[SBS2003] Login script domain user lokale admin wil niet - Serversoftware en clouddiensten

vrijdag 22 september 2006 15:32

Acties:

Topicstarter

Goed ik heb hier een test servertje om een beetje te proberen, nu was ik bezig met het maken van een login script.

Dit script heb ik netjes toegevoegd via een policy en die wordt ook netjes uitgevoerd. Alleen deze regel werkt niet:

net localgroup administrators LocalAdmins /add
net use Z: "\\server\mappie" -- Wordt wel netjes uitgevoerd --

Waarbij LocalAdmins een groep in de AD is, waarvan me testgebruiker lid is. Heb me suf gegoogled maar overal staat dat dit wel de regel is om je domainuser lokale admin rechten te geven. O het script begint met net use /delete wat ik als tip nog tegen kwam op google.

Policy lijkt dus prima te werken want me roaming profile (via de How To op GoT) werkt ook vanuit die policy en dat werkt ook.

PC1: ASUS B850-Plus WiFi -- 9900X incl. X72 -- 64GB DDR5-6000Mhz -- Kingston Fury Renegade G5 2TB -- DELL 4025QW | Servers: 2x DELL R730 -- E5-2660 v4 -- 256GB -- Synology DS3617xs: 4x1,92TB SSD RAID F1 -- 6x8TB WD Purple RAID5

vrijdag 22 september 2006 16:01

Acties:

FaceDown

Storende factor.

NET localgroup Administrators /add "domain\group"

Groetjes, FaceDown.

vrijdag 22 september 2006 17:52

Acties:

Operations

Topicstarter

FaceDown schreef op vrijdag 22 september 2006 @ 16:01:
NET localgroup Administrators /add "domain\group"

Nee dit werkt niet en dit ook niet:

option explicit

Dim objWSShell

Set objWSShell = CreateObject("WScript.Shell")

'wscript.echo "net localgroup administrators domain\groupname /add"
objWSShell.run "net localgroup administrators domain\groupname /add",0,True

In een vbs file dan natuurlijk.

PC1: ASUS B850-Plus WiFi -- 9900X incl. X72 -- 64GB DDR5-6000Mhz -- Kingston Fury Renegade G5 2TB -- DELL 4025QW | Servers: 2x DELL R730 -- E5-2660 v4 -- 256GB -- Synology DS3617xs: 4x1,92TB SSD RAID F1 -- 6x8TB WD Purple RAID5

vrijdag 22 september 2006 18:26

Acties:

Verwijderd

verklaring is vrij simpel denk ik.
om een gebruiker of group toe te voegen aan de administrator groep, moet je admin rechten hebben.
om het helemaal zeker te zijn dat dit het geval is, vang even de error af:

net localgroup administrators LocalAdmins /add 2>%temp%\adminadd.txt

waarschijnlijk inderdaad domain\localadmins gebruiken.

[ Voor 45% gewijzigd door Verwijderd op 22-09-2006 18:29 ]

vrijdag 22 september 2006 18:43

Acties:

Operations

Topicstarter

Verwijderd schreef op vrijdag 22 september 2006 @ 18:26:
verklaring is vrij simpel denk ik.
om een gebruiker of group toe te voegen aan de administrator groep, moet je admin rechten hebben.
om het helemaal zeker te zijn dat dit het geval is, vang even de error af:

net localgroup administrators LocalAdmins /add 2>%temp%\adminadd.txt

waarschijnlijk inderdaad domain\localadmins gebruiken.

"verklaring is vrij simpel" Dus het kan niet? En heb die regel van jou even toegevoegd maar als ik dan vervolgens zoek op adminadd.txt vind hij niks. Dus het lijkt alsof hij het niet eens uitvoert. Wat gek is want die andere regel in hetzelfde script werkt wel.

PC1: ASUS B850-Plus WiFi -- 9900X incl. X72 -- 64GB DDR5-6000Mhz -- Kingston Fury Renegade G5 2TB -- DELL 4025QW | Servers: 2x DELL R730 -- E5-2660 v4 -- 256GB -- Synology DS3617xs: 4x1,92TB SSD RAID F1 -- 6x8TB WD Purple RAID5

vrijdag 22 september 2006 18:51

Acties:

djluc

Je kan dit soort dingen beter in een opstart script zetten. De loginscripts runnen namelijk als de user die inlogt waardoor je allemaal zaken aan moet passen.

vrijdag 22 september 2006 18:52

Acties:

Verwijderd

log in op het system met de user die het commando moet uitvoeren. En voer het commando even handmatig uit...

vrijdag 22 september 2006 18:54

Acties:

[ash]

Cookies :9

Zo ie zo moet de gebruiker administrator rechten hebben op de desbetreffende pc om iets toe te voegen aan de lokale Administrators groep.
Misschien als je het volgende doet zal de foutmelding wel verschijnen in het text-bestand.

VBScript:

1	objWSShell.run "cmd /c net localgroup administrators LocalAdmins /add 2>c:\adminadd.txt",0,True

Je hebt toch geen "On Error Resume Next" in je VB script staan?

vrijdag 22 september 2006 18:59

Acties:

Operations

Topicstarter

Verwijderd schreef op vrijdag 22 september 2006 @ 18:52:
log in op het system met de user die het commando moet uitvoeren. En voer het commando even handmatig uit...

Dan krijg ik systeemfout 5: Toegang geweigerd.

En batch filetje staan in de startup Dus via Group policy/OU/Computer config/Windows instellingen/Scripts/Opstarten.

Daar staat die toch goed?

Dat de gebruiker admin rechten moet hebben op de lokale pc dat snap ik opzich wel, maar hoe doen hele grote bedrijven dat dan als de gebruiker lokaal admin moet zijn? Gaan ze dan handmatig naar die pc's toe? Dat lijkt me niet aangezien het vaak honderden pc zou kunnen betreffen. Dus dat doen ze dan toch ook z'n soort manier als ik nu probeer en ik dus veel op google tegen kom?

[ Voor 31% gewijzigd door Operations op 22-09-2006 19:15 ]

PC1: ASUS B850-Plus WiFi -- 9900X incl. X72 -- 64GB DDR5-6000Mhz -- Kingston Fury Renegade G5 2TB -- DELL 4025QW | Servers: 2x DELL R730 -- E5-2660 v4 -- 256GB -- Synology DS3617xs: 4x1,92TB SSD RAID F1 -- 6x8TB WD Purple RAID5

vrijdag 22 september 2006 22:12

Acties:

Operations

Topicstarter

[ash] schreef op vrijdag 22 september 2006 @ 18:54:
Zo ie zo moet de gebruiker administrator rechten hebben op de desbetreffende pc om iets toe te voegen aan de lokale Administrators groep.
Misschien als je het volgende doet zal de foutmelding wel verschijnen in het text-bestand.
VBScript:
1
objWSShell.run "cmd /c net localgroup administrators LocalAdmins /add 2>c:\adminadd.txt",0,True
Je hebt toch geen "On Error Resume Next" in je VB script staan?

Is het nog nodig om dit te testen aan gezien ik hierboven de foutcode heb staan?

PC1: ASUS B850-Plus WiFi -- 9900X incl. X72 -- 64GB DDR5-6000Mhz -- Kingston Fury Renegade G5 2TB -- DELL 4025QW | Servers: 2x DELL R730 -- E5-2660 v4 -- 256GB -- Synology DS3617xs: 4x1,92TB SSD RAID F1 -- 6x8TB WD Purple RAID5

vrijdag 22 september 2006 22:18

Acties:

Verwijderd

Volgens mij kan je beter de policy aanpassen onder het Computer gedeelte kan je onder Security groepen aangeven die moeten worden toegevoegd aan de local administrators groep.

vrijdag 22 september 2006 22:20

Acties:

djluc

Verwijderd schreef op vrijdag 22 september 2006 @ 22:18:
Volgens mij kan je beter de policy aanpassen onder het Computer gedeelte kan je onder Security groepen aangeven die moeten worden toegevoegd aan de local administrators groep.

Als dat werkt is het inderdaad nog een veel mooiere oplossing, sowieso omdat het een stuk beheerbaarder is.

vrijdag 22 september 2006 22:25

Acties:

Verwijderd

djluc schreef op vrijdag 22 september 2006 @ 22:20:
[...]

Als dat werkt is het inderdaad nog een veel mooiere oplossing, sowieso omdat het een stuk beheerbaarder is.

Dat gaat zeker wel werken :-) en is inderdaad een mooie oplossing !

vrijdag 22 september 2006 22:31

Acties:

Operations

Topicstarter

djluc schreef op vrijdag 22 september 2006 @ 22:20:
[...]

Als dat werkt is het inderdaad nog een veel mooiere oplossing, sowieso omdat het een stuk beheerbaarder is.

Hoe dan precies? Ik zoek nu onder Computer - Beveiligingsinstellingen maar kan geen groep oid toevoegen aan maar policy aan/uit zetten.

Het probleem van mijn oplossing lijkt het feit dat ik groep probeer toe te voegen te zijn.

Als ik namelijk: net localgroup administrator domein\%username% /add

Doe dan werkt het wel, maar ja dat is minder mooi dan die manier van jullie, dusse duw me nog ff in de goede richting aub

PC1: ASUS B850-Plus WiFi -- 9900X incl. X72 -- 64GB DDR5-6000Mhz -- Kingston Fury Renegade G5 2TB -- DELL 4025QW | Servers: 2x DELL R730 -- E5-2660 v4 -- 256GB -- Synology DS3617xs: 4x1,92TB SSD RAID F1 -- 6x8TB WD Purple RAID5

vrijdag 22 september 2006 22:35

Acties:

Verwijderd

TheGeneral schreef op vrijdag 22 september 2006 @ 22:31:
[...]

Hoe dan precies? Ik zoek nu onder Computer - Beveiligingsinstellingen maar kan geen groep oid toevoegen aan maar policy aan/uit zetten.

Het probleem van mijn oplossing lijkt het feit dat ik groep probeer toe te voegen te zijn.

Als ik namelijk: net localgroup administrator domein\%username% /add

Doe dan werkt het wel, maar ja dat is minder mooi dan die manier van jullie, dusse duw me nog ff in de goede richting aub

Als je in de policy zit ga je onder computer settings naar:
Windows Settings\Security Settings\Local Policies\Restricted Groups
en daar voeg je de groepen toe die je aan de local administrators groep wil toevoegen

vrijdag 22 september 2006 22:44

Acties:

Operations

Topicstarter

Verwijderd schreef op vrijdag 22 september 2006 @ 22:35:
[...]

Als je in de policy zit ga je onder computer settings naar:
Windows Settings\Security Settings\Local Policies\Restricted Groups
en daar voeg je de groepen toe die je aan de local administrators groep wil toevoegen

Dat heb ik niet:

Ik heb alleen Computer\Beveiligingsinstellingen\Local beleid en dan:

Controlebeleid
Toewijzing van gebruiksrecht
Beveiligingsopties

En bij geen van de 3 kan ik een groep toevoegen.

PC1: ASUS B850-Plus WiFi -- 9900X incl. X72 -- 64GB DDR5-6000Mhz -- Kingston Fury Renegade G5 2TB -- DELL 4025QW | Servers: 2x DELL R730 -- E5-2660 v4 -- 256GB -- Synology DS3617xs: 4x1,92TB SSD RAID F1 -- 6x8TB WD Purple RAID5

vrijdag 22 september 2006 22:50

Acties:

Operations

Topicstarter

Verwijderd schreef op vrijdag 22 september 2006 @ 22:47:
[...]

Kan je niet een niveau dieper ? Kijk je wel in de Group Policy's op je domain controller ?

Gevonden, heb nu de LocalAdmins toevoegen als administrators. Kijken of het werkt.

Edit: en dat werkt!

Nu staat er alleen bij Leden van deze groep: "Deze groep behoort geen leden te hebben" Nu heb ik gewoon via AD users & computers de gebruikers lid gemaakt van LocalAdmins maar wat wordt daar mee bedoeld? Zelfde staat bij "Deze groep is lid van" Hier heb ik dan zelf "administrators" ingevuld.

[ Voor 54% gewijzigd door Operations op 22-09-2006 23:07 ]

PC1: ASUS B850-Plus WiFi -- 9900X incl. X72 -- 64GB DDR5-6000Mhz -- Kingston Fury Renegade G5 2TB -- DELL 4025QW | Servers: 2x DELL R730 -- E5-2660 v4 -- 256GB -- Synology DS3617xs: 4x1,92TB SSD RAID F1 -- 6x8TB WD Purple RAID5

vrijdag 27 oktober 2006 22:33

Acties:

alt-92

ye olde farte

TheGeneral schreef op vrijdag 22 september 2006 @ 22:50:
Nu staat er alleen bij Leden van deze groep: "Deze groep behoort geen leden te hebben" Nu heb ik gewoon via AD users & computers de gebruikers lid gemaakt van LocalAdmins maar wat wordt daar mee bedoeld? Zelfde staat bij "Deze groep is lid van" Hier heb ik dan zelf "administrators" ingevuld.

Je hebt dus op je Domain Controller zelf bij LocalAdmins (localDomainControllerAdmins) al je users toegevoegd?

Waarom niet gelijk iedereen Domain Admin gemaakt joh?

Je had het dus precies andersom bedoeld denk ik.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device