Hallo Liste,
sorry, leider ist es schon spät und ich muss gleich mal langsam
schlafen gehen. Deswegen kopiere ich ich das gefundene nur kurz rein
ohne es vorher noch zu bereinigen.
Ist das folgende schon bekannt oder hilfreich? (Leider weiß ich in den
nächsten Wochen nicht, wann ich den Inhalt prüfen könnte.)
Quelle: http://www.mashruum.de/cp/index.php?id=90
Windows-Domänenanmeldung
- w2k als Administrator starten und an der Domäne anmelden
(Arbeitsplatz -Eigenschaften-Netzwerkidentifikation-Domäne Workgroup)
- bei der Nachfrage, als root und mit dem samba-Passwort
von root bestätigen
- manuell
den Master PC in der Registry so setzen, das eine Änderung des
Maschienenpasswortes im Laufe der Zeit vermieden wird:
HKEY_LOCAL_MACHINE\SYSTEM\Select\Default gucken, welche Controllset
aktiv ist
dann im entsprechenden Controlset (meistens Controlset001)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters\DisablePasswordChange
auf 1 setzen
(das Machinenpasswort ändert sich dann nicht mehr)
- jetzt
ist der Weg frei, damit nach dem 2. (oder 3., 4. ...) mal Clonen der PC
immer noch automatisch in der Domäne ist, weil sich das
machine-Password von Seiten win2k nicht mehr ändert.
Ergänzung von Patrick Boettcher
### hier wird es glaub ich interessant:
Hallo, eine wahrscheinlich sehr erfreuliche
Nachricht für die Firmen/Schuladmins, die sich Linux als
Serverbetriebssystem auswählten und auswählen wollen. Bisher galt es,
wenn man Samba 2.2 als PDC für Windows 2000 Arbeitsplätze, mag das ja
ausreichend funktionieren, aber wenn man die klonen wollte, war mit dem
Befehl NTJoinDomain, nicht so viel anzufangen. Denn dieser beherrscht
nicht die nötigen oder richtigen RPC-Commands für Samba. Deshalb war
nach dem Clonen eine manuelles hinzufügen zur Samba Domäne notwendig.
Wenn man aber, in der smbpasswd, den machine Account, des master
rechners kopiert und nur die entsprechenden namen und uid richtig
einsetzt haben alle machine accounts das gleiche machinen Passwort.
Beim Klonen, ist der geklonte Rechner gleich mitglied der Domäne und
alle Benutzer, sind verfügbar. Ich hoffe ich kann jemanden damit weiter
helfen, auf jeden Fall ist nun Linux wieder auch für schulen mit rembo
einsatzfähig.
###
- die Domain muss jetzt in die initvars.rbc
eingetragen werden:
(z.B. bei uns: DomianName= WORKGROUP)
jetzt startet auch jede W2k-Station mit dem Anmeldenamen und Passwort
im Rembo-Anmeldefenster angegeben durch
also: z.B. meine smbpasswd:
# This file is the authentication source for
samba. You add password
# information with the smbpasswd or smbadduser command.
#
# Cf. section 'encrypt passwords' in the manual page of smb.conf for
# more information.
user1:500:193130B61A7F81C0AAD3B435B51404EE:C2AE1FE6E648846352453E816F2AEB93:[U]:LCT-3C7B4DDC:
root:0:62DE05AE16F98F251486235A2333E4D2:5460C85B158A1B475115D2DD3A82333:[U]:LCT-3CC3CBB7:
peter:503:0561389E272F347DE9260223765451F1:DF9EFE12B4AD8FFC9355833538FFDD16:[U]:LCT-3C9AEF73:
#
P01-120$:508:E5734EC3A9AA1370F32879E86998405E:C0A6EBBE6BF919E2D30A2E5EF2A655CC:[W]:LCT-3CBFD442:
# oben jetzt die Kopie vom Clone-Master P04-120 für die P01-120
#P01-120$:508:448E0348D6F0EAE1F171441BC261DDF3:33D2C28039277E5672D534C0FE141D20:[W]:LCT-3CBBC450:
# oben - Eintrag vor dem Clonen - Maschinenpasswort der P01-120 durch
die Anmeldung mit mkntclient (siehe oben)
# kann auch gelöscht werden
# ebenso jetzt unten:
P02-120$:509:E5734EC3A9AA1370F32879E86998405E:C0A6EBBE6BF919E2D30A2E5EF2A655CC:[W]:LCT-3CBFD442:
P03-120$:510:E5734EC3A9AA1370F32879E86998405E:C0A6EBBE6BF919E2D30A2E5EF2A655CC:[W]:LCT-3CBFD442:
#
# clone-master
P04-120$:505:E5734EC3A9AA1370F32879E86998405E:C0A6EBBE6BF919E2D30A2E5EF2A655CC:[W]:LCT-3CBFD442:
- Die auskommentierten Einträge stammen vom Erzeugen der
Maschineaccount
bei samba (mache ich mit einem Script: mkntclient), jetzt einfach den
Eintrag von P04 kopieren und den Namen und die uid wieder auf den
gewünschten Wert gesetzen.
die lokalen Profile im Zusammenhang mit Rembo
(um Veränderungen auszuschließen)
nach R.Kukula siehe auch:
http://www.rkukula.de/html/xp-lokale_profile_in_domane.htm
http://www.lehrerfortbildung-bw.de/netz/muster/linux/material/profile_2.html
http://www.lehrerfortbildung-bw.de/netz/muster/linux/material/profile.html
Die einfache Lösung
- Nach Einrichtung von Domain logon, meldet man sich als Domain
user "adm" an und gibt ihm lokale
Adminrechte. Nun sollte automatisch in \\arktur\adm\ntprofile (oder
gleichbedeutend p:\ntprofile bzw. u:\ntprofile) ein servergespeichertes
Profil erstellt worden sein mit u.a. dem Ordner "Desktop".
- als
lokaler Administrator "adm" auf der Muster-Arbeitsstation den Ordner
C:\Dokumente und Einstellungen\Default User löschen! Den (leeren)
Ordner wieder anlegen!
- Nun schaltet man mit gpedit.msc
die servergespeicherten Profile aus
(Computerkonfiguration-Adminvorlagen-System-Benutzerprofile-"Nur lokale
Profile zulassen"-aktivieren). Weiterhin gibt man mittels gpedit.msc
die Proxy-Voreinstellungen für den Internet Exploerer ein
(“Benutzerkonfiguration-WindowsEinstellungen-InternetExplorerWartung-Verbindung-Proxyeinstellung”
und “Computerkonfiguration- administrative Voreinstellungen-
Windowskomponenten- Internet Explorer - Proxyeinstellungen pro
Computer- aktivieren”)
- Nun ändert man mittels TweakUI
für XP von Microsoft (mittels google von irgendwo downloaden) den
Desktop auf P:\ntprofile\Desktop, die "eigenen Dateien" auf U:\ und
evtl. die IE-Favoriten auf U:\favoriten ("My Computer - Special
Folders").
(P: und U: sind für den Nutzer "adm" dasselbe
Verzeichnis auf dem Server, für alle anderen nicht, haben auf P: keine
Schreibrechte, das ist also die harte Variante die keine, auch keine
temporären Änderungen des Desktops zulässt!
Macht man es nicht so,
kann während der Sitzung der Desktop manipuliert werden, wird dann aber
durch Rembo wieder gelöscht!)
- Nun installiert man als "adm" Programme und gestaltet den Desktop.
- Das gerade erstellte Profil als "adm" in den Ordner C:\Dokumente
und Einstellungen\Default User kopieren.
Unter Windows XP ist es nach meinen Erfahrungen
notwendig diesen
Vorgang mit einem dritten User mit Administratorrechten aus der Domäne
durchzuführen! Nicht vergessen dessen Dokumente und Einstellungen vor
dem Schreiben des Images zu löschen! Für die diesen Schritt und
überhaupt kann es hilfreich sein, eine Windows XP Pre-Boot-CD in
Griffweite zu haben!
Dazu mit der rechten Maustaste auf das Symbol
Arbeitsplatz klicken und Eigenschaften auswählen. Danach den Reiter
Benutzerprofile auswählen.
Unter Profil kopieren nach C:\Dokumente
und Einstellungen\Default User auswählen. Danach die Schaltfläche
Benutzer – Ändern anklicken und im folgenden Fenster Jeder auswählen
und bestätigen.
- Damit sicher gestellt ist, dass auch
wirklich alle Benutzer die Arbeitsstation ohne jegliche Einschränkungen
nutzen können, ist der lokalen Gruppe der Administratoren noch die
Gruppe Jeder hinzuzufügen. Dazu ist Systemsteuerung – Verwaltung -
Computerverwaltung – lokale Benutzer und Gruppen aufzurufen. Unter
Gruppen Administratoren auswählen, die Schaltfläche hinzufügen
anklicken und dann Jeder auswählen und bestätigen.
Zwar haben jetzt
wirklich alle Benutzer Vollzugriff auf die Arbeitsstation, jedoch ist
dies letztlich kein schwer wiegender Nachteil, da der Rechner beim
Booten jederzeit synchronisiert werden kann.
- Wer als
Netzwerkverwalter wegen Sicherheitsbedenken nicht so weit gehen will,
kann diesen Schritt einfach auslassen. Das Konzept des Default User
Profile funktioniert auch ohne Administratorrechte für alle Benutzer.
Allerdings müssen die Benutzer dann mit gewissen Einschränkungen leben:
Es kann z.B. vorkommen, dass Anwendungssoftware nicht läuft oder dass
Treiber nicht installiert werden können.
- Bei
Neuinstallationen sich erst unter "adm" anmelden, da er
admin-Schreibrechte auf P: hat, kann er den Desktop direkt ändern.
- Man
sollte mittels gpedit noch einige andere Sachen ändern, zB den
unsäglichen "Desktopbereinigungsassistenten abstellen" oder die
"Netzwerkumgebung" und IE usw. vom Desktop entfernen. Die
Offline-Dateien sollte man mittels ArbeitsPlatz-Extras-
Ordneroptionen-Offlinedateien deaktivieren.
|