sorry, leider ist es schon spät und ich muss gleich mal langsam schlafen gehen. Deswegen kopiere ich ich das gefundene nur kurz rein ohne es vorher noch zu bereinigen.
Ist das folgende schon bekannt oder hilfreich? (Leider weiß ich in den nächsten Wochen nicht, wann ich den Inhalt prüfen könnte.)
Quelle: http://www.mashruum.de/cp/index.php?id=90
Windows-Domänenanmeldung
- w2k als Administrator starten und an der Domäne anmelden (Arbeitsplatz -Eigenschaften-Netzwerkidentifikation-Domäne Workgroup) - bei der Nachfrage, als root und mit dem samba-Passwort von root bestätigen
- manuell
den Master PC in der Registry so setzen, das eine Änderung des
Maschienenpasswortes im Laufe der Zeit vermieden wird:
HKEY_LOCAL_MACHINE\SYSTEM\Select\Default gucken, welche Controllset aktiv ist
dann im entsprechenden Controlset (meistens Controlset001)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters\DisablePasswordChange auf 1 setzen
(das Machinenpasswort ändert sich dann nicht mehr) - jetzt ist der Weg frei, damit nach dem 2. (oder 3., 4. ...) mal Clonen der PC immer noch automatisch in der Domäne ist, weil sich das machine-Password von Seiten win2k nicht mehr ändert.
Ergänzung von Patrick Boettcher
### hier wird es glaub ich interessant:
Hallo, eine wahrscheinlich sehr erfreuliche
Nachricht für die Firmen/Schuladmins, die sich Linux als
Serverbetriebssystem auswählten und auswählen wollen. Bisher galt es,
wenn man Samba 2.2 als PDC für Windows 2000 Arbeitsplätze, mag das ja
ausreichend funktionieren, aber wenn man die klonen wollte, war mit dem
Befehl NTJoinDomain, nicht so viel anzufangen. Denn dieser beherrscht
nicht die nötigen oder richtigen RPC-Commands für Samba. Deshalb war
nach dem Clonen eine manuelles hinzufügen zur Samba Domäne notwendig.
Wenn man aber, in der smbpasswd, den machine Account, des master
rechners kopiert und nur die entsprechenden namen und uid richtig
einsetzt haben alle machine accounts das gleiche machinen Passwort.
Beim Klonen, ist der geklonte Rechner gleich mitglied der Domäne und
alle Benutzer, sind verfügbar. Ich hoffe ich kann jemanden damit weiter
helfen, auf jeden Fall ist nun Linux wieder auch für schulen mit rembo
einsatzfähig.
###
- die Domain muss jetzt in die initvars.rbc
eingetragen werden:
(z.B. bei uns: DomianName= WORKGROUP)
jetzt startet auch jede W2k-Station mit dem Anmeldenamen und Passwort im Rembo-Anmeldefenster angegeben durch
also: z.B. meine smbpasswd:
# This file is the authentication source for
samba. You add password
# information with the smbpasswd or smbadduser command.
#
# Cf. section 'encrypt passwords' in the manual page of smb.conf for
# more information.
user1:500:193130B61A7F81C0AAD3B435B51404EE:C2AE1FE6E648846352453E816F2AEB93:[U]:LCT-3C7B4DDC:
root:0:62DE05AE16F98F251486235A2333E4D2:5460C85B158A1B475115D2DD3A82333:[U]:LCT-3CC3CBB7:
peter:503:0561389E272F347DE9260223765451F1:DF9EFE12B4AD8FFC9355833538FFDD16:[U]:LCT-3C9AEF73:
#
P01-120$:508:E5734EC3A9AA1370F32879E86998405E:C0A6EBBE6BF919E2D30A2E5EF2A655CC:[W]:LCT-3CBFD442:
# oben jetzt die Kopie vom Clone-Master P04-120 für die P01-120
#P01-120$:508:448E0348D6F0EAE1F171441BC261DDF3:33D2C28039277E5672D534C0FE141D20:[W]:LCT-3CBBC450:
# oben - Eintrag vor dem Clonen - Maschinenpasswort der P01-120 durch
die Anmeldung mit mkntclient (siehe oben)
# kann auch gelöscht werden
# ebenso jetzt unten:
P02-120$:509:E5734EC3A9AA1370F32879E86998405E:C0A6EBBE6BF919E2D30A2E5EF2A655CC:[W]:LCT-3CBFD442:
P03-120$:510:E5734EC3A9AA1370F32879E86998405E:C0A6EBBE6BF919E2D30A2E5EF2A655CC:[W]:LCT-3CBFD442:
#
# clone-master
P04-120$:505:E5734EC3A9AA1370F32879E86998405E:C0A6EBBE6BF919E2D30A2E5EF2A655CC:[W]:LCT-3CBFD442:
- Die auskommentierten Einträge stammen vom Erzeugen der Maschineaccount bei samba (mache ich mit einem Script: mkntclient), jetzt einfach den Eintrag von P04 kopieren und den Namen und die uid wieder auf den gewünschten Wert gesetzen.
die lokalen Profile im Zusammenhang mit Rembo
(um Veränderungen auszuschließen)
nach R.Kukula siehe auch:
http://www.rkukula.de/html/xp-lokale_profile_in_domane.htm
http://www.lehrerfortbildung-bw.de/netz/muster/linux/material/profile_2.html
http://www.lehrerfortbildung-bw.de/netz/muster/linux/material/profile.html
Die einfache Lösung
- Nach Einrichtung von Domain logon, meldet man sich als Domain user "adm" an und gibt ihm lokale Adminrechte. Nun sollte automatisch in \\arktur\adm\ntprofile (oder gleichbedeutend p:\ntprofile bzw. u:\ntprofile) ein servergespeichertes Profil erstellt worden sein mit u.a. dem Ordner "Desktop".
- als lokaler Administrator "adm" auf der Muster-Arbeitsstation den Ordner C:\Dokumente und Einstellungen\Default User löschen! Den (leeren) Ordner wieder anlegen!
- Nun schaltet man mit gpedit.msc die servergespeicherten Profile aus (Computerkonfiguration-Adminvorlagen-System-Benutzerprofile-"Nur lokale Profile zulassen"-aktivieren). Weiterhin gibt man mittels gpedit.msc die Proxy-Voreinstellungen für den Internet Exploerer ein (“Benutzerkonfiguration-WindowsEinstellungen-InternetExplorerWartung-Verbindung-Proxyeinstellung” und “Computerkonfiguration- administrative Voreinstellungen- Windowskomponenten- Internet Explorer - Proxyeinstellungen pro Computer- aktivieren”)
- Nun ändert man mittels TweakUI
für XP von Microsoft (mittels google von irgendwo downloaden) den
Desktop auf P:\ntprofile\Desktop, die "eigenen Dateien" auf U:\ und
evtl. die IE-Favoriten auf U:\favoriten ("My Computer - Special
Folders").
(P: und U: sind für den Nutzer "adm" dasselbe Verzeichnis auf dem Server, für alle anderen nicht, haben auf P: keine Schreibrechte, das ist also die harte Variante die keine, auch keine temporären Änderungen des Desktops zulässt!
Macht man es nicht so, kann während der Sitzung der Desktop manipuliert werden, wird dann aber durch Rembo wieder gelöscht!) - Nun installiert man als "adm" Programme und gestaltet den Desktop.
- Das gerade erstellte Profil als "adm" in den Ordner C:\Dokumente
und Einstellungen\Default User kopieren.
Unter Windows XP ist es nach meinen Erfahrungen notwendig diesen Vorgang mit einem dritten User mit Administratorrechten aus der Domäne durchzuführen! Nicht vergessen dessen Dokumente und Einstellungen vor dem Schreiben des Images zu löschen! Für die diesen Schritt und überhaupt kann es hilfreich sein, eine Windows XP Pre-Boot-CD in Griffweite zu haben!
Dazu mit der rechten Maustaste auf das Symbol Arbeitsplatz klicken und Eigenschaften auswählen. Danach den Reiter Benutzerprofile auswählen.
Unter Profil kopieren nach C:\Dokumente und Einstellungen\Default User auswählen. Danach die Schaltfläche Benutzer – Ändern anklicken und im folgenden Fenster Jeder auswählen und bestätigen. - Damit sicher gestellt ist, dass auch
wirklich alle Benutzer die Arbeitsstation ohne jegliche Einschränkungen
nutzen können, ist der lokalen Gruppe der Administratoren noch die
Gruppe Jeder hinzuzufügen. Dazu ist Systemsteuerung – Verwaltung -
Computerverwaltung – lokale Benutzer und Gruppen aufzurufen. Unter
Gruppen Administratoren auswählen, die Schaltfläche hinzufügen
anklicken und dann Jeder auswählen und bestätigen.
Zwar haben jetzt wirklich alle Benutzer Vollzugriff auf die Arbeitsstation, jedoch ist dies letztlich kein schwer wiegender Nachteil, da der Rechner beim Booten jederzeit synchronisiert werden kann. - Wer als Netzwerkverwalter wegen Sicherheitsbedenken nicht so weit gehen will, kann diesen Schritt einfach auslassen. Das Konzept des Default User Profile funktioniert auch ohne Administratorrechte für alle Benutzer. Allerdings müssen die Benutzer dann mit gewissen Einschränkungen leben: Es kann z.B. vorkommen, dass Anwendungssoftware nicht läuft oder dass Treiber nicht installiert werden können.
- Bei Neuinstallationen sich erst unter "adm" anmelden, da er admin-Schreibrechte auf P: hat, kann er den Desktop direkt ändern.
- Man sollte mittels gpedit noch einige andere Sachen ändern, zB den unsäglichen "Desktopbereinigungsassistenten abstellen" oder die "Netzwerkumgebung" und IE usw. vom Desktop entfernen. Die Offline-Dateien sollte man mittels ArbeitsPlatz-Extras- Ordneroptionen-Offlinedateien deaktivieren.