Active Directory Server login-script

[pschu09]

Hallo,

ich bin neu hier und möchte eine Frage zum login-script beim Active Directory Server stellen.
Ich habe zu meiner Frage im Forum nichts finden können.

Hoffe es kann mir jemand weiter helfen.

Mein NAS ist das DS-218+.

Ich möchte gerne für jeden User das gleiche Login-script benutzen damit ich nicht immer jedes Script von jedem User anpassen muß.
Wie kann ich dies hin bekommen. Wo muß ich das auszuführende Script ablegen und wie muß der Eintrag im Feld login-Script aussehen?

Danke
VG
Peter

 

[Yippie]

Hi Peter,

also abgelegt wird das Script, bspw. oder sogar ausschließlich(?) im Verzeichnis \\<nas>\sysvol\<domain>\scripts.
Man kann dieses Verzeichnis direkt über \\<nas>\netlogon erreichen, statt über oben genannten Weg.



Zusätzlich muss im Active Directory Server das Script, also genau genommen der Dateiname, der bei der Anmeldung eines AD-Users ausgeführt wird, eingetragen werden. Dies geschieht für jeden AD-Benutzer separat. Es gibt meines Wissens keine globale Einstellung. Aber das dürfte zu verschmerzen sein, da letztendlich die Script-Datei selbst nur einmal vorhanden sein muss:


Benutzerspezifische Einstellungen innerhalb des Scripts "login.bat" kann man bspw. folgendermaßen erreichen, indem die Domain-Gruppen, denen ein AD-Benutzer angehört, abfrägt und ggf. einzelnen Laufwerksbuchstaben mappt.

@cls
@echo off

rem ****************************************************************************
rem ***  Laufwerke fuer alle Domain-User			   	     ***
rem ****************************************************************************

rem Alle gemappten Laufwerke entfernen
net use /d * /y > NUL

rem Home-Verzeichnisse
net use h: %LOGONSERVER%\home /persistent:no > NUL

rem Spezialfaelle behandeln
if /i %USERNAME%==Michael start "" "%LOGONSERVER%\portable\!PSMenu\psmenu.exe" /autostart
if /i %USERNAME%==Michael net use o: %LOGONSERVER%\homes\Michael /persistent:no > NUL

rem Multimedia mappen
%LOGONSERVER%\netlogon\IFMEMBER "multimedia read" 
IF ERRORLEVEL 1 net use m: %LOGONSERVER%\music /persistent:no > NUL

%LOGONSERVER%\netlogon\IFMEMBER "multimedia write" 
IF ERRORLEVEL 1 net use m: %LOGONSERVER%\music /persistent:no > NUL

%LOGONSERVER%\netlogon\IFMEMBER "multimedia read" 
IF ERRORLEVEL 1 net use v: %LOGONSERVER%\video /persistent:no > NUL

%LOGONSERVER%\netlogon\IFMEMBER "multimedia write" 
IF ERRORLEVEL 1 net use v: %LOGONSERVER%\video /persistent:no > NUL

%LOGONSERVER%\netlogon\IFMEMBER "multimedia read" 
IF ERRORLEVEL 1 net use p: %LOGONSERVER%\photo /persistent:no > NUL

%LOGONSERVER%\netlogon\IFMEMBER "multimedia write" 
IF ERRORLEVEL 1 net use p: %LOGONSERVER%\photo /persistent:no > NUL

rem Wohnungsverzeichnis mappen
%LOGONSERVER%\netlogon\IFMEMBER "wohnung read"
IF ERRORLEVEL 1 net use w: %LOGONSERVER%\wohnung /persistent:no > NUL

%LOGONSERVER%\netlogon\IFMEMBER "wohnung write" 
IF ERRORLEVEL 1 net use w: %LOGONSERVER%\wohnung /persistent:no > NUL

Das Tool IFMEMBER ist ein eigenständiges Tool - einfach Mal googeln, und muss ebenfalls ins Verzeichnis .\NETLOGON kopiert werden in dem sich bereits das Script "login.bat" befindet.

Es wird übrigens geraten, Laufwerksmappings mittels GPO (Group Policies) durchzuführen und nicht wie oben im Beispiel mittels NET USE .

HTH,
Michael

 

[pschu09]

Hallo Michael,

vielen Dank für deine Anleitung.
Aber mit welchem user, bzw. welche Berechtigungen muß der user haben, kann ich die Verbindung zum netlogon Verzeichnis herstellen?
Habe schon AD Admin und admin versucht. Haben aber keine Berechtigung.

Danke
Peter

 

[AndiHeitzer]

Ich habe in meiner Syno-Karriere folgende Feststellungen gemacht:

Auf ein Verzeichnis (Share) 'netlogon' kann nicht zugegriffen werden, von Niemandem. Daher nutze ich bei mir 'n-logon'.
Gleiches Verhalten hatte ich mit dem Verzeichnis (Share) 'public'. Dieses lies sich ebenfalls nicht nutzen. Daher führe ich bei mir ein Verzeichnis '4all'.

Bei irgendeinem WIN-Update oder DSM-Update hatte ich dieses 'Fehlverhalten' auf einmal ... keine Ahnung warum ... ich hab mir dann irgendwann die Zeit gespart und die alternativen Namen eingeführt.

Ich nutze keine WIN-Domain, macht aber an sich keinen Unterschied, da ich an den Windows-Kisten die Scripte per Aufgabenplaner nutze. Ist nicht schön, aber auch DOMÄNEN-Frei.

Und das LOGIN-Script kann heissen, wie es will oder auch abgelegt sein, wo es Dir passt. Danach mußt Du beim User eigentlich nur noch das Login-Script FULL-Qualified angeben:
\\SERVER\mein\gespeicherter\ort\MEIN-SCRIPT.bat

Fertig

 

[Yippie]

Aber mit welchem user, bzw. welche Berechtigungen muß der user haben, kann ich die Verbindung zum netlogon Verzeichnis herstellen?
Habe schon AD Admin und admin versucht. Haben aber keine Berechtigung.

Hi,

also mein "normaler" Windows-User mit dem Namen "Michael" ist zum einen ein Active Directory User und zudem Mitglied der AD-Gruppe Domain-Admins. Es handelt sich nicht um einen Synology-User, die sind bei mir mittlerweile komplett außen vor und werden auch nicht mehr benötigt. Ebenso muss zwischen den Active-Directory Gruppen und den Synology-Gruppen zur Benutzerverwaltung unterschieden werden. Letztere sind bei mir ebenfalls nicht mehr in Gebrauch.

Ich gehe davon aus, dass dein Windows-PC (bspw. Win10 Pro und höher) zum einen Mitglied deiner (neuen) Domäne ist und zudem der angemeldet Benutzer ebenfalls ein Domänen Benutzer ist, oder? Wenn du diesem dann im DSM noch die Migliedschaft in der Gruppe der AD Domain-Admin gibst, dann sollte es kein Problem sein, über den oben von mir augezeigten Pfad auf das Netlogon-Vz zuzugreifen.

Ich habe da kenerlei Berechtigungen vergeben müssen, geht auch gar nicht, da dieser speziellen Share ganz alleine von DSM bzw. dem Active-Directory und ganz genau genommen von zugrunde liegenden Samba erstellt und verwaltet wird.

Der von mir genannte Share \\<nas>\sysvol\<domain>\scripts bzw. \\<nas>\netlogon muss natürlich auf deine Gegebenheiten angepasst werden. Statt <nas> die IP oder der Host-Name deines Synology-NAS und statt <domain> der Domain-Name, den du beim erstellen des Active-Directory verwendet hast. In meinem Fall ist das die Domäne: ourhome.local.

Bei mir läuft schon seit Monaten Active Directory ohne Probleme auf ca. 6 Windows 10 Pro PC, zudem noch zig weitere Wifi-Geräte, die sich über den Radius-Server (ebenfalls auf dem Synology-NAS) gegen das AD authentifizieren (WPA2-Enterprise ist hier das Stichwort).

HTH,
Michael

 

[pschu09]

Nochmal vielen Dank an Michael,

mein Fehler war das ich immer versucht habe
(\\<nas>\netlogon) für nas die IP einzugeben statt dem Domainnamen.

VG
Peter

 

[Yippie]

Nee - nicht wirklich

Dachte ich habe das soweit verständlich aufgezeigt - aber kein Problem, Danke für die Rückmeldung!

Hoffentlich kommst du jetzt damit weiter voran!

Grüße,
Michael

 

[florit]

Wir nutzen hier nur Mac-Clients. AD Authentifizierung funktioniert soweit, Logon Skripte allerdings nicht. Direkt uploaden im GUI lässt sich nichts, da ich keine .bat sondern eine .sh Datei nutzen möchte. Ich habe also im Finder den Shared Folder (netlogon) mit einem Domain Admin gemountet und das Skript dort abgelegt. Im Profil des entsprechenden Domain-Nutzers habe ich den Dateinamen mit Suffix eingegeben. Funktioniert nicht. Wenn ich mich mit dem Domain Nutzer an einem Client anmelde kann ich den netlogon Shared Folder mounten ohne mich erneut authentifizieren zu müssen, auch lässt sich das Skript ausführen. Scheint also kein Berechtigungsproblem zu sein. Hat jemand einen Tipp?