Windows Server 2003 – Konfiguration als Domänencontroller und weitere Möglichkeiten

Teil 5 - Erstellen und Verknüpfen eines Login-Skripts, Setzen von lokalen Berechtigungen, DHCP-Reservierungen für die Clients, Erstellen und Verknüpfen eines Login-Skripts

Dieser Teil beginnt mit der Erstellung eines einfachen Login-Skripts, welches bei der Anmeldung eines Users den Laufwerksbuchstaben S: mit der Freigabe DATA auf dem Server verbindet.

Dazu öffnen wir auf dem Server den Explorer, navigieren zum Ordner NETLOGON und erstellen dort eine neue Textdatei namens login.bat.

Neue Login-Datei
Klick aufs Bild zum Vergrößern

Neue Login-DateiKlick aufs Bild zum Vergrößern

Neue Login-Datei Klick aufs Bild zum Vergrößern

Achtet darauf, dass ihr unter Ordneroptionen den Haken bei " Erweiterungen bei bekannten Dateitypen ausblenden " entfernt habt, sonst heißt euer Skript login.bat.txt und wird nicht funktionieren.

Das Skript selbst ist sehr einfach:

Inhalt des Scripts

Nach dem Speichern des Skripts gilt es nun, dieses den Usern zuzuordnen, dazu gibt es zwei Wege: Der "klassische" Weg - der denjenigen, die mal mit NT gearbeitet haben, bekannt sein dürfte - ist der, das Skript bei jedem User einzeln in den Eigenschaften des Kontos einzutragen. Das geht mittels des SnapIns "Active Directory Benutzer- und Computer" => Doppelklick auf das User-Konto => Registerkarte "Profil".

Script im Profil zuweisen

Bei einer Hand voll User ist das sicherlich nicht das Problem, aber es geht auch geschickter, indem man das Login-Skript via Gruppenrichtlinie einbindet. Dazu starten wir die GPMC und erstellen uns ein neues GPO mit dem Namen Loginskript.

Script über Gruppenrichtlinie zuweisen
Klick aufs Bild zum Vergrößern

Script über Gruppenrichtlinie zuweisenKlick aufs Bild zum Vergrößern

Script über Gruppenrichtlinie zuweisen Klick aufs Bild zum Vergrößern

Dieses neue GPO klicken wir mit der rechten Maustaste an, wählen "Bearbeiten" und navigieren zu Benutzerkonfiguration => Windows-Einstellungen => Skripts (Anmelden/Abmelden).

Script über Gruppenrichtlinie zuweisen
Klick aufs Bild zum Vergrößern

Script über Gruppenrichtlinie zuweisenKlick aufs Bild zum Vergrößern

Script über Gruppenrichtlinie zuweisen Klick aufs Bild zum Vergrößern

Durch einen Doppelklick auf "Anmelden" öffnet sich der Dialog "Eigenschaften von Anmelden".

Script über Gruppenrichtlinie zuweisen

Hier klicken wir nun auf "Hinzufügen", dann auf "Durchsuchen" und navigieren in den Ordner NETLOGON (das geht am besten über Netzwerkumgebung => Gesamtes Netzwerk => Microsoft Windows-Netzwerk => MyDomain => Testserver => NETLOGON oder durch direkt Eingabe von \TestserverNETLOGON).

Script über Gruppenrichtlinie zuweisen

Nun bestätigen wir noch alle Dialoge mit OK und voilà, die login.bat ist eingebunden. Wir schließen nun den Gruppenrichtlinien -Editor und verknüpfen das neue GPO via Drag&Drop mit unserer Domain (wie in Teil 4 für das GPO Ordnerumleitung beschrieben ).

Drag an Drop auf lokale Domäne
Klick aufs Bild zum Vergrößern

Drag an Drop auf lokale DomäneKlick aufs Bild zum Vergrößern

Drag an Drop auf lokale Domäne Klick aufs Bild zum Vergrößern

Hinweise: Verwendet niemals beide Methoden gleichzeitig, das führt zwangsläufig zu Problemen. Ich nutze aufgrund der einfacheren Verteilung an die User mittlerweile nur noch die Variante über die Gruppenrichtlinien. Das Login-Skript ist sehr einfach gehalten, man kann mit Login-Skripts selbstverständlich wesentlich mehr machen. Schaut doch einfach mal in die Skriptsammlung des WinTotal-Softwarearchivs .

Setzen von lokalen Berechtigungen

Kommen wir nun zum Setzen von lokalen Berechtigungen: Per default werden Domänen-Benutzer auf den Clients, an denen sie sich anmelden, in der (lokalen) Gruppe Benutzer geführt, d.h. sie dürfen erstmal fast gar nichts, außer mit den vom Administrator bereitgestellten Anwendungen arbeiten. Nun mag es aber Sinn machen, dass z.B. der Administrator selbst an jedem Rechner im Netz lokale Adminrechte haben möchte, OHNE sich dafür als Domänen-Administrator anzumelden - einfach mit seiner "normalen" Benutzeranmeldung. Auch hier gibt es wieder zwei Wege, dies zu erreichen: einen "manuellen" Weg über die Computerverwaltung und einen via Gruppenrichtlinie. Da der Weg via Gruppenrichtlinie nicht mehr ganz trivial ist und eine Fehlkonfiguration bzw. eine nicht vollständige Übernahme der GPOs durch die Clients dazu führen kann, dass dann gar nichts mehr geht, werde ich diesen Weg hier nicht näher erläutern. Für eine Hand voll Rechner ist der Weg über die Computerverwaltung durchaus brauchbar, zumal man damit dann noch mehr machen kann, als nur Berechtigungen zu setzen. Um via Netzwerk die anderen Rechner direkt zu administrieren, müssen diese natürlich eingeschaltet sein; ein Benutzer hingegen muss nicht angemeldet sein. Wir starten auf dem Server die Computerverwaltung (Start => Verwaltung => Computerverwaltung), klicken mit der rechten Maustaste auf den obersten Eintrag "Computerverwaltung (Lokal)" und wählen "Verbindung mit einem anderen Computer herstellen". Hier geben wir nun den Namen des zu administrierenden Rechners ein.

Computerverwaltung, anderer Computer

Nach Klick auf OK erscheint nach kurzer Zeit die Computerverwaltungs-Konsole des remoten Rechners.

Computerverwaltung, anderer Computer

Hier navigieren wir zu System => Lokale Benutzer und Gruppen => Gruppen und machen einen Doppelklick auf die Gruppe Administratoren.

Gruppe Administratoren

Nun fügen wir den gewünschten User der lokalen Gruppe Administratoren hinzu.

Gruppe Administratoren, hinzufügen

Nach Bestätigung mit OK hat dieser User nun ab dem Zeitpunkt der nächsten Anmeldung an diesem Client Administrator-Rechte auf der Maschine. Bedenkt bitte, dass es nicht immer gleich Admin-Rechte sein müssen, wenn z.B. eine Anwendung unter einem normalen Benutzerkonto nicht funktioniert - hier kann u.U. schon das Hinzufügen des Benutzers zur Gruppe "Hauptbenutzer" Abhilfe schaffen.

DHCP-Reservierungen für die Clients

Wenden wir uns nun dem letzten Abschnitt dieses Teils zu, den DHCP-Reservierungen. Was ist das eigentlich, eine DHCP-Reservierung, und welchen Sinn macht sie? Wie in Teil 3 erläutert, erhalten die Clients in unserem Netz ihre IP-Adressen automatisch vom Server bzw. von dessen DHCP-Server zugeteilt. Ist eine Lease abgelaufen, fordert der Client eine neue Lease an und erhält somit entweder dieselbe IP-Adresse wieder oder eben eine andere aus dem definierten Bereich. Kurz gesagt: Der Client kann heute unter einer anderen IP-Adresse erreichbar sein, als er das gestern war. Die eigentliche Funktionalität des Netzwerks bleibt davon unberührt, aber wer z.B. auf seinem Router ein Port-Forwarding für bestimmte Dienste eingerichtet hat, dem dürfte genau dieser Umstand der wechselnden IP-Adressen missfallen. Genau hier setzen die DHCP-Reservierungen an: Mit ihrer Hilfe erhält der Client nach wie vor via DHCP seine IP-Adresse, aber immer dieselbe, da der Server den Client anhand der MAC-Adresse seiner Netzwerkkarte erkennt und für ihn die definierte IP-Adresse reserviert, sie also nur diesem einen Client zuweist. Zum Einrichten der Reservierungen öffnen wir auf dem Server über Start => Verwaltung => DHCP die entsprechende Konsole und navigieren zu "Adressleases".

DHCP

Hier sehen wir, dass der Rechner "Testpc" die IP-Adresse 192.168.1.110 aus dem von uns definierten Adresspool erhalten hat und damit im Netzwerk erreichbar ist. Wir möchten diesem Rechner nun aber die IP-Adresse 192.168.1.80 zuordnen und müssen dafür eine Reservierung erstellen. Die IP-Adressen, die für die Reservierungen verwendet werden, dürfen NICHT aus dem Adresspool stammen! Das Ermitteln der MAC-Adresse dieses Rechners ist recht einfach, wir öffnen auf dem Server eine Kommandozeile und pingen den Rechner an.

Ping zur IP

Nach dem Pingen führen wir in derselben Kommandozeile ein arp -a durch; der etwas kryptisch aussehende Teil unterhalb "Physikal. Adresse" ist die MAC-Adresse.

MAC-Adresse über arp -a

Diese MAC-Adresse kopieren wir uns in die Zwischenablage (bei gedrückter linker Maustaste markieren und dann Enter drücken) und wechseln in die DHCP-Konsole. Hier führen wir einen Rechtsklick auf "Reservierungen" aus und wählen "Neue Reservierung" aus. Den Dialog "Neue Reservierung" füttern wir mit den benötigten Daten, die MAC-Adresse fügen wir mittels [STRG]+[V] in das Feld MAC-Adresse ein und wählen bei "Unterstützte Typen" hier "Nur DHCP" aus.

Reservierung über MAC-Adresse

Nach Klicken von OK sollte das in etwa so aussehen:

Reservierung über MAC-Adresse

Damit bekommt unser Client "TestPC" von nun an immer die IP-Adresse 192.168.1.80 zugeordnet und ist somit auch immer unter diese IP-Adresse erreichbar. Noch allerdings verwendet der Client die aus dem Adresspool zugewiesene IP-Adresse.

Noch wird eine Adresse aus dem Adresspool verwendet
Klick aufs Bild zum Vergrößern

Noch wird eine Adresse aus dem Adresspool verwendetKlick aufs Bild zum Vergrößern

Noch wird eine Adresse aus dem Adresspool verwendet Klick aufs Bild zum Vergrößern

Das ändert sich spätestens nach einem Reboot, kann aber auf dem Client auch durch ipconfig /release bzw. /renew an der Konsole erreicht werden.

Lösen der IP

Neue IP

In der DHCP-Konsole stellt sich das dann so dar.

Richtige Einstellung
Klick aufs Bild zum Vergrößern

Richtige EinstellungKlick aufs Bild zum Vergrößern

Richtige Einstellung Klick aufs Bild zum Vergrößern

Dieses Vorgehen müsst ihr für jeden Client im Netz, der via DHCP immer dieselbe IP-Adresse erhalten soll, wiederholen. Um die MAC-Adressen mehrerer Rechner auf einmal herauszufinden, könnt ihr auch das kleine Skript GetMac verwenden.

Teil 6 wird sich ausschließlich mit dem Thema Software Update Services (SUS) beschäftigen, also einer Möglichkeit, alle Rechner im Netz (ab Win2000 aufwärts) automatisch mit den wichtigsten Updates zu versorgen, wobei der Download aus dem Internet nur einmal auf dem Server erfolgt und die Clients sich die Updates dann lokal vom Server ziehen.

20 Bewertungen