Net Send

[PCTeknikern]

Hejsan!

 

Nån som har något bra tips på hur man kan hindra användare att skicka meddelande på nätverket typ Net Send?

 

Har provat att stänga av Messenger tjänsten men det hjälper ju inte eftersom det finns tredje parts programvaror som skickar sådan meddelande också...

Samt att de kan fejka avsändare och datorns namn...

 

Tacksam för något tips..

 

[JANspeed]

Om du stänger av messengertjänsten på alla användare så kan de väl inte skicka till de datorer som har den avstängd?

 

/JANspeed

 

[PCTeknikern]

Har du nått bra förslag hur man stänger av Messenger tjänsten på över 800 datorer på ett smidigt sätt när man inte kör Active Directory?

 

[Stoffe-2k]

Den simplaste lösningen är att stoppa tjänsten redan i inloggnings scriptet.

 

NET STOP "service"

 

 

snyggare och bättre är givetviss genom policy och AD.

 

 

[PCTeknikern]

Väldigt smidigt att stänga den i inloggningsscriptet men en liten fråga angående inloggningscriptet bara...

 

Körs inte inloggningsscript med de behörigheter som användaren har? Och det är väl bara administratörer som har rätt att stänga ner tjänster? Användarna här är vanliga users....

 

[Bure]

Har inte du administratörsrättigheter, då? Om inte, vem har då det?

 

[PCTeknikern]

Jag vet inte om jag missuppfattar dig nu men menar du att jag som admin skulle springa runt och logga in på över 800 datorer? Vanliga users i systemet har inte adminrättigheter och således kan inte ett Net Stop kommando i inloggningsscriptet som körs när de loggar på stänga ner en tjänst.

 

Hoppas att jag förstod dig rätt...?

 

[Bure]

Nej, men det finns väl en server som styr dessa 800 klienter? Och därifrån ändra scriptet.

 

[ZanY]

Problemet med de förslag du har fått (som du också har insett) är att alla inloggningsscript körs som den användaren det startas av. Det låter logiskt men man tänker inte alltid på det.

 

Om användarna inte är administratörer på sina datorer kommer det alltså inte fungera att lägga något som stoppar tjänsten i ett script som körs av användaren.

 

En liten avstickare är på sin plats här:

Det är inte så dumt att ändra lite på defaultbeteendet när det gäller lokala administratörer på klienter.

Normalt läggs "Domain Admins" med i den lokala administratörsgruppen. En idé är att istället skapa en global grupp som heter 'Local_Admins' och lägga den i lokala administrtörsgruppen på klienterna. Då får man en mycket flexblare lösning. I den globala gruppen 'Local_Admins' lägger man förmodligen 'Domain Admins' men man kan även kasta in t.ex sitt supportcenter. Då är supportteknikerna admins på alla PCs, utan att vara 'Domain Admins'. Det låter dig också temporärt lägga upp vanliga användare där, om du t.ex ska scripta ut en programinstallation eller liknande. Naturligtvis kan du skapa flera 'Local_Admin'-grupper, om du vill sära på t.ex avdelningar eller liknande.

Nåväl, det var en liten avstickare det...

 

Nu över till hur man kan lösa problemet.

 

Förutsatt att du själv är administratör på samtliga datorer så går det att scripta. Vi använder ADSI och WMI, är det W2k-maskiner eller högre ska det fungera. Annars måste man installera det först.

 

Vet inte om du är hemma på vbscript men detta script fungerar:

Set objDomain = GetObject("WinNT://DinDomän")
objDomain.Filter = Array("Computer")
For Each Computer In objDomain
   If computer.name = "DittDatornamn" Then
       wscript.echo Computer.Name
       strComputer = Computer.Name
       Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
       Set colServiceList = objWMIService.ExecQuery("Select * from Win32_Service Where Name = 'Messenger'")
       For each objService in colServiceList
           objService.StopService()
           objService.ChangeStartMode("Disabled")
       Next
   End If
Next
Set objDomain = Nothing

Tyvärr förstör Eforum formateringen, det får du stå ut med.

Det som händer i scriptet är följande:

*Mha ADSI väljs din domän samt alla datorkonton filtreras ut. En loop startas som loopar igenom datorerna.

*If-satsen är endast i debug-syfte. Antar att du inte vill köra på alla 800 datorer på en gång. Börja med din egen. Om du är osäker även efter det kan du köra alla som börjar på 'A' t.ex.

*Printa ut datornamnet så man ser vilken dator som valts.

*Mha WMI listar vi ut alla tjänster som heter "Messenger", borde bara vara en =)

*Loopa igenom tjänsterna och stäng av samt disabla dem.

 

Som du ser saknas errorhanteringen helt. Du kan inte förutsätta att detta fungerar på alla. Ex på fel som kan inträffa:

*Datorn är inte på - den går efter datorkonton, inte efter datorer som är på.

*Datorn stödjer inte WMI.

*WMI-tjäsnten är inte igång.

*Du har inte rättigheter på datorn.

*Messenger-tjänsten finns inte, alternativt är avslagen.

 

Så...

 

Sist men inte minst; Lycka till!

 

Frågor? Tveka inte...

 

/Mn

 

[ZanY]

Nåå... hur gick det?

Jag som skrev ett så långt och genomtönkt inlägg, och sedan blev det tyst. Låt höra!

/Mn

 

[PCTeknikern]

Du har fattat min mening med loginscripten och adminrättigheter....dock är det otänkbart att alla skall vara lokala admins eftersom det gäller på en skola....blir totalt kaos...

 

Tack ändå....

 

[PCTeknikern]

Oj...sorry /MN jag såg inte ditt fina långa inlägg...jag ber om ursäkt....jag skall kolla på det....jag har inte hunnit bara....

 

Tack för så utförligt svar!

 

[pepino]

wow, 800 datorer, då skulle mitt program net bomber 2.1 vara kul...