Архив форумов ЦИТФорума

[ANDronis]

Имеется домен на win2000, терминальный сервер win2000 - член домена, работающий в режиме приложений. есть доменные группы TerminalAdmins - которые админят сей сервер и TerminalUsers - собственно пользователи, которые запускают различне бухгалтерии... Клиентская часть - RDP client 5.0
Есть скрипт, который прописан в настройках "Запускать программу при соединении" RDP клиента и вызывает определенное меню, чтобы бухи запускали базы своих подразделений.
Требуется сделать так, чтобы скрипт запускался автоматически при логоне члена группы TerminalUser и не стартовал при логоне члена группы TerminalAdmin. Причем это хочется сделать на стороне сервера, поскольку некоторые пользователи просто сбразывают галочку "Запускать программу при соединении" в настройках RDPclient и могут лазить по серверу (все они члены локальной группы PowerUser терминального сервера).

результаты измышлений и попыток:
- прописать скрипт в logon скриптах в ЛОКАЛЬНОЙ политике безопасности терминального сервера. РЕЗУЛЬТАТ: не удается настроить политику, чтобы она не распространялась на группу TerminalAdmins
- ГРУППОВЫЕ ПОЛИТИКИ ДОМЕНА - придется создавать отдельный OU для ДАННОГО ТЕРМИНАЛЬНОГО СЕРВЕРА и там все настроивать - все получится, но кажется что это не самое изящное решение
- настройка Terminal Services Configuration чтобы все кто подключается терминально получали в обязательном порядке скрипт. РЕЗУЛЬТАТ: данный скрипт распространяется и на группу TerminalAdmins, так что не подходит... выход, конечно, есть - поставить еще одну сетевуху и настрить еще одно терминальное соединение - исключительно для TerminalAdmins - тоже не хотелось бы ставить специально сетевуху для административного входа

поскажите, может я еще какой вариант упустил, или ошибаюсь в каких либо измышлениях, а может быть у кого есть скрипт, который умеет проверять LDAP-ом членство логинищегося пользователя в определенной группе.

[grf]

Создай два контейнера в AD, если их еще нет.
Один для админов, второй для пользователей. В групповых политиках для пользователей пропиши логон скрипт.

_________________
Errare humanum est

[ANDronis]

[ANDronis]

[grf]

Тут можно поступить как ты сам решил, созданием отдельного контейнера для терминала.
А можно в самом скрипте поверять на какой машине происходит логон, если терминал, то выполняется скрипт, если нет - то нет.
Если скрипт у тебя на VBS то могу скинуть текст скрипта получающего имя машины, ну а дальше IF THEN ELSE (или как та в VBS точно не помню )
_________________
Errare humanum est

[Попавший Ламер]

на файле скрипта убери доступ для исполнения для TerminalAdmin. Тоже, конечно не очень изящно, так как при входе админы будут получать обидные ссобщения, что у них там на что-то не хватает прав, но в общем-то как вариант.
Можно в скрипте прописать, мол обратись к файлу. Если ERRORCODE=0 тады будте добры админить, мначе - вот вам ваша 1С и радуйтесь.

[Попавший Ламер]

на файле скрипта убери доступ для исполнения для TerminalAdmin. Тоже, конечно не очень изящно, так как при входе админы будут получать обидные ссобщения, что у них там на что-то не хватает прав, но в общем-то как вариант.
Можно в скрипте прописать, мол обратись к файлу. Если ERRORCODE=0 тады будте добры админить, мначе - вот вам ваша 1С и радуйтесь.

[ANDronis]

[grf]

Начинаю извращаться
А если смежный вариант:
создаешь на сервере файл, любой и делаешь у него права доступа только для юзверей, админам ничего, даже чтения и пр.
в скрипте пытаешся прочитать этот файл, если удалось -пользователь, если нет - админ, ну или наоборот


Вариант второй, более сложный
использовать net group, но как обрабатывать результат в скрипте? придется повозиться
_________________
Errare humanum est

[Попавший Ламер]

[grf]

Попавший Ламер
просто я думал, что ты предлагаешь убрать права с самого файла скрипта, что бы админ не имел права его запускать.
и мне показалось это не плохим решением
А ситуацию с чтением(записью) в файл можно отследить, например errorlevel в бат файле.

_________________
Errare humanum est