Zu später Stunde gefunden

[Gerhard Prade]

Hallo Liste,

sorry, leider ist es schon spät und ich muss gleich mal langsam schlafen
gehen. Deswegen kopiere ich ich das gefundene nur kurz rein ohne es
vorher noch zu bereinigen.

Ist das folgende schon bekannt oder hilfreich? (Leider  weiß ich in den
nächsten Wochen nicht, wann ich den Inhalt prüfen könnte.)

Quelle: http://www.mashruum.de/cp/index.php?id=90


    Windows-Domänenanmeldung

    * w2k als Administrator starten und an der Domäne anmelden
      (Arbeitsplatz -Eigenschaften-Netzwerkidentifikation-Domäne
      /Workgroup/) - bei der Nachfrage, als root und mit dem
      *samba-Passwort* von root bestätigen
    * manuell den Master PC in der Registry so setzen, das eine Änderung
      des Maschienenpasswortes im Laufe der Zeit vermieden wird:
      HKEY_LOCAL_MACHINE\SYSTEM\Select\Default gucken, welche
      Controllset aktiv ist
      dann im entsprechenden Controlset (meistens Controlset001)
      HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters\DisablePasswordChange
      auf 1 setzen
      (das Machinenpasswort ändert sich dann nicht mehr)
    * jetzt ist der Weg frei, damit nach dem 2. (oder 3., 4. ...) mal
      Clonen der PC immer noch automatisch in der Domäne ist, weil sich
      das machine-Password von Seiten win2k nicht mehr ändert.

Ergänzung von *Patrick Boettcher*


### hier wird es glaub ich interessant:


Hallo, eine wahrscheinlich sehr erfreuliche Nachricht für die
Firmen/Schuladmins, die sich Linux als Serverbetriebssystem auswählten
und auswählen wollen. Bisher galt es, wenn man Samba 2.2 als PDC für
Windows 2000 Arbeitsplätze, mag das ja ausreichend funktionieren, aber
wenn man die klonen wollte, war mit dem Befehl NTJoinDomain, nicht so
viel anzufangen. Denn dieser beherrscht nicht die nötigen oder richtigen
RPC-Commands für Samba. Deshalb war nach dem Clonen eine manuelles
hinzufügen zur Samba Domäne notwendig. Wenn man aber, in der smbpasswd,
den machine Account, des master rechners kopiert und nur die
entsprechenden namen und uid richtig einsetzt haben alle machine
accounts das gleiche machinen Passwort. Beim Klonen, ist der geklonte
Rechner gleich mitglied der Domäne und alle Benutzer, sind verfügbar.
Ich hoffe ich kann jemanden damit weiter helfen, auf jeden Fall ist nun
Linux wieder auch für schulen mit rembo einsatzfähig.


###

    * die Domain muss jetzt in die *initvars.rbc* eingetragen werden:
      (z.B. bei uns: *DomianName*= WORKGROUP)
      jetzt startet auch jede W2k-Station mit dem Anmeldenamen und
      Passwort im Rembo-Anmeldefenster angegeben durch

also: z.B. meine *smbpasswd*:

# This file is the authentication source for samba. You add password
# information with the smbpasswd or smbadduser command.
#
# Cf. section 'encrypt passwords' in the manual page of smb.conf for
# more information.
user1:500:193130B61A7F81C0AAD3B435B51404EE:C2AE1FE6E648846352453E816F2AEB93:[U]:LCT-3C7B4DDC:
root:0:62DE05AE16F98F251486235A2333E4D2:5460C85B158A1B475115D2DD3A82333:[U]:LCT-3CC3CBB7:
peter:503:0561389E272F347DE9260223765451F1:DF9EFE12B4AD8FFC9355833538FFDD16:[U]:LCT-3C9AEF73:
#
P01-120$:508:E5734EC3A9AA1370F32879E86998405E:C0A6EBBE6BF919E2D30A2E5EF2A655CC:[W]:LCT-3CBFD442:
# oben jetzt die Kopie vom Clone-Master P04-120 für die P01-120
#P01-120$:508:448E0348D6F0EAE1F171441BC261DDF3:33D2C28039277E5672D534C0FE141D20:[W]:LCT-3CBBC450:
# oben - Eintrag vor dem Clonen - Maschinenpasswort der P01-120 durch
die Anmeldung mit mkntclient (siehe oben
<http://www.mashruum.de/cp/index.php?id=90#mkntclient>)
# kann auch gelöscht werden
# ebenso jetzt unten:
P02-120$:509:E5734EC3A9AA1370F32879E86998405E:C0A6EBBE6BF919E2D30A2E5EF2A655CC:[W]:LCT-3CBFD442:
P03-120$:510:E5734EC3A9AA1370F32879E86998405E:C0A6EBBE6BF919E2D30A2E5EF2A655CC:[W]:LCT-3CBFD442:
#
# clone-master
P04-120$:505:E5734EC3A9AA1370F32879E86998405E:C0A6EBBE6BF919E2D30A2E5EF2A655CC:[W]:LCT-3CBFD442:

    * Die auskommentierten Einträge stammen vom Erzeugen der
      Maschineaccount bei samba (mache ich mit einem Script:
      mkntclient), jetzt einfach den Eintrag von P04 kopieren und den
      Namen und die uid wieder auf den gewünschten Wert gesetzen.


    die lokalen Profile im Zusammenhang mit Rembo

(um Veränderungen auszuschließen)

nach *R.Kukula* siehe auch:

http://www.rkukula.de/html/xp-lokale_profile_in_domane.htm
http://www.lehrerfortbildung-bw.de/netz/muster/linux/material/profile_2.html
http://www.lehrerfortbildung-bw.de/netz/muster/linux/material/profile.html

Die einfache Lösung

   1. Nach Einrichtung von Domain logon, meldet man sich als Domain user
      "adm" an und gibt ihm* lokale* Adminrechte. Nun sollte automatisch
      in \\arktur\adm\ntprofile (oder gleichbedeutend p:\ntprofile bzw.
      u:\ntprofile) ein servergespeichertes Profil erstellt worden sein
      mit u.a. dem Ordner "Desktop".
   2. als lokaler Administrator "adm" auf der Muster-Arbeitsstation den
      Ordner C:\Dokumente und Einstellungen\Default User löschen! Den
      (leeren) Ordner wieder anlegen!
   3. Nun schaltet man mit *gpedit.msc* die servergespeicherten Profile
      aus
      (Computerkonfiguration-Adminvorlagen-System-Benutzerprofile-"Nur
      lokale Profile zulassen"-aktivieren). Weiterhin gibt man mittels
      gpedit.msc die Proxy-Voreinstellungen für den Internet Exploerer
      ein
      ("Benutzerkonfiguration-WindowsEinstellungen-InternetExplorerWartung-Verbindung-Proxyeinstellung"
      und "Computerkonfiguration- administrative Voreinstellungen-
      Windowskomponenten- Internet Explorer - Proxyeinstellungen pro
      Computer- aktivieren")
   4. Nun ändert man mittels TweakUI für XP von Microsoft (mittels
      google von irgendwo downloaden) den Desktop auf
      P:\ntprofile\Desktop, die "eigenen Dateien" auf U:\ und evtl. die
      IE-Favoriten auf U:\favoriten ("My Computer - Special Folders").
      (P: und U: sind für den Nutzer "adm" dasselbe Verzeichnis auf dem
      Server, für alle anderen nicht, haben auf P: keine Schreibrechte,
      das ist also die harte Variante die keine, auch keine temporären
      Änderungen des Desktops zulässt!
      Macht man es nicht so, kann während der Sitzung der Desktop
      manipuliert werden, wird dann aber durch Rembo wieder gelöscht!)
   5. Nun installiert man als "adm" Programme und gestaltet den Desktop.
   6. Das gerade erstellte Profil als "adm" in den Ordner C:\Dokumente
      und Einstellungen\Default User kopieren.

      Unter Windows XP ist es nach meinen Erfahrungen notwendig diesen
      Vorgang mit einem dritten User mit Administratorrechten aus der
      Domäne durchzuführen! Nicht vergessen dessen Dokumente und
      Einstellungen vor dem Schreiben des Images zu löschen! Für die
      diesen Schritt und überhaupt kann es hilfreich sein, eine Windows
      XP Pre-Boot-CD in Griffweite zu haben!

      Dazu mit der rechten Maustaste auf das Symbol Arbeitsplatz klicken
      und Eigenschaften auswählen. Danach den Reiter Benutzerprofile
      auswählen.
      Unter Profil kopieren nach C:\Dokumente und Einstellungen\Default
      User auswählen. Danach die Schaltfläche Benutzer -- Ändern
      anklicken und im folgenden Fenster Jeder auswählen und bestätigen.
   7. Damit sicher gestellt ist, dass auch wirklich alle Benutzer die
      Arbeitsstation ohne jegliche Einschränkungen nutzen können, ist
      der lokalen Gruppe der Administratoren noch die Gruppe Jeder
      hinzuzufügen. Dazu ist Systemsteuerung -- Verwaltung -
      Computerverwaltung -- lokale Benutzer und Gruppen aufzurufen.
      Unter Gruppen Administratoren auswählen, die Schaltfläche
      hinzufügen anklicken und dann Jeder auswählen und bestätigen.
      Zwar haben jetzt wirklich alle Benutzer Vollzugriff auf die
      Arbeitsstation, jedoch ist dies letztlich kein schwer wiegender
      Nachteil, da der Rechner beim Booten jederzeit synchronisiert
      werden kann.
   8. Wer als Netzwerkverwalter wegen Sicherheitsbedenken nicht so weit
      gehen will, kann diesen Schritt einfach auslassen. Das Konzept des
      Default User Profile funktioniert auch ohne Administratorrechte
      für alle Benutzer. Allerdings müssen die Benutzer dann mit
      gewissen Einschränkungen leben: Es kann z.B. vorkommen, dass
      Anwendungssoftware nicht läuft oder dass Treiber nicht installiert
      werden können.
   9. Bei Neuinstallationen sich erst unter "adm" anmelden, da er
      admin-Schreibrechte auf P: hat, kann er den Desktop direkt ändern.
  10. Man sollte mittels gpedit noch einige andere Sachen ändern, zB den
      unsäglichen "Desktopbereinigungsassistenten abstellen" oder die
      "Netzwerkumgebung" und IE usw. vom Desktop entfernen. Die
      Offline-Dateien sollte man mittels ArbeitsPlatz-Extras-
      Ordneroptionen-Offlinedateien deaktivieren.


-------------- nächster Teil --------------
Übersprungener Inhalt vom Typ multipart/related