Zunächst einmal habe ich über die UMC einen (Test-)Benutzer angelegt. Mit einem Windows XP-Client habe ich diesen Benutzer dann auch an der Domäne anmelden können. Zuvor habe ich allerdings noch als Administrator am Windows XP-Client angemeldet, die Systemrichtlinien für diesen Benutzer konfiguriert. Nichts Großartiges, der Benutzer sollte halt nur nicht mehr auf die Systemsteuerung zugreifen können!
Die konfigurierte Datei: ntconfig.pol habe ich anschließend in das nachfolgende Verzeichnis kopiert.
/var/lib/samba/netlogon
…nicht in das Verzeichnis
/var/lib/samba3/netlogon
…ich habe diese Variante allerdings auch schon ausprobiert!
Nachdem ich den Benutzer anschließend erneut an der Domäne angemeldet habe, konnte dieser jedoch noch immer auf die Systemsteuerung zugreifen?!
Muss ich ggf. noch Einstellungen in der UMC vornehmen?
/var/lib/samba/netlogon sollte in der Standardkonfiguration das korrekte Verzeichniss für die ntconfig.pol sein (konfiguriert in /etc/samba/base.conf). Evtl. helfen die Hinweise im SDB-Artikel Zentrale Konfiguration über Windows-Systemrichtlinien noch weiter?
Bitte beachten Sie auch dass die Replikation des NETLOGON Share einen Moment dauern kann. Wenn Sie mehrere Anmeldeserver einsetzen sollten Sie daher vor dem Test sicherhstellen dass die ntconfig.pol auf allen Anmeldeservern bereits verfügbar ist.
Evtl. gibt es auch ein generelles Problem beim Einbinden des NETLOGON Share während der Anmeldung. Dies könnten Sie z.B. über ein kurzes Logon-Script testen.
ich komme an dieser Stelle einfach nicht weiter und das obwohl ich mich exakt an die Konfigurationshinweise gehalten habe. Sowohl für die Windows-Systemrichtlinien, als auch für die Samba base.conf.
Apropos! Die Standardpfadangabe in der base.conf lautet:
/var/lib/samba/sysvol/bipg.org/scripts
Wäre es vielleicht sinnvoll, die ntconfig.pol in dieses Verzeichnis zu kopieren?
Leider bin ich kein Linux-Fachmann – wie hat denn so ein kurzes Logon-Script auszusehen?
anhand der Ihrer Pfadangabe würde ich vermuten dass Sie UCS mit Samba 4 einsetzen. Sollte dies der Fall sein, sollten Sie statt der Systemrichtlinien über eine ntconfig.pol direkt Active Directory Gruppenrichtlinien verwenden. Informationen dazu finden Sie z.B. in der Microsoft Dokumentation oder unter gruppenrichtlinien.de/.
Zum testen von Logon-Scripten können Sie z.B. eine Datei “logontest.vbs” mit dem folgenden Inhalt erstellen und einem Benutzer als Logon-Script zuweisen:
MsgBox("Hello world")
Wie ein Logon-Script per AD Gruppenrichtlinie zugewiesen werden kann ist z.B. in [bug]26145[/bug] beschrieben.
ich muss an dieser Stelle dann doch noch mal nachhaken.
Zunächst einmal möchte ich auf das Problem mit den System- bzw. mit den Gruppenrichtlinien zurückkommen. Es wurde nun der Versuch gestartet, die Gruppenrichtlinien direkt über die AD zu editieren, anstatt die Systemrichtlinien mittels einer ntconfig.pol festzulegen. Letzteres hatte ja auch schon beim erstmaligen Versuch nicht funktioniert. Die Gruppenrichtlinien wurden nun also mittels GPO-Editor erstellt und im nachfolgenden Verzeichnis gespeichert:
ein Anpassen der Samba base.conf sollte in diesem Fall nicht notwendig sein. Ich würde daher dazu raten die Datei wieder in den Auslieferungszustand zurück zu setzen und Samba anschließend neu zu starten.
Ein Logon-Script können Sie dann, wie unter [bug]26145[/bug] beschrieben, entweder unter /var/lib/samba/sysvol//scripts/ ablegen oder über den GPO-Editor in den Policy-Container kopieren (/var/lib/samba/sysvol//Policies//User/Scripts/Logon/). Anschließend muss eine Gruppenrichtlinie zum Ausführen des Anmeldescripts definiert werden:
Bei der anschließenden Anmeldung eines Domänen-Benutzes an einem in die Domäne gejointen Windows Client sollte dieses Script dann ausgeführt werden. Ist dies nicht der Fall, überprüfen Sie bitte die Windows Ereignissanzeige auf dem Client auf eventuelle Fehlermeldungen.
Weiterhin wurde auch wie beschrieben, unter Richtlinien / Windows-Einstellungen / Skripts / Anmelden und Abmelden, das entsprechende Skript hinterlegt. Nachfolgender Pfad unter Eingenschaften / Starten und Herunterfahren / Bearbeiten / Skriptname:
\\U\sysvol\domäne\scripts\logon.bat
und
\\U\sysvol\domäne\scripts\logoff.bat
Bislang ohne Erfolg!
Unter Skriptparameter habe ich keine Einstellungen vorgenommen. Muss ich an dieser Stelle Parameter übergeben- und wenn ja, welche?
die Pfade für die Logon Scripte haben Sie vermutlich vor dem Posten verändert und es wird ein gültiger Servername sowie ein gültiger Domänenname verwendet? Können Sie, um Missverständnisse zu vermeiden, evtl. einen Screenshot der entsprechenden Einstellungen Posten?
Wenn Sie das o.g. Beispielscript verwenden, muss dieses Vermutlich mit der Dateiendung “.vbs” abgespeichert werden da es sich um ein VB-Script handelt. Anderenfalls wird wohl versucht das Script als BATCH zu interpretieren.
Überprüfen Sie bitte außerdem die Windows Ereignissanzeige auf dem Client auf eventuelle Fehlermeldungen nach der Anmeldung. Hier sollte auch das Laden des GPO protokolliert werden.
Es werden sowohl ein gültiger Servername, als auch ein gültiger Domänenname verwendet. Das An- u. Abmeldeskript wurde sowohl als (.bat), wie auch als (.vbs) abgespeichert. Kein Unterschied - ohne Erfolg! Auch die Fehlermeldung in der Ereignisanzeige ist identisch. Nachfolgend nun ein paar Screenshots (Domänenname wurde unkenntlich gemacht!):
ich kann die Probleme hier in unseren Testumgebungen bisher nicht nachvollziehen.
Eine tiefgreifendere Analyse Ihrer Umgebung und dieses konkreten Problems ist im Rahmen der kostenlosen Unterstützung hier im Forum nicht möglich. Ich würde Sie daher bitten sich bzgl. konkreter Unterstützung in diesem Fall an Ihren vertrieblichen Ansprechpartner in unserem Haus oder direkt an sales@univention.de zu wenden.
