NETLOGON-Freigabe

UCS - Univention Corporate Server
#1

Hallo Forum,

ich habe ein kleines Problem(chen).

Zunächst einmal habe ich über die UMC einen (Test-)Benutzer angelegt. Mit einem Windows XP-Client habe ich diesen Benutzer dann auch an der Domäne anmelden können. Zuvor habe ich allerdings noch als Administrator am Windows XP-Client angemeldet, die Systemrichtlinien für diesen Benutzer konfiguriert. Nichts Großartiges, der Benutzer sollte halt nur nicht mehr auf die Systemsteuerung zugreifen können!

Die konfigurierte Datei: ntconfig.pol habe ich anschließend in das nachfolgende Verzeichnis kopiert.

/var/lib/samba/netlogon

…nicht in das Verzeichnis

/var/lib/samba3/netlogon

…ich habe diese Variante allerdings auch schon ausprobiert!

Nachdem ich den Benutzer anschließend erneut an der Domäne angemeldet habe, konnte dieser jedoch noch immer auf die Systemsteuerung zugreifen?!

Muss ich ggf. noch Einstellungen in der UMC vornehmen?

Vielen Dank im Voraus.

MfG

#2

Hallo,

/var/lib/samba/netlogon sollte in der Standardkonfiguration das korrekte Verzeichniss für die ntconfig.pol sein (konfiguriert in /etc/samba/base.conf). Evtl. helfen die Hinweise im SDB-Artikel Zentrale Konfiguration über Windows-Systemrichtlinien noch weiter?

Bitte beachten Sie auch dass die Replikation des NETLOGON Share einen Moment dauern kann. Wenn Sie mehrere Anmeldeserver einsetzen sollten Sie daher vor dem Test sicherhstellen dass die ntconfig.pol auf allen Anmeldeservern bereits verfügbar ist.
Evtl. gibt es auch ein generelles Problem beim Einbinden des NETLOGON Share während der Anmeldung. Dies könnten Sie z.B. über ein kurzes Logon-Script testen.

PS: Das Doppelposting aus dem Thread “Policies im Netlogon-Verzeichnis” habe ich gelöscht.

Mit freundlichen Grüßen
Janis Meybohm

#3

Vielen Dank für den freundlichen Support!

MfG

#4

Hallo Forum,

ich komme an dieser Stelle einfach nicht weiter und das obwohl ich mich exakt an die Konfigurationshinweise gehalten habe. Sowohl für die Windows-Systemrichtlinien, als auch für die Samba base.conf.

Apropos! Die Standardpfadangabe in der base.conf lautet:

/var/lib/samba/sysvol/bipg.org/scripts

Wäre es vielleicht sinnvoll, die ntconfig.pol in dieses Verzeichnis zu kopieren?

Leider bin ich kein Linux-Fachmann – wie hat denn so ein kurzes Logon-Script auszusehen?

Vielen Dank im Voraus…

MfG

#5

Hallo,

anhand der Ihrer Pfadangabe würde ich vermuten dass Sie UCS mit Samba 4 einsetzen. Sollte dies der Fall sein, sollten Sie statt der Systemrichtlinien über eine ntconfig.pol direkt Active Directory Gruppenrichtlinien verwenden. Informationen dazu finden Sie z.B. in der Microsoft Dokumentation oder unter gruppenrichtlinien.de/.

Zum testen von Logon-Scripten können Sie z.B. eine Datei “logontest.vbs” mit dem folgenden Inhalt erstellen und einem Benutzer als Logon-Script zuweisen:

 MsgBox("Hello world")

Wie ein Logon-Script per AD Gruppenrichtlinie zugewiesen werden kann ist z.B. in [bug]26145[/bug] beschrieben.

Mit freundlichen Grüßen
Janis Meybohm

#6

Vielen Dank für den freundlichen Support!

MfG

#7

Hallo Support-Team,

ich muss an dieser Stelle dann doch noch mal nachhaken.
Zunächst einmal möchte ich auf das Problem mit den System- bzw. mit den Gruppenrichtlinien zurückkommen. Es wurde nun der Versuch gestartet, die Gruppenrichtlinien direkt über die AD zu editieren, anstatt die Systemrichtlinien mittels einer ntconfig.pol festzulegen. Letzteres hatte ja auch schon beim erstmaligen Versuch nicht funktioniert. Die Gruppenrichtlinien wurden nun also mittels GPO-Editor erstellt und im nachfolgenden Verzeichnis gespeichert:

/var/lib/samba/sysvol/bipg.org/Policies/{132E04B4-6D85-4C02-B4A9-E0C5BB6E344A}/User

Jedoch blieben bislang alle Versuche die editierten Gruppenrichtlinien anzuwenden ohne Erfolg?!

Weiterhin funktioniert auch nicht das Einbinden eines An-u. Abmelde-Script. Die Scripte wurden bislang in die nachfolgenden Verzeichnisse kopiert:

/var/lib/samba/netlogon/logon.vbs

/var/lib/samba/sysvol/bipg.org/scripts/logon.vbs

Die Pfadangabe wurde jeweils in der base.conf angepasst wie auch in der Benutzerverwaltung unter Benutzer / Richtlinien / Allgemein/ eingetragen.

Was läuft hier falsch?

Vielen Dank im Voraus…

MfG

#8

Hallo,

ein Anpassen der Samba base.conf sollte in diesem Fall nicht notwendig sein. Ich würde daher dazu raten die Datei wieder in den Auslieferungszustand zurück zu setzen und Samba anschließend neu zu starten.

Ein Logon-Script können Sie dann, wie unter [bug]26145[/bug] beschrieben, entweder unter /var/lib/samba/sysvol//scripts/ ablegen oder über den GPO-Editor in den Policy-Container kopieren (/var/lib/samba/sysvol//Policies//User/Scripts/Logon/). Anschließend muss eine Gruppenrichtlinie zum Ausführen des Anmeldescripts definiert werden:

Im GPO-Editor:
Benutzerkonfiguration

  • Richtlinien
    ** Windows-Einstellungen
    *** Scripts
    **** Anmelden

Bei der anschließenden Anmeldung eines Domänen-Benutzes an einem in die Domäne gejointen Windows Client sollte dieses Script dann ausgeführt werden. Ist dies nicht der Fall, überprüfen Sie bitte die Windows Ereignissanzeige auf dem Client auf eventuelle Fehlermeldungen.

Mit freundlichen Grüßen
Janis Meybohm

#9

Hallo,

zunächst einmal vielen Dank für den freundlichen Support!

Die Samba base.conf wurde also in den Auslieferungszustand zurückgesetzt. Das Anmeldeskript wurde wie beschrieben im Verzeichnis

/var/lib/samba/sysvol/<DOMAIN>/scripts/

abgelegt.

Anschließend wurden unter Win2008 Server zwei Gruppenrichtlinien aktiviert.

Unter: Benutzerkonfig. / Administrative Vorl./ System / Skripts wurden nachfolgende Gruppenrichtlinien aktiviert.

Anmeldeskript sichtbar ausführen Abmeldeskript sichtbar ausführen

Weiterhin wurde auch wie beschrieben, unter Richtlinien / Windows-Einstellungen / Skripts / Anmelden und Abmelden, das entsprechende Skript hinterlegt. Nachfolgender Pfad unter Eingenschaften / Starten und Herunterfahren / Bearbeiten / Skriptname:

\\U\sysvol\domäne\scripts\logon.bat

und

\\U\sysvol\domäne\scripts\logoff.bat

Bislang ohne Erfolg!

Unter Skriptparameter habe ich keine Einstellungen vorgenommen. Muss ich an dieser Stelle Parameter übergeben- und wenn ja, welche?

Im Moment fische ich hier echt im Trüben?!

MfG

#10

Hallo,

die Pfade für die Logon Scripte haben Sie vermutlich vor dem Posten verändert und es wird ein gültiger Servername sowie ein gültiger Domänenname verwendet? Können Sie, um Missverständnisse zu vermeiden, evtl. einen Screenshot der entsprechenden Einstellungen Posten?

Wenn Sie das o.g. Beispielscript verwenden, muss dieses Vermutlich mit der Dateiendung “.vbs” abgespeichert werden da es sich um ein VB-Script handelt. Anderenfalls wird wohl versucht das Script als BATCH zu interpretieren.

Überprüfen Sie bitte außerdem die Windows Ereignissanzeige auf dem Client auf eventuelle Fehlermeldungen nach der Anmeldung. Hier sollte auch das Laden des GPO protokolliert werden.

Mit freundlichen Grüßen
Janis Meybohm

#11

Hallo,

vielen Dank für die freundliche Unterstützung.

Es werden sowohl ein gültiger Servername, als auch ein gültiger Domänenname verwendet. Das An- u. Abmeldeskript wurde sowohl als (.bat), wie auch als (.vbs) abgespeichert. Kein Unterschied - ohne Erfolg! Auch die Fehlermeldung in der Ereignisanzeige ist identisch. Nachfolgend nun ein paar Screenshots (Domänenname wurde unkenntlich gemacht!):

Bis dahin…

MfG

#12

Hallo,

ich kann die Probleme hier in unseren Testumgebungen bisher nicht nachvollziehen.
Eine tiefgreifendere Analyse Ihrer Umgebung und dieses konkreten Problems ist im Rahmen der kostenlosen Unterstützung hier im Forum nicht möglich. Ich würde Sie daher bitten sich bzgl. konkreter Unterstützung in diesem Fall an Ihren vertrieblichen Ansprechpartner in unserem Haus oder direkt an sales@univention.de zu wenden.

Mit freundlichen Grüßen
Janis Meybohm

#13

Besten Dank.

Mastodon