kaineanung

Ich habe ja sicherlich schon geschrieben das wir hier in der Firma Notebooks für Aussendienslter haben und natürlich interne Clientmaschinen. Wenn ich das Konzept mit dem 'Vorlagen-Pfad auf den Server setzen' nutze, dann habe ich ein Problem mit den Aussendienstlern die mal in der Firma sind und mal nicht. Daher kopiere ich dann die Vorlagendateien lokal. Und Schwups habe ich ein Berechtigungsproblem mit Robocopy.. Wie gesagt: GPP kann das und daher: ist schon i.O.. Dennoch würde ich sehr gerne mal eure Konzepte sehen und mich überzeugen daß es wirklich so ist wie ihr das so sagt. Ich kann es mir nicht vorstellen da ihr sicherlich auch diese Probleme kennt und sogar habt (oder ihr habt keine Aussendienstler womit aber nur dieses eine Problem gelöst wäre). Ich würde es ja LIEBEN wenn ich es dann anders, eben richtig, machen könnte. Ich bin ja froh euch hier fragen zu können ;) Danke bisher für alles ;)

Stimmt, das Problem bleibt nach wie vor bestehen. Das ist b***d und daher werde ich wohl oder übel bei GPP bleiben bei Dingen die Userbezogen sind. Alles Andere robocopy und damit habe ich ja mein Problem gelöst..

Wenn ich im Script selber Gruppenzugehörigkeit abfrage, richtig? Ich kann BAT, ich kann VBS aber PowerShell nicht. Geht das auch mit BAT?

Ja, ich schaue von Aufgabe zu Aufgabe was besser ist. Deine Antwort auf mein Eingangspost mit robocopy hat es mir halt angetan und ich will schon robocopy bevorzugen. Eben da wo es geht und ansonsten dann GPP. Danke an euch alle!

Eigentlich ist meine Frage nicht hypotetisch, aber ich werde es wohl über RunAs-Scripte lösen müssen und somit ist die Sache gegessen. Ich wollte aber weg von solchen 'Workarounds' und mich mit MS-Bordmitteln behelfen (Zielgruppenadressierung hat es mir angetan -> gibt es für Login-Scripte aber leider nicht).

Ja, das meine ich ja: MS hat nicht alles aus dem Praxis-Alltag vorgesehen und es besteht noch Verbesserungspotential. Scripte besitzen leider keine Zielgruppenadressierung (damit wäre es ja getan). Ich könnte natürlich eine ganze GPO für eine Abteilung erstellen und diese per Sicherheitsfilterung filtern.

Wenn du das so sagst klingt es ja auch plausibel. Aber in der Praxis ist es nun einmal so daß dies andersherum dann doch manchmal Sinn macht. Bleiben wir einmal bei den Word-Vorlagen: Die Abteilungen haben unterschiedliche Vorlagen welche beim Anmelden vom entsprechenden User in das Vorlagenverzeichnis kopiert werden sollen. Oder STARTUP-Dateien in das STARTUP-Verzeichnis von Office. Klar kann ich die Vorlagenpfade entsprechend umbiegen auf Server-Freigaben wo die entsprechenden Vorlagen enthalten sind. Die Verkaufsabteilung hat aber Notebooks und die sind oft bei den Kunden vor Ort oder treiben sich auf Messen herum und arbeiten auch vom Hotel aus. Die haben keine direkte Verbindung zum Fileserver (sondern nur über einen Terminalserver dann). Ebenso die Einkaufsabteilung die sich ab und an mit deren Notebooks bei Lieferanten herumtreiben und andere Vorlagen benötigt. Hat MS das nicht vorgesehen? Dann könnte ich denen ja mal ein Tipp geben wie es in der Praxis läuft. Vielleicht gibt es ja eine Verbebesserungsvorschlagsprämie dann? Sicherlich gibt es noch viele andere Beispiele wo es Sinn machen würde den User aufgrund seiner AD-Zugehörigkeit steuern zu können und auch in Verzeichnissen in denen dieser zurecht kein Ändern-Zugriff braucht, der Administrator per Script oder GPO aber unter seinem Kontext doch was 'administrieren' können soll (Datei löschen, andere Datei ablegen) Kurz und Bündig: Ich meine nur das MS da ein wenig an der Praxis vorbei denkt wenn die das so nicht vorgesehen haben.

War nur ein Beispiel mit den Vorlagen. Es kann u.U. auch andere Dateien treffen. Aber da bewegen wir uns hypotetisch oder theoretisch. Jetzt erst einmal Startup-Script statt Anmeldescript und das reicht. Sobald ich auf ein konkretes Problem stosse werde ich mich diesem widmen. RunAs selber ja, aber es gibt ja z.B. SPC-Scriptverschlüsselungen (von robotronic) welche verschlüsselt vorliegen und ausgeführt werden können. Ausgeführt wird mit z.B. Administrator bzw. je nachdem was angegeben wurde. Läuft bei uns schon seit Jahren in der logon.bat problemlos. Ich wollte jedoch von solchen Dingen wegkommen und Microsoft-Boardmittel verwenden. Ist ja sicherlich nicht so das MS so etwas nicht vorgesehen hat, richtig?

Ergibt Sinn. Dennoch eine weitere Frage: Wenn die zu kopierende Dateien User- bzw. gruppenabhängig sind, muss man das dann in Anmeldescript unter der Benutzerkonfiguration machen statt der Computerkonfiguration, richtig? Bei mir ist der Fall zwar 'noch' nicht eingetreten, aber das könnte durchaus vorkommen in der Zukunft. Dann hätte ich ein Problem, richtig?

Ich habe ein Problem: mein Anmeldescript scheint nun zu funktionieren ABER es kopiert Daten nur in Verzeichnisse in denen der User entsprechende Berechtigung hat! Ich dachte das alles würde unter 'System'-Rechten laufen? Meine Test besagen jedoch eindeutig: hat der angemeldetet User keinen Schreibzugriff auf das Verzeichnis, kopiert robocopy gar nichts. Gebe ich dem Zielverzeichnis z.B. das Ändern-Recht auf Benutzer, dann funktioniert es. Was ist nun zu tun? Ich werde doch nicht wieder runas-verwenden müssen? Davon will ich eigentlich wegkommen.... Was macht ihr in diesen Fällen? Ich will in das c:\ProgramFiles(x86)\Microsoft Office\Office 2014\STARTUP-Verzeichnis eine Vorlage kopieren.

Ok Leute, ich danke euch für die Hilfe. Ich habe ein BAT-Script geschrieben welches 2 Parameter + 1 optionalen Parameter erwartet und dann zuerst alles prüft (if exist) und ermittelt ob es sich um 23 oder 64-Bit (Sourcpfad) handelt und dann alles kopiert. Alles wird kopiert aussr der 3. Parameter ist gesetzt welches den zu kopieren Filename beinhaltet. Benutzt wird robocopy. Ich werde mir jetzt überlegen ob es Sinn macht dies in die Aufgabenplanung aufzunehmen. Wenn es soweit ist das ich tatsächlich mehr als nur 4-5 Kleinsdateien kopieren muss, werde ich es ausprobieren. Bisher fahre ich mit BAT gut und ist nicht sichtbar weil es ja vor dem Desktopaufbau erledigt wird. Aber nun weiß ich was für Optionen ich habe. Nur das BAT nicht unsichtbar ausgeführt werden kann finde ich b***d. Dann muss ich das eben in VBS umsetzen wie @daabm vorgeschlagen hatte. Für mich als gelernter Anwendungsentwickler wird es ja wohl kein Problem sein ;) Danke euch!

Nobby hat irgendwas von kixstart geschrieben gehabt. Das ist ja kein MS-Tool 'onboard' und wir haben das nicht. Ausserdem würde ich erstmal gerne bei bordmitteln bleiben wollen bevor ich mich selber überzeugt habe das die nicht gut sind. Was die Zielgruppenadressierung angeht: Bei GPO gibt es die ja so nicht: Benutzerkonfiguration->Richtlinien->Windows-Einstellungen->Skripts(Anmelden/Abmelden)->Anmelden Dort kann ich dann beliebig viele Scripts hinzufügen, Reihenfolge ändern und das war es... Aber Zielgruppenadressierung gibt es bei GPP. Scripte soll ich dem jedoch bevorziehen laut diversen Aussagen hier. Daher bin ich jetzt verwirrt und frage deshalb nochmals: Soll ich GPP mit Zielgruppenadressierung verwenden (dort dann je ein Script für 32 und eines für 64 Bit Systeme mit Zielgruppenadressierung -> entsprechend ermitteln und dann laufen lassen) oder soll ich Scripte wie BAT verwenden und dies wie bisher auch in dem Script ermitteln ob 23 oder 64-Bit und entsprechend kopieren?

Das hatte ich geschrieben: Stichwort: 'testweise'. Ich wollte einfach sehen ob es nach dem Desktopaufbau oder davor kopiert wird. Bei 1-2 MB ist die Zeit zu kurz um es genau bestimmen zu können. Daher testweise eben 100 MB. Fazit ist aber wie ich bereits geschrieben habe: Desktop wird erst danach aufgebaut. Egal ob 'Anmeldescripts gleichzeitig ausführen' aktiviert oder deaktiviert ist.

Nein, die LOGON.BAT wird ja abgeschafft. Wenn Scripte dann ja nur noch in GPO->Anmeldescript. Aber in diesen Scripten (bei mir ersteinmal BAT da ich nicht wei0ß ob VBS ein Vorteil bringen würde und PowerShell ich keine Ahnung von habe) muss ich nach wie vor dann prüfen ob 23 oder 64-Bit und dann entsprechend Robocopy anweisen Vorlagendateien in das richtige Verzeichnis (z.B. Startup-Verzeichnis von Office) zu kopieren. "Irre lange" war bisher in der Logon-Bat mit 5 aufpoppenden Konsolen nacheinander. Das will ich jetzt wegbekommen. Daher auch meine Sorge vor Scripten statt GPO.... Aber Scripte die ich per GPO starte sind ja unsichtbar wie ich bisher sehe... und asynchron werde ich es dann machen wenn es zu lange dauert... Zu Asynchron habe ich ja in einem anderen Thread bereits Fragen gestellt wie ich das denn mache. Davon gemerkt habe ich nämlich nichts obwohl ich testweise über 100 MB kopiert habe beim Login. Desktop hat sich immer erst danach aufgebaut, egal ob ich 'Anmeldescripts gleichzeitig ausführen' aktiviert oder deaktiviert hatte...

@daabm Danke. Ich denke das ist das was ich gesucht hatte. Ich transferiere kleine Dateien auf die Ziel-PCs. Jedoch will ich eine Lösung für größere Dateien sobald benötigt und daß der Anmeldevorgang nicht so lange dauert und der Desktop schnell da ist. Frage ist jetzt nur noch: kann ich damit ein Skript im Hintergrund ausführen ohne das es sichtbar ist?

Irgendwas machen wir dann aber falsch. Wir benutzen Windows 20013 als DC-Server und da war GPO noch nicht wirklich mächtig. Jetzt steigen wir um auf 2016 und will endlich weg vom irre lang dauerenden LOGON-Scrupt (5-6 Konsolen poppen auf und verschwinden wieder, dauert gefühlt eine Ewigkeit bis man was machen kann und muss man irgendwo nebenbei was eintippen (Groupware-Logon) fliegt der Fokus während des Startvorganges immer weg usw.. ). :( Da wäre mir eine Hintergrundlösung viel lieber und ich wundere mich, nein, ich bin sogar entsetzt das ihr LOGON-BAT dem GPO bevorzugt! Das wird mir jetzt wirklich und ohne Spaß Kopfzerbrechen und schlaflose Nächte bereiten. Ich habe auch schon soo viel Zeit in den Umstieg gesteckt! Mir wurde hier gesagt das Anmeldescript für Kopiervorgänge (Robocopy) besser sei. Dort kann ich aber keine Zielgruppenadressierung machen. Muss ich das dann wieder 'BAT-Like' machen wie bisher mit prüfen welcher Pfad denn vorhanden ist und entsprechend im Script reagieren? Ist das so auch von MS so angedacht?

Hallo Leute, ich bereite unseren Umstieg von LOGON-Script auf GPO vor und habe gerade ein Problem bei dem ihr mir hoffentlich helfen könnt. Im LOGON-Script haben wir zu beginn ermittelt ob es sich um ein Office 32 oder 64-Bit Version handelt und den Pfad zum Office-Produkt in eine Variable gesetzt. Im weiteren Verlauf wollen wir im LOGON-Script eine DOTM-Datei in einem Unterverzeichnis von Office tauschen und greifen eben über die Variable auf den korrekten Pfad zu. Somit ist es egal ob Office nun im 'Progam Files' oder 'Program Files (x86)' liegt. Bei GPO habe ich keine Möglichkeit vorher herauszufinden welche Bit-Version installiert ist und entsprechend Pfad zu setzen. Ich müsste also 2x die Gleiche Dateioperation erstellen mit jeweils unterschiedlichen Pfadangaben. Um sauber zu arbeiten könnte ich ja noch die Zielgruppenadressierung nutzen und dort per MSI-Produktcode zu bestimmen ob das jeweilige Vorhaben ausgeführt werden soll oder nicht (32 Bit-Ausführung nicht bei 64-Bit Office ausführen und umgekehrt). ABER: das ist ja dann alles Doppelt und b***d. Gibt es nicht vielleicht einen Möglichkeit doch eine Dateioperation auszuführen (BAT-Start- bzw. Anmelde-Script in diesem Falle) wo es egal ist ob im 32-Bit oder 64-Bit-Pfad gearbeitet wird?

Ok, aber wo muss ich was machen damit a) die Daten kopiert werden unabhängig des Anmeldevorganges? Das Script kann auch gleich (ohne Verzögerung) starten. Anmeldevorgang soll aber nicht warten bis es beendet wird! Das nenne ich dann 'asynchron', richtig? c) die Daten im Hintergrund kopiert werden und somit nicht stören oder dem Anwender angezeigt wird

Hallo Leute, wir schicken endlich unser W2K3 in den Ruhestand. Die Vorbereitungen für die Migration auf W2K16 treibe ich voran und u.a. löse ich unser ewig langes LOGON-Script ab und wandle, alles was überhaupt noch notwendig ist, in GPOs und GPPs um. Jetzt bin ich an die Stelle angekommen wo diverse Vorlagendateien & Co. auf den lokalen PC transferiert werden sollen. Ich habe dies per GPP umgesetzt und irgendwann mal gelesen das Anmeldescripte besser seien und man diese sogar asynchron einstellen könnte. Ich habe eine Testumgebung in welcher ich testweise 2 Ordner mit insgesamt 50 MB transferieren möchte beim anmelden eines Benutzers (das ist nur zum testen, später sind es 1-2 MB wahrscheinlich). Ich habe folgende GPO aktiviert: Computerkonfiguration \ Administrative Vorlagen \ System \Skripts Anmeldeskripts gleichzeitig ausführen = Aktiviert. UND Computerkonfiguration \ Administrative Vorlagen \ System \Gruppenrichtlinie Anmeldescriptverzögerung konfigurieren = Aktiviert & 1 Minute Ich würde hier jetzt erwarten das sich der User anmelden kann und irgendwann mal später (1 Minute + Übertragungszeit) die Daten fertig übertragen worden wären. Dem ist aber nicht so. Der Desktop wird erst nach dem abgeschlossenen Transfer der Dateien aufgebaut. Bei 1-2 MB Daten ist das wohl auch nicht weiter schlimm, aber ich will das jetzt schon richtig machen und es asynchron übertragen lassen. Denn ansonsten kann ich ja gleich bei GPP bleiben da es dann keinen Vorteil gibt dies in Anmeldescripte auszulagern und dort robocopy zu nutzen, oder? Das wäre auch gleich meine sekundäre Frage: Ist das tatsächlich so das robocopy in den Anmeldescripten besser ist als GPP? (Benutzerkonfiguration->Einstellungen->Windows-Einstellungen->Dateien)? Welche Vorteile ausser das asynchrone Übertragen (was ja bei mir leider noch nicht geht) gibt es sonst noch?

Schade das man die Zertifikate nicht einfach verlängern kann. Ist das bei den, ich sag mal 'Bezahl-Zertifikaten' denn auch so? Es ist in Planung den SBS2003 zu erneuern und zwar durch ein W2K16. Aber wann und wie steh noch in den Sternen :( Hat jemand eine Idee wie man die Zertifikate verteilen könnte? Geht GPO vielleicht doch mit einem SBS2003?

Hallo, wir haben hier einen Terminalserver der hauptsächlich Workressources in eine andere Domain remote zur verfügung stellt. Die von uns selbst erzeugte und selbst signierte Zertifikate laufen bald ab und wir finden es öde daß wir die Zertifikate letztes Jahr neu erstellen mussten und, in diesem entfernten Netzwerk, manuell verteilen mussten. Dort ist ein uralter SBS2003 im Einsatz und ich glaube das, auch wenn wir Zugriff auf diesen hätten, mit GPO und Zertifikatsverteilung nichts gehen würde. Also müssten wir wieder hinfahren und die Zertifikate manuell an vielen Clients verteilen. Daher die Frage: kann man selbst signierte Zertifikate auf dem Server einfach verlängern?

Ok, nach ein wenig herumprobieren (sobald ich Zeit zwischen drin hatte), denke ich das ich herausgefunden habe was ich alles benötige um per Registry die Windows-Explorer-Ansicht auf Detail-View setzen kann für alle Ordner. Ich habe es nun per GPO ausprobiert und jedes mal wenn ich manuell die Ansicht verändert habe auf z.B. 'Große Symbole' & 'Für alle Ordner übernehmen' und danach ein gpupdate ausgeführt und den Windows-Explorer aufgemacht habe, war die Ansicht auf Details View bzw. Detail Ansicht. Hier die Registry-Werte die ich gesetzt habe: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Streams\Defaults] "{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}"=hex:1c,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,f1,f1,f1,f1,14,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,d0,02,00,00,cc,02,00,00,31,53,50,53,05,\ d5,cd,d5,9c,2e,1b,10,93,97,08,00,2b,2c,f9,ae,83,00,00,00,22,00,00,00,00,47,\ 00,72,00,6f,00,75,00,70,00,42,00,79,00,4b,00,65,00,79,00,3a,00,46,00,4d,00,\ 54,00,49,00,44,00,00,00,08,00,00,00,4e,00,00,00,7b,00,30,00,30,00,30,00,30,\ 00,30,00,30,00,30,00,30,00,2d,00,30,00,30,00,30,00,30,00,2d,00,30,00,30,00,\ 30,00,30,00,2d,00,30,00,30,00,30,00,30,00,2d,00,30,00,30,00,30,00,30,00,30,\ 00,30,00,30,00,30,00,30,00,30,00,30,00,30,00,7d,00,00,00,00,00,33,00,00,00,\ 22,00,00,00,00,47,00,72,00,6f,00,75,00,70,00,42,00,79,00,44,00,69,00,72,00,\ 65,00,63,00,74,00,69,00,6f,00,6e,00,00,00,13,00,00,00,01,00,00,00,5b,00,00,\ 00,0a,00,00,00,00,53,00,6f,00,72,00,74,00,00,00,42,00,00,00,1e,00,00,00,70,\ 00,72,00,6f,00,70,00,34,00,32,00,39,00,34,00,39,00,36,00,37,00,32,00,39,00,\ 35,00,00,00,00,00,1c,00,00,00,01,00,00,00,30,f1,25,b7,ef,47,1a,10,a5,f1,02,\ 60,8c,9e,eb,ac,0a,00,00,00,01,00,00,00,25,00,00,00,14,00,00,00,00,47,00,72,\ 00,6f,00,75,00,70,00,56,00,69,00,65,00,77,00,00,00,0b,00,00,00,00,00,00,00,\ 1b,00,00,00,0a,00,00,00,00,4d,00,6f,00,64,00,65,00,00,00,13,00,00,00,04,00,\ 00,00,23,00,00,00,12,00,00,00,00,49,00,63,00,6f,00,6e,00,53,00,69,00,7a,00,\ 65,00,00,00,13,00,00,00,10,00,00,00,bd,00,00,00,10,00,00,00,00,43,00,6f,00,\ 6c,00,49,00,6e,00,66,00,6f,00,00,00,42,00,00,00,1e,00,00,00,70,00,72,00,6f,\ 00,70,00,34,00,32,00,39,00,34,00,39,00,36,00,37,00,32,00,39,00,35,00,00,00,\ 00,00,78,00,00,00,fd,df,df,fd,10,00,00,00,00,00,00,00,00,00,00,00,04,00,00,\ 00,18,00,00,00,30,f1,25,b7,ef,47,1a,10,a5,f1,02,60,8c,9e,eb,ac,0a,00,00,00,\ 10,01,00,00,30,f1,25,b7,ef,47,1a,10,a5,f1,02,60,8c,9e,eb,ac,0e,00,00,00,78,\ 00,00,00,30,f1,25,b7,ef,47,1a,10,a5,f1,02,60,8c,9e,eb,ac,04,00,00,00,78,00,\ 00,00,30,f1,25,b7,ef,47,1a,10,a5,f1,02,60,8c,9e,eb,ac,0c,00,00,00,50,00,00,\ 00,2f,00,00,00,1e,00,00,00,00,47,00,72,00,6f,00,75,00,70,00,42,00,79,00,4b,\ 00,65,00,79,00,3a,00,50,00,49,00,44,00,00,00,13,00,00,00,00,00,00,00,1f,00,\ 00,00,0e,00,00,00,00,46,00,46,00,6c,00,61,00,67,00,73,00,00,00,13,00,00,00,\ 01,00,20,41,31,00,00,00,20,00,00,00,00,4c,00,6f,00,67,00,69,00,63,00,61,00,\ 6c,00,56,00,69,00,65,00,77,00,4d,00,6f,00,64,00,65,00,00,00,13,00,00,00,01,\ 00,00,00,00,00,00,00,00,00,00,00 Auch muss man dringend die Bags und die BagMRU löschen: Reg Delete "HKCU\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU" /F Reg Delete "HKCU\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags" /F Sowie folgenden Wert setzen: reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Streams /v Settings /t REG_BINARY ^ /d 08000000040000000000000000777E137335CF11AE6908002B2E1262040000001000000043000000 /f (Die letzten 2 Abschnitte habe ich jetzt aus meinem Batch herauskopiert weil es mir aus der GPO umständlich ist wegen Testumgebung die kein Internet und kein Zugriff auf das restliche Netz hat usw. und ich mit USB-Stick jetzt keine Lust hatte zu hantieren) (In GPO: Reg Delete -> Registry löschen, Rest Registry aktualisieren)

Aber du hast nicht zufällig für die Details-Ansicht im Windows-Explorer ein Registry-Tweak? Ja toll, die GUI IST aber der Schwerpunkt bei allen Benutzern..... :(((

Wenn GPP oder GPO keine Lösung anbietet, geht da vielleicht was über die Registry? Diese könntei ch dann per GPP auch verteilen. Und wenn mich nicht alles täuscht ist die Registry der Kern von Windows und da müsste doch alles einstellbar sein...

Den Windows-Explorer benutzen? Echt? Wie verschieben die User Dateien in Shareverzeichnisse oder wie hantieren sie mit Dokumenten die sie von den Kunden bekommen oder an Kunden schicken müssen wie z.B. PDF-Dateien, Bilder und sonstige Dateien? Nicht alles kann man nur mit Office und einmaliges 'Speichern unter' abfangen... Verstehe ich nicht, also bitte nochmals: WIE hantieren eure User mit Dateien? Wie hantiert ihr als Admins mit Dateien wenn ihr mal an einer Clientkiste irgendwas machen müsst? Installiert ihr vorher den Total-Commander? Oder installiert ihr diesen grundsätzlich immer bei der OS-Installation 'für alle Fälle'? Ich glaube ich sollte Gärtner werden oder ich sollte in die Rente weil ich so Oldschool und Retro bin und tatsächlich den Windows-Explorer nutze...