W7 Keine Post installation

AHolzschneider · Post by **AHolzschneider** » 26. Nov 2009, 16:13

Ok, das hab ich.. leider muss ich wissen wie ich nun dateien in den Install Ordner schreiben kann. Ich habs versucht mit nem custom eis script aber das will alles nicht.

Um genau zu sein ich brauch die os.ini in dem Install Ordner.
Jemand eine Idee hierfür ?

Hendrik_Ambrosius · Post by **Hendrik_Ambrosius** » 26. Nov 2009, 19:22

Wie wäre es mit der Anpassung von sysc_winvista.eis:
copy %RD%OS.INI %HDM%

AHolzschneider · Post by **AHolzschneider** » 27. Nov 2009, 13:27

Danke das geht.

Können Sie mir kurz Skizzieren wie das Empirum eigene Domjoin laufen sollte ? Ich würde gern von unsere Custom lösung abstand nehmen.

Hendrik_Ambrosius · Post by **Hendrik_Ambrosius** » 27. Nov 2009, 15:16

Den Domain Join führt das EIS Script automatisch beim Unattended Setup durch.
Wie im Detail kann ich auch nicht sagen - können Sie aber ggf. in den EIS-Scripts nachsehen wenn Sie mal nach Einträgen zum Thema Domain suchen.

AHolzschneider · Post by **AHolzschneider** » 27. Nov 2009, 15:45

Sorry, ich war in meiner Anfrage nciht Präzise genug.

Wie genau ist nicht so wichtig, ich würde gern wissen was ich wo einstellen muss das dies überhaupt geschieht. Gibt es dazu eine docu irgendwo ?

Hendrik_Ambrosius · Post by **Hendrik_Ambrosius** » 27. Nov 2009, 15:50

Einfach das Feld "Domäne" am PC-Objekt anklicken und dann neu aufsetzen.

AHolzschneider · Post by **AHolzschneider** » 27. Nov 2009, 15:57

???
Das wäre mir neu das dies so einfach geht. Wo hinterlege ich denn die OU in der ich den Rechner haben möchte. Wo gebe ich Benutzername und Passwort für das domjoin ein ? Wie kann ich unterschiedliche Standorte (wir haben nur eine DB mit allen standorten drin) mit unterschiedlichen Benutzer/Passwort kombinationen versehen ?

Hendrik_Ambrosius · Post by **Hendrik_Ambrosius** » 27. Nov 2009, 16:06

So ist es aber.
Die OU hinterlegt man wenn man will im OS-Template.
Dito für das Konto für den Domain Join wenn es nicht der Name aus der Bootdisk-Definition sein soll.
Unterschiedliche Standorte: Über mehrere OS-Templates oder Bootdisks.

AHolzschneider · Post by **AHolzschneider** » 27. Nov 2009, 16:12

Jetzt dämmerts mir auch wieder warum wir mit netdom rumhampeln. aber danke für die Antwort.

Ich denke nicht das unsere Lösung hier 78 Verschiedene OS Templates sein werden

Wir haben 28 Standorte mit mindestens 3 unterschiedlichen OUs in die gejoint wird. Vielleicht kann man hier in die Entwicklung späterer versionen eine Lösung einfließen lassen ?!?

Edit:
Wenn ich genauer denke, sind es ja mit W7 2 * 78 Templates weil man ja 32 und 64 Bit hat. 156 Somit und wenn ich jetzt noch VM wares mitrechne bin ich schnell bei 224 Templates die ich für W7 Brauche. Etwas unproktikabel oder bin ich der Einzige der das denkt ?

Hendrik_Ambrosius · Post by **Hendrik_Ambrosius** » 27. Nov 2009, 16:15

Nein, für solche Fälle gibt es so eine super-einfache Lösung schon seit Jahren:
Eine OS-Variable namens AD-OU zur Definition der OU pro Rolle oder PC.

Script-Anpassung:
begin_win2000.eis:

READINI %RD%OS.INI OS_Variable AD-OU Custom-MachineObjectOU
IF "%Custom-MachineObjectOU%"<>"" THEN
SET MachineObjectOU="%Custom-MachineObjectOU%"
ENDIF

Hendrik_Ambrosius · Post by **Hendrik_Ambrosius** » 27. Nov 2009, 16:16

Ähnlich kann man auch für die Domain-Join-Accounts verfahren.

AHolzschneider · Post by **AHolzschneider** » 27. Nov 2009, 16:24

Hendrik_Ambrosius wrote:Nein, für solche Fälle gibt es so eine super-einfache Lösung schon seit Jahren:
Eine OS-Variable namens AD-OU zur Definition der OU pro Rolle oder PC.

Script-Anpassung:
begin_win2000.eis:

READINI %RD%OS.INI OS_Variable AD-OU Custom-MachineObjectOU
IF "%Custom-MachineObjectOU%"<>"" THEN
SET MachineObjectOU="%Custom-MachineObjectOU%"
ENDIF

Aaaalsooo, zum Verständniss.

Im OS Template geb ich eine Dummy OU ein.
Jede Konfigurationsgruppe bekommt eine Variable die die DomainJoin OU widergibt (haben wir bereits).
Ich gebe den von ihnen genannten code in die begin_win2000.eis ein (nicht begin_vista.eis??)
Bin glücklich !

Wars das ? Wo müsste ich das für den Benutzer machen, da wir nicht den aus dem Boot Image nehmen. Der Benutzer liegt ebenfalls als Variable mit Verschlüsseltem Passwort vor.

Danke für die Hilfe noch mals.

Hendrik_Ambrosius · Post by **Hendrik_Ambrosius** » 27. Nov 2009, 16:28

Klar, bei Vista oder Win7 entsprechend die andere Datei - sorry.

Benutzer: Ist es nicht möglich einfach einen Benutzer zu nehmen der in allen OUs PCs anlegen darf? Spricht etwas dagegen?

AHolzschneider · Post by **AHolzschneider** » 27. Nov 2009, 16:37

"Sicherheitsbedenken"

Wir hatten seinerzeit zur Einführung von Empirum (2004/2005 müsste das gewesen sein) größten Wert darauf gelegt, Accounts zu verwenden die "so wenig wie möglich" Rechte haben um im Angriffsfall nur wenig preiszugeben. Mittlerweile haben wir an einigen Stellen dies allerdings geändert. Siehe PXEImgChanger. Wir hatten damals eine eigene exe von Matrix bekommen in der wir recht aufwendig Benutzernamen und Passwort per kommandozeile ändern konnten. Da dies auch wieder sehr custom war und einige Einschränkungen mitbrachte, hab ich das bei der 2008 Umstellung aufgegeben und durch Boardmitteln ersetzt. Dankbarer Weise unterstützt das EPE Image Passwörter >14 Zeichen und hoher Komplexität. sonst wäre mir unser Security Manager aufs Dach gestiegen

Ich denke ich werde hier den selben Schritt gehen (müssen), da netdom anscheinend für W7 nicht mehr angedacht ist, und die gloreiche Powershell mit boardmittteln keine Benutzername und Passwortübermittlung akteptiert. Eine Custom Lösung durch eine andere zu ersetzen halte ich hier schlichtweg für Schwachsinn.

Gibt es, nur zur Sicherheit gefragt, bei dem Benutzernamen/Passwort kombination in der Boot Disk eine Passwort-längen/komplexitäts beschränkung ?

AHolzschneider · Post by **AHolzschneider** » 27. Nov 2009, 17:05

Ich glaube so langsam hab ich verstanden was die Idee hinter der Sache hier ist

Ich hab mich nun etwas durch die eis scripte gewühlt und denke ein nette Lösung gefunden zu haben.

Folgender Bereich ist für den Domain join zuständig im Vista eis script richtig ?

Code: Select all

;§§§ Make computer member of a domain, or delete the Join/Identification XML tree

IF "%NTDomain%"="" THEN
	IFXMLEXIST %XMLSpecializePath%Identification/JoinDomain THEN XMLDEL %XMLSpecializePath%Identification/JoinDomain
	IFXMLEXIST %XMLSpecializePath%Identification/Credentials THEN XMLDEL %XMLSpecializePath%Identification/Credentials
ELSE	
	READINI %RD%OS.INI OS_Variable FQDN FQDN
	IF "%FQDN%"="" THEN
		§FQDN="%NTDomain%"
	ENDIF
	XMLSET %XMLSpecializePath%Identification/JoinDomain="%FQDN%"
	IF "%DomAccountDomain%"="" THEN §DomAccountDomain="%LOGONDOMAIN%"
	XMLSET %XMLSpecializePath%Identification/Credentials/Domain="%DomAccountDomain%"
	XMLSET %XMLSpecializePath%Identification/Credentials/UserName="%DomAccount%"
	XMLSET %XMLSpecializePath%Identification/Credentials/Password="%DomAccountPW%"
	IF "%MachineObjectOU%"<>"" THEN
		IFXMLNOTEXIST %XMLSpecializePath%Identification/MachineObjectOU THEN
			XMLADD %XMLSpecializePath%Identification/MachineObjectOU="%MachineObjectOU%"
		ELSE
			XMLSET %XMLSpecializePath%Identification/MachineObjectOU="%MachineObjectOU%"
		ENDIF
	ENDIF		
ENDIF

IF "%DomLoginAccountDomain%"="" THEN
	IF "%DOMPDC%"="" THEN
		§DomLoginAccountDomain=""
	ELSE
		§DomLoginAccountDomain="%LogonDomain%"
	ENDIF
ENDIF
IF "%DomLoginAccountDomain%"="" | "%DOMPDC%"="%EmpirumServer%" THEN
	§EmpirumLoginAccount="LOCAL\%DomLoginAccount%"
ELSE
	§EmpirumLoginAccount="%DomLoginAccountDomain%\%DomLoginAccount%"
ENDIF

Der Für mich interessante part liegt in der Mitte. Den würd ich nun wie folgt anpassen... macht das sinn ?

Code: Select all

;§§§ Make computer member of a domain, or delete the Join/Identification XML tree

IF "%NTDomain%"="" THEN
	IFXMLEXIST %XMLSpecializePath%Identification/JoinDomain THEN XMLDEL %XMLSpecializePath%Identification/JoinDomain
	IFXMLEXIST %XMLSpecializePath%Identification/Credentials THEN XMLDEL %XMLSpecializePath%Identification/Credentials
ELSE	
	READINI %RD%OS.INI OS_Variable FQDN FQDN
	IF "%FQDN%"="" THEN
		§FQDN="%NTDomain%"
	ENDIF
	
	;Freshfields Custom Part

	READINI %RD%OS.INI OS_Variable OS_DomainJoinUser OS_DomainJoinUser
	IF "%OS_DomainJoinUser%"<>"" THEN
		XMLSET %XMLSpecializePath%Identification/Credentials/UserName="%OS_DomainJoinUser%"
	ENDIF

	READINI %RD%OS.INI OS_Variable OS_DomainJoinPassword OS_DomainJoinPassword
	IF "%OS_DomainJoinPassword%"<>"" THEN
		XMLSET %XMLSpecializePath%Identification/Credentials/Password="%DomAccountPW%"
	ENDIF

	XMLSET %XMLSpecializePath%Identification/JoinDomain="%FQDN%"
	IF "%DomAccountDomain%"="" THEN §DomAccountDomain="%LOGONDOMAIN%"
	XMLSET %XMLSpecializePath%Identification/Credentials/Domain="%DomAccountDomain%"
	
	;Removed as no need ! See extra code on top !
	;XMLSET %XMLSpecializePath%Identification/Credentials/UserName="%DomAccount%"
	;XMLSET %XMLSpecializePath%Identification/Credentials/Password="%DomAccountPW%"
	
	IF "%MachineObjectOU%"<>"" THEN
		IFXMLNOTEXIST %XMLSpecializePath%Identification/MachineObjectOU THEN
			XMLADD %XMLSpecializePath%Identification/MachineObjectOU="%MachineObjectOU%"
		ELSE
			XMLSET %XMLSpecializePath%Identification/MachineObjectOU="%MachineObjectOU%"
		ENDIF
	ENDIF		
ENDIF

IF "%DomLoginAccountDomain%"="" THEN
	IF "%DOMPDC%"="" THEN
		§DomLoginAccountDomain=""
	ELSE
		§DomLoginAccountDomain="%LogonDomain%"
	ENDIF
ENDIF
IF "%DomLoginAccountDomain%"="" | "%DOMPDC%"="%EmpirumServer%" THEN
	§EmpirumLoginAccount="LOCAL\%DomLoginAccount%"
ELSE
	§EmpirumLoginAccount="%DomLoginAccountDomain%\%DomLoginAccount%"
ENDIF

Ganz klar sollte die Modifikation in ein Custom script, hier verlässt es mcih aber bereits. Ich bin mir nicht sicher wo ich das reinsetzen müsste um das zu aktivieren. Können Sie mir hier noch mal helfen ?

User Forum

W7 Keine Post installation

Who is online