hoe ik dat het 'properste' kan doen?

[X-2datop]

Nu zou ik willen - afhankelijk van de user - een ander ip adres willen toekennen met netsh.
Enig idee hoe ik dat het 'properste' kan doen?

Volgens mij gaat dat niet ... of je wil je bedoelen dat je dit in het logonscript steekt ? Je gaat dan in ieder geval niet meer met DHCP kunnen werken. Een dynamisch adres toekennen aan een gebruiker kan niet, en zelfs met vaste adressen mag dit normaal niet. Want je kan met een gebruiker meerdere malen inloggen, hoe ge je dat dan opvangen ? Gaat een serieus script worden dan :p

Als ik zo vrij mag zijn, waarom zou je dat eigenlijk willen ? Heb je de "reservation" functie al bekeken in DHCP ?

Grtz,
X

PS: Leg misschien de eindresultaten die je beoogt eens uit, dan kunnen we beter discussieren over de methodes om dat te doen.

[Peterken]

De bedoeling is om op basis van het ip-adres de toegang tot het internet te sturen.

Oorspronkelijk had ik de client wel met dhcp geconfigureerd omdat dat eenvoudiger is als je niet zo vertrouwd bent in het active directory gebeuren. Dit hoeft echter niet en het lukt me uiteraard om als lokale admin met het netsh commando het ip adres te wijzigen.
Nu heb ik dat in het logon script gestoken maar dan loop ik natuurlijk tegen het probleem van beperkte rechten op.

[Sensei Zeon]

Kan je niet beter aan de hand van je gebruiker de internettoegang bepalen?

Dat moet toch mogelijk zijn in een AD omgeving, als dit moeilijk zou gaan, kan je nog altijd een proxy configureren met je gebruikersnaam en password om te authenticeren.

[Peterken]

@SeNsEi Ze0n: ik heb enkel de keuze om het onrechtstreeks op basis van ip-adres te doen.
Hoe doe je dat met een proxy?

[NickG]

De bedoeling is om op basis van het ip-adres de toegang tot het internet te sturen.

Oorspronkelijk had ik de client wel met dhcp geconfigureerd omdat dat eenvoudiger is als je niet zo vertrouwd bent in het active directory gebeuren. Dit hoeft echter niet en het lukt me uiteraard om als lokale admin met het netsh commando het ip adres te wijzigen.
Nu heb ik dat in het logon script gestoken maar dan loop ik natuurlijk tegen het probleem van beperkte rechten op.

Mss idd eens uitleggen wat je nu juist wil bereiken door per user een IP te voorzien. Je wil op basis van IP inet toegang sturen, iets wat veel beter per username in AD kan gedaan worden lijkt me. Anyway, je loopt tegen het prob van beperkte rechten op, zoals ik vorige week. Mijn AD users moeten na het inloggen even hun IP renewen zonder local adminrechten (om in de juiste user VLAN terecht te komen via PEAP auth). Probeer hen eens member te maken van de lokale group network configuration operators (via script/policy). Dan zijn ze geen local admin, maar kunnen wel hun netwerksettings wijzigen. Is een oplossing voor je rechtenprobleem, maar ik zie nog altijd niet echt in wat je nu juist wil met zo'n oplossing...

[verdickt]

Wat jij wil bereiken kan je het best doen op basis van de username gecombineerd met groupe policies.

Dat moet toch zeker mogelijk zijn. Eventueel geef je een bepaalde groep verkeerde instellingen mee. Bijvoorbeeld een proxy server die niet bestaat.

Indien ze dan op internet willen gaan zal dit niet lukken, tevens geef je dan ook nog in de policy op wat ze kunnen wijzigen en wat niet.

En wat betreft die scripts, die horen inderdaad thuis op volgende locatie

'C:\WINDOWS\sysvol\domain\scripts'

[ubremoved_539]

Hangt er een beetje vanaf welke proxy je wil gebruiken, maar onder andere Microsoft ISA Server (maar er zijn er verschillende) kent perfect je AD users (je hoeft zelfs niet aan te loggen als gebruiker op de proxy), en hierin kan je dan ook specifieke rechten toekennen per user.

Een IP-adres wijzigen tijdens je logon gaat nogal moeilijk... je hebt op dat moment namelijk reeds een IP-verbinding en ditto adres.

[Peterken]

Als proxy draait daar Wingate - op een apart toestel - en terwijl dat oorspronkelijk alleen diende om het internet te sharen zou dat nu moeten uitgebreid worden.
Een gebruiker moet enerzijds enkel vooraf bepaalde websites kunnen openen en evt onder een ander account - dat gelimiteerd in tijd met AD - tijdens de lunchbreak minder beperkend.
Nu heb ik geen ervaring om zoiets te doen maar ik heb thuis zelf ooit die wingate gebruikt vooraleer mijn speedtouch als router is gaan dienen.

Wingate kan blijkbaar alleen op basis van het ip-adres of hostnaam een user valideren waarop dan de policies toegepast worden.

[meon]

Kijk eens naar WinRoute Firewall, daar kan je dat allemaal gemakkelijk instellen.

[Peterken]

Ok Meon, ga ik zeker eens doen.
Tnx!