Zum Inhalt wechseln


Foto

Script über GPO geht nicht....:o(


  • Bitte melde dich an um zu Antworten
24 Antworten in diesem Thema

#1 szumbusch

szumbusch

    Junior Member

  • 118 Beiträge

 

Geschrieben 19. Dezember 2005 - 10:26

Hallo liebe Leute,

das Problem habe ich schon länger, aber ich hatte gehofft es über RTFM selber in den Griff zu bekommen. Leider bin ich gescheitert.

Ich muß eine Freigabe allen zuordnen, die einer GRUPPE angehören.
Es handelt sich um Schulklassen. Jeder bekommt sein eigenes Home-Laufwerk, es muß aber noch ein Gruppenlaufwerk für alle zur Verfügung stehen.

Da es viele Klassen gibt, darf nur wer zu einer Klasse gehört, das Leufwerk mappen und hat lese und schreibrechte darauf.

Jedes Mitglied einer Klasse gehört nun auch zu einer eigens eingerichteten Sicherheitsgruppe, z.B. AT04-4.

Es gibt eine OU 'AT04-4' im AD und alle Nutzeraccounts der Schüler, die zu dieser Klasse gehören, sind darunter angeordnet.

Folgendes VBS-Script soll bei der Anmeldung aufgerufen werden:

On Error Resume Next
Set objnet = CreateObject ("WScript.Network")
'Versuchen alle Netzlaufwerke zu trennen...
objnet.RemoveNetworkdrive

'Netzlaufwerk K: trennen...
If Err.Number Then
objnet.RemoveNetworkdrive "K:"
End If

'...Netzlaufwerk K: verbinden...
objnet.MapNetworkDrive "K:", "\\Server\Klassenlaufwerk AT04-4"

Ich habe im zuständigen GPO folgendes ausprobiert:

'Benutzerkonfiguration->Windows Einstellungen->Scripts->Anmelden'
Funktioniert nicht.
'Benutzerkonfiguration->Administrative Vorlagen->System->Anmeldung->Diese Programme...'
Funktioniert nicht.


Loopbackverarbeitung ist aktiviert mit parameter 'zusammenführen'

Momentan führen die Schüler das Script 'von Hand' aus.
Das ist allerdings nicht gewünscht.

Wo zum Teufel könnte der Fehler stecken?

Danke im Voraus,

Sascha

#2 frauke

frauke

    Senior Member

  • 328 Beiträge

 

Geschrieben 19. Dezember 2005 - 15:40

Hallo Sascha,

hast Du mit gpresult mal überprüft, ob die gpo greift? Bzw. welche für die Benutzer angewandt werden?

Viele Grüße,
Frauke

#3 lefg

lefg

    Expert Member

  • 20.479 Beiträge

 

Geschrieben 19. Dezember 2005 - 15:45

Wird das Skript denn überhaupt aufgerufen?

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#4 mcse_killer76

mcse_killer76

    Gast

  • 2.035 Beiträge

 

Geschrieben 19. Dezember 2005 - 16:16

Prüfe mit gpresult erst mal, ob die GPO überhaupt zieht. Wenn ja, dann checke die Berechtigungen auf den Pfad, auf dem das Skript zu finden ist!

#5 szumbusch

szumbusch

    Junior Member

  • 118 Beiträge

 

Geschrieben 20. Dezember 2005 - 06:48

Hallo Miteinander,

sorry für die späte Antwort. Hatte gestern einen Fahrradunfall und musste mich erst einmal bemitleiden lassen. Jetzt geht es wieder....:o)

Entschuldigt meine unklare Problembeschreibung. Das Problem liegt darin, daß die Policy nicht zieht.

Gpresult zeigt aber eine Policy für ein anderes Startscript, welches sehr wohl funktioniert, auch nicht an...

Verwirrt,

Sascha

#6 lefg

lefg

    Expert Member

  • 20.479 Beiträge

 

Geschrieben 20. Dezember 2005 - 06:54

Wird denn überhaupt eine Rili wirksam? Wirken Richtlinien der Computerkonfiguration?
Falls die Namensauflösung per DDNS nicht funktioniert, dann können auch keine Richtlinien wirken.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#7 lefg

lefg

    Expert Member

  • 20.479 Beiträge

 

Geschrieben 20. Dezember 2005 - 07:12

wird beispielsweise eine Batch als Startskript in der Computerkonfiguration der Default Domain Policy ausgeführt? Es ist zum Testv zu achten auf die Konfiguration für die sichtbare Ausführung des Skriptes.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#8 szumbusch

szumbusch

    Junior Member

  • 118 Beiträge

 

Geschrieben 20. Dezember 2005 - 07:13

Hi,

wie gesagt, es gibt Richtlinien, die sehr wohl funktionieren.
Die Zuordnung eines Benutzergebundenen Homelaufwerkes oder die Raumbezogene Druckerzuordnung z.B.

Wenn ich die Sache mit der GPO-Modellierung simuliere, zeigt mir das Tool, das Richtlinie für die Zuordnung des Klassenlaufwerkes benutzt wird/würde.

Aber auf der Seite des Client-Rechners mit einem Benutzer, der zu dieser Gruppe und OU gehört, nix...

Sascha

#9 lefg

lefg

    Expert Member

  • 20.479 Beiträge

 

Geschrieben 20. Dezember 2005 - 07:15

Hallo Sascha,

ich muss jetzt in den Feldeinsatz, bin wahrscheinlich heute nachmittag zurück.

Falls du dann noch nicht weiterbist, können wir die sache ja mal "durchdeklinieren".

Edgar

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#10 szumbusch

szumbusch

    Junior Member

  • 118 Beiträge

 

Geschrieben 20. Dezember 2005 - 07:26

Stefan?

Aber danke anyway!

Sascha

#11 lefg

lefg

    Expert Member

  • 20.479 Beiträge

 

Geschrieben 20. Dezember 2005 - 13:27

Stefan?
Sascha

Gerade als ich dir(Sascha) schrieb, kam Stefan in die Tür, um mich abzuholen. :)

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#12 lefg

lefg

    Expert Member

  • 20.479 Beiträge

 

Geschrieben 20. Dezember 2005 - 15:35

Hallo,

ich habe ein wenig Zeit zum entspannenden Schreiben.

Auch ich betreue (unter anderem) das Netzwerk einer Bildungseinrichtung.

Früher in der Steinzeit von NT habe ich fast alles mit dem im Benutzerkonto definierten Loginskript (Batch) gemacht, auch das Mappen von Netzlaufwerken auf das Home des Benutzers, auf die Gruppe und Alle.
Die Benutzergruppe wurde mit Ifmember abgefragt.
\\%dc%\netlogon\ifmember.exe BAFS
echo %errorlevel%
if %errorlevel% equ 1 (
if exist \\%FS%\Beurteilungen net use R: \\%FS%\Beurteilungen /persistent:no
)
Ifmember ist ein Befehl aus dem Ressourcekit.

Auch das Antivirusupdate wurde mit dem Loginscript durchgeführt, was schon mal etwas länger dauern konnte. Ein Problem war, manche User waren ungeduldig, brachen das Loginskript ab.

Mit Einführung von 2kWS in die NT-Domäne gab es mit der Lokalen Gruppenrichtlinie die Möglichkeit, bereits vor der Anmeldung des Benutzers ein Skript (Computerkonfiguration, Windoews-Einstellungen, Skripts, Starten) auszuführen. Diese Ausführung geschah im Gegensatz zum Loginskript allerdings verborgen. Das sichtbare Ausfüheren (zur Test) kann konfiguriert werden in den Administrativen Vorlagen, System, Anmeldung, Startskripts sichtbar ausführen. Damit konnte das Antivirusupdate vor der Anmeldung des Benutzers ausgeführt werden, anfangs zur Kontrolle sichtbar, später unsichtbar.

Off-Topic:
Es geht gleich weiter, ich trinke erstmal ein Cappu.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#13 lefg

lefg

    Expert Member

  • 20.479 Beiträge

 

Geschrieben 20. Dezember 2005 - 16:11

Mit dem Upgrade auf eine 2k-Domäne wurde es dann möglich, Gruppenrichtlinien domänenweit anzuwenden.

Es wollte anfangs nicht funktionieren, es lag an der Namensauflösung.

Dann fiel mir die Default Domain Policy in die Hände. In Schulungen wird von MCTs und anderen meist (dringenst) davon abgeraten, diese zu manipulieren, überhaupt eine Richtlinie auf Domänenebene zu verwenden. Sie wirkt auch auf die Einstellungen für den Administrator, bei Unachtsamkeit ist leicht ein Selbstausschluss möglch. Davor warnte schon Mark Minasi in seinem Buch zu NT4.0 bei Systemrichtlinien.
Ich verwende trotzdem die DDP, habe mich noch nie ausgeschlossen. Für den Notfall sollte man aber mal an Rettungspläne, Rettungstools denken.

In der DDP konfigurierte ich domänenweit das Antivirusupdate gleich den alten Einstellungen der lokalen Gruppenrichtlinie. Daraus wurde die Einstellung entfernt.

Das war also eine Einstellung für die Computerkonfiguration, im Computerknoten. Nun konfiguriert ich (versuchsweise) auch ein Startskript im Benutzerkonten. Diese Einstellung zeigte keine Wirkung. Bei Nachfrage und Recherche wurde ich auf den Loopbackverarbeitungsmodus aufmerksam. (Computerkonfiguration, Administrative Vorlagen, System, Gruppenrichtlinien, Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie. Diese Einstellung ist angeblich nicht für diesen Zweck gedacht, mir war das aber egal. Ich hatte eine Möglichkeit, falls ich es brauchte.

Es wurden in der DDP noch einige weiter Einstellungen getätigt, ich verlor den Überblick. Schliesslich kam ich auf die Idee, für jeden Vorgang eine eigene Richtlinie mit passender Bezeichnung anzulegen. Dagegen spricht möglicherweise ein Argument wegen der Zeitakkumulation bei Abarbeitung vieler Richtlinien. Das tragen aber die User, die Richtlinien dienen der Erleichterung administrativer Aufgaben, den Usern muss ich das nicht erzählen. ;)

Man sollte die Richtlinien, deren Zweck, Einstellungen und Wirkung dokumentieren!

Off-Topic:
Kleine Pause

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#14 lefg

lefg

    Expert Member

  • 20.479 Beiträge

 

Geschrieben 20. Dezember 2005 - 16:22

Dann wurden OUs eingerichtet erstmal der Übersichtlichkeit wegen. In den Containern Computers und Users verlor ich die Übersicht, eine nervige Sucherei bei Zurücksetzen des PW, Umbenennen nach Eheschliessungen usw.
Jeder EDV-Pool(Raum) erhielt eine OU nach Raumbenennung (R201, R203, ... . Die Rechner wurden aus dem Container Computers hinein verschoben.

Jeder Kurs erhielt eine OU nach Kursbenennung (BA201, FS201), Die Benutzer und auch die Sicherheitsgruppe wurde in die OU verschoben.

Auf Schachtelungen von OUs wurde (bisher) bewusst verzichtet.

Die verschieden Pools gehören unterschiedlichen Divisionen des (Bildungs-)Unternehmens, sind damit verschiedenen Kostenstellen zugeordnet. Das ist auch für die Software so. es gibt da verschiedene Virenscanner, Office-Pakete, Visio-Versionen, Lexware ....

Es wurde also von den domänenweiten Richtlinien weitgehend abgerückt und für die Computer-OUs benötigte Richtlinien konfiguriert. Hier wurde bisher meist der Computerknoten benutzt zur Bereitstellung der Softwarepakete.

Das Skript für die Druckerzuordnung wird in der Benutzerkonfiguration der Rechner-OU durchführt. Der Benutzer erhält die Drucker dadurch abhängig vom EDV-Raum. Das Skript zeigte in der Computerkonfiguration nicht die gewünschte Wirkung. Es wirkt wohl auf einen Benutzerzweig der Registry.
VBScript source code
'
Dim net
Set net = CreateObject("WScript.Network")    
net.SetDefaultPrinter "HP LaserJet 5"
Off-Topic:
Ich denke, für heute reicht es

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#15 szumbusch

szumbusch

    Junior Member

  • 118 Beiträge

 

Geschrieben 20. Dezember 2005 - 18:23

Hallo Edgar!

Das kommt mir alles sehr bekannt vor...:o)

Nur, das ich nicht aus der NT-Welt komme, sondern aus der UNIX-Welt.
Ich habe es zwar immer mal versucht, aber mich mit Schaudern wieder abgewendet.
(Das war natürlich auch ein bischen Glaubenskriegermäßig)
Aber als ich das erste mal einen W2K3-Server aus der Nähe betrachten konnte, wurde ich doch sehr neugierig.
Bot er doch alles, was unter UNIX funktionierte und auch das, was man sich (heimlich) immer gewünscht hatte.
Bin also nicht unbedingtr mit wehenden Fahnen übergelaufen, aber ich finde das Konzept mit AD, OU, etc. recht überzeugend, vor allem, wenn man größere Rechner und Nutzermengen hat.

Ich habe eigentlich alles genau so gemacht wie Du. Raumbezogene Druckerzuordnung, etc.
(Bei der Du mir ja auch schon helfen konntest.)
OU Hierarchien, kleine GPO's für Einzelprobleme, usf.

Alles soweit prima. Nur diese gruppenbasierte Geschichte läuft nicht.
Ich habe den Verdacht, daß es etwas mit Permissions zu tun hat.
Aber ich weiß nicht so recht, wie ich an das Problem herangehen soll.

Allgemein denke ich, daß Microsoft fast schon zuviel Hausaufgaben gemacht hat.
Die Flut der Parameter und Möglichkeiten erschlägt einen und es ist (mir zumindest) nicht möglich, Dinge wirklich zu vergleichen. Oder doch?

Sascha