Deel 5 – Een aanmeldingsscript maken en koppelen, lokale machtigingen instellen, DHCP-reserveringen voor de clients, een aanmeldingsscript maken en koppelen
Dit deel begint met het maken van een eenvoudig aanmeldingsscript dat de stationsletter S: koppelt aan de DATA-share op de server wanneer een gebruiker inlogt.
Daartoe openen we Explorer op de server, navigeren naar de map NETLOGON en maken daar een nieuw tekstbestand aan met de naam login.bat.
Nieuw inlogbestand |
Zorg ervoor dat u onder Mapopties “Verberg extensies voor bekende bestandstypen” hebt uitgeschakeld, anders zal uw script login.bat.txt heten en niet werken.
Het script zelf is heel eenvoudig:
Inhoud van het script |
Na het opslaan van het script, moet het nu worden toegewezen aan de gebruikers. Er zijn twee manieren om dit te doen: De “klassieke” manier – die bekend zou moeten zijn voor degenen die met NT hebben gewerkt – is om het script voor elke gebruiker afzonderlijk in te voeren in de eigenschappen van het account. Dit kan worden gedaan via de snap-in “Active Directory Users and Computers” => dubbelklik op de gebruikersaccount => tabblad “Profiel”.
Script toewijzen in het profiel |
Bij een handvol gebruikers is dit zeker geen probleem, maar het kan ook slimmer door het inlogscript via groepsbeleid te integreren. Hiervoor starten we de GPMC en maken we een nieuwe GPO aan met de naam Login Script.
Script toewijzen via groepsbeleid |
We rechtsklikken op deze nieuwe GPO, selecteren “Bewerken” en navigeren naar Gebruikersconfiguratie => Windows Instellingen => Scripts (Aan- en afmelden).
Script toewijzen via groepsbeleid |
Dubbelklik op “Logon” om het dialoogvenster “Logon-eigenschappen” te openen.
Script toewijzen via groepsbeleid |
Hier klikken we nu op “Toevoegen”, vervolgens op “Bladeren” en navigeren naar de map NETLOGON (dit gaat het beste via Netwerkomgeving => Gehele netwerk => Microsoft Windows Netwerk => MijnDomein => Testserver => NETLOGON of door direct \TestserverNETLOGON in te voeren).
Script toewijzen via groepsbeleid |
Nu bevestigen we alle dialogen met OK en voilà, de login.bat is opgenomen. We sluiten nu de groepsbeleid editor en koppelen de nieuwe GPO aan ons domein via drag & drop (zoals beschreven in deel 4 voor de GPO map omleiding).
Slepen en neerzetten naar lokaal domein |
Hints:
Gebruik nooit beide methoden tegelijk, dit leidt onvermijdelijk tot problemen. Vanwege de eenvoudigere distributie naar de gebruikers gebruik ik nu alleen de variant via groepsbeleid.
Het inlogscript is heel eenvoudig gehouden, maar je kunt natuurlijk veel meer doen met inlogscripts. Kijk maar eens in de scriptverzameling van het WinTotal software-archief.
Inhoudsopgave
Lokale rechten instellen
Laten we nu overgaan tot het instellen van lokale rechten:
Standaard worden domeingebruikers opgenomen in de (lokale) groep Gebruikers op de clients waarop ze inloggen, dat wil zeggen dat ze in eerste instantie niets mogen doen, behalve werken met de applicaties die de beheerder ter beschikking stelt.
Het kan echter logisch zijn dat de beheerder zelf lokale beheersrechten wil hebben op elke computer in het netwerk ZONDER in te loggen als domeinbeheerder – gewoon met zijn “normale” gebruikersaanmelding.
Ook hier zijn er twee manieren om dit te bereiken: een “handmatige” manier via het computerbeheer en één via groepsbeleid. Aangezien de manier via groepsbeleid niet meer zo triviaal is en een verkeerde configuratie of onvolledige overname van de GPO’s door de clients ertoe kan leiden dat er helemaal niets meer werkt, zal ik deze manier hier niet nader toelichten.
Voor een handvol computers is de manier via het computerbeheer best handig, vooral omdat je dan meer kunt doen dan alleen rechten instellen.
Om de andere computers rechtstreeks via het netwerk te beheren, moeten ze uiteraard ingeschakeld zijn; een gebruiker daarentegen hoeft niet ingelogd te zijn.
We starten het computerbeheer op de server (Start => Beheer => Computerbeheer), klikken met de rechtermuisknop op de bovenste vermelding “Computerbeheer (lokaal)” en selecteren “Verbinding maken met een andere computer”. Hier voeren we nu de naam van de te beheren computer in.
Computerbeheer, andere computer |
Na een klik op OK verschijnt na korte tijd de computerbeheerconsole van de externe computer.
Computerbeheer, andere computer |
Hier navigeren we naar Systeem => Lokale gebruikers en groepen => Groepen en dubbelklikken op de groep Beheerders.
Beheerders groep |
Nu voegen we de gewenste gebruiker toe aan de lokale groep Administrators.
Beheerders groep, voeg toe |
Na bevestiging met OK heeft deze gebruiker nu beheerdersrechten op de machine vanaf het moment van de volgende aanmelding op deze client.
Houd er rekening mee dat het niet altijd beheerdersrechten hoeven te zijn als bijvoorbeeld een applicatie niet werkt onder een normaal gebruikersaccount – het toevoegen van de gebruiker aan de groep “hoofdgebruiker” kan voldoende zijn om dit te verhelpen.
DHCP-reserveringen voor de clients
Laten we nu overgaan tot het laatste deel van dit deel, de DHCP-reserveringen. Wat is een DHCP-reservering en wat is het doel ervan?
Zoals uitgelegd in deel 3, ontvangen de clients in ons netwerk hun IP-adressen automatisch van de server of zijn DHCP-server. Als een lease is verlopen, vraagt de client een nieuwe lease aan en ontvangt dus ofwel opnieuw hetzelfde IP-adres of een ander uit de gedefinieerde reeks. Kortom: De client is vandaag onder een ander IP-adres bereikbaar dan gisteren.
De eigenlijke functionaliteit van het netwerk blijft hierdoor onaangetast, maar wie bijvoorbeeld port forwarding voor bepaalde diensten op zijn router heeft ingesteld, zal waarschijnlijk juist deze omstandigheid van wisselende IP-adressen niet prettig vinden.
Dit is precies waar DHCP-reserveringen om de hoek komen kijken:
Met hun hulp krijgt de client nog steeds zijn IP-adres via DHCP, maar altijd hetzelfde, omdat de server de client herkent aan de hand van het MAC-adres van zijn netwerkkaart en het gedefinieerde IP-adres voor hem reserveert, d.w.z. alleen aan deze ene client toewijst.
Om de reserveringen in te stellen, openen we de betreffende console op de server via Start => Administratie => DHCP en navigeren we naar “Adressen”.
DHCP |
Hier zien we dat de computer “Testpc” het IP-adres 192.168.1.110 uit de door ons gedefinieerde adrespool heeft gekregen en dus in het netwerk bereikbaar is. We willen nu echter het IP-adres 192.168.1.80 aan deze computer toewijzen en moeten daarvoor een reservering maken. De IP-adressen die voor de reserveringen worden gebruikt, mogen NIET uit de adrespool komen!
Het bepalen van het MAC-adres van deze computer is vrij eenvoudig, we openen een commandoregel op de server en pingen de computer.
Ping naar het IP |
Na het pingen voeren we in dezelfde commandoregel een arp -a uit; het ietwat cryptisch uitziende deel onder “Phys. Address” is het MAC-adres.
MAC adres via arp -a |
We kopiëren dit MAC-adres naar het klembord (markeer het terwijl je de linkermuisknop ingedrukt houdt en druk dan op Enter) en schakelen over naar de DHCP-console. Hier klikken we met rechts op “Reserveringen” en selecteren “Nieuwe Reservering”.
We vullen het dialoogvenster “Nieuwe reservering” met de vereiste gegevens, voegen het MAC-adres in het MAC-adresveld in met [CTRL]+[V] en selecteren “Alleen DHCP” bij “Ondersteunde types”.
Reservering via MAC-adres |
Nadat u op OK hebt geklikt, zou het er ongeveer zo uit moeten zien:
Reservering via MAC-adres |
Vanaf nu krijgt onze client “TestPC” altijd het IP-adres 192.168.1.80 toegewezen en is dus altijd bereikbaar onder dit IP-adres. De client gebruikt echter nog steeds het IP-adres dat is toegewezen uit de adrespool.
Een adres uit de adrespool wordt nog steeds gebruikt |
Dit verandert uiterlijk na een reboot, maar kan ook op de client worden bereikt door ipconfig /release of /renew op de console.
Vrijgeven van het IP |
Nieuw IP |
In de DHCP-console ziet het er zo uit.
Juiste instelling |
Je moet deze procedure herhalen voor elke client in het netwerk die via DHCP hetzelfde IP-adres moet krijgen. Om de MAC-adressen van meerdere computers tegelijk te achterhalen, kunt u ook het kleine script GetMac gebruiken.
Deel 6 behandelt uitsluitend het onderwerp Software Update Services (SUS), d.w.z. een mogelijkheid om alle computers in het netwerk (vanaf Win2000) automatisch te voorzien van de belangrijkste updates, waarbij het downloaden vanaf Internet slechts eenmaal op de server plaatsvindt en de clients vervolgens de updates lokaal van de server downloaden.