Jump to content

Anmeldescripts via GPO unterbinden


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Guten Tag,

ich habe eine Frage. Wir haben einen Kunden mit mehreren Standorten und mehreren Terminalservern, alles auf Basis von Server 2016 (verteilt auf Rechenzentren).

Bisher bekommen alle User mit einem Anmeldescript (was beim AD User hinterlegt ist) eine Menge Netzlaufwerke gemappt und Einstellungen verpasst. Aufgrund der vorgegebenen Struktur ist das inzwischen sogar so ausgeartet, dass in dem Script erst der Name des Terminalservers geprüft wird und die Netzlaufwerke je nach Standort unterschiedlich gemappt werden (Standort A mappt auf Fileserver 1, Standort B auf Fileserver 2, um den Ausfall eines kompletten Standorts ab zu fangen).

Das würde ich nun gerne für Übersicht und Administration mit Gruppenrichtlinien erledigen, will das Verhalten aber bei einigen Usern erst ordentlich durchtesten.

 

Daher die Frage: Besteht die Möglichkeit, z.B. mithilfe des Loopbackverarbeitungsmodus, das Ausführen von Anmeldescripten pro Terminalserver einzugrenzen? Ich würde dann gerne beim Standort 2 das Anmeldescript deaktivieren und stattdessen die Netzlaufwerke und Einstellungen via GPO mappen und setzen. Ich bin die Einstellungen eingentlich schon soweit durch, dass ich mit einem Test-User die korrekte Funktionen erfolgreich getestet habe, aber der Kunde ist...nunja, sagen wir mal so, man muss Änderungen in homöopathischen Dosen verabreichen. ;)

Daher die Idee, auf dem Ersatz-Terminalserver als erstes die Änderungen zu verteilen, damit die User das nach und nach testen können.

 

Gibt es da eine Möglihckeit?

 

Danke!

Link zu diesem Kommentar

Ja, geht. Deaktiviere die Scripts-CSE und schmeiß die zugehörigen Reg-Keys weg, dann wird da nichts mehr ausgeführt.

Oder aktiviere Loopback Replace, aber dann mußt mit allen User-GPOs ziemlich aufpassen.

Oder verweigere dem entsprechenden Terminal Server das Lesen dieser einen GPO, dann wird sie für Benutzer nicht mehr angewendet (MS16-072...)

 

BTW: Ich würde nie auf die Idee kommen, ein funktionierendes Mapping-Skript für Laufwerke und Drucker durch diese grützige GPO-Methode über Preferences zu ersetzen. Nur per Skript hast Du Möglichkeiten, auch auf Fehlersituationen zu reagieren. Aber auf Servernamen prüfen? Ich würde ja auf den Sitenamen gehen, scheint mir irgenwie logischer :-)

Link zu diesem Kommentar
  • 2 Wochen später...
Am 26.8.2020 um 22:22 schrieb daabm:

Ja, geht. Deaktiviere die Scripts-CSE und schmeiß die zugehörigen Reg-Keys weg, dann wird da nichts mehr ausgeführt.

Oder aktiviere Loopback Replace, aber dann mußt mit allen User-GPOs ziemlich aufpassen.

Oder verweigere dem entsprechenden Terminal Server das Lesen dieser einen GPO, dann wird sie für Benutzer nicht mehr angewendet (MS16-072...)

Hallo daabb,

entschuldigung, dass ich mich erst jetzt wieder melde.

 

Wie deaktiviere ich die Scripts-CSE? Habe diesbezüglich nichts gefunden. Das Anmeldescript wird nicht als GPO verteilt, sondern ist im AD User als .bat hinterlegt, daher kann ich dem TS nicht das lesen-Recht auf die GPO nehmen :)

Ich will das Ausführen von dem AD Anmeldescript auf dem TS deaktivieren.

 

Danke!

 

MfG

Link zu diesem Kommentar
vor 18 Minuten schrieb support-it:

Das Anmeldescript wird nicht als GPO verteilt, sondern ist im AD User als .bat hinterlegt, daher kann ich dem TS nicht das lesen-Recht auf die GPO nehmen :)

Wenn es im Userobjekt hinterlegt ist, greift aber auch kein GPO.

vor 20 Minuten schrieb support-it:

Ich will das Ausführen von dem AD Anmeldescript auf dem TS deaktivieren.

Wenn das Anmeldescript in einem GPO liegen würde, dann könntest Du dem TS das Übernehmen des GPO verbieten. Und ja, das geht so.

 

Im Userobjekt das Script entfernen, dafür in eine GPO packen, Userkonfig > Windows Einstellungen > Scripts.

Link zu diesem Kommentar
vor 36 Minuten schrieb BOfH_666:

Es gäbe noch die Möglichkeit, das Script selbst entsprechend anzupassen. Eine Abfrage "Wo bin ich gerade" und davon abhängig "Ich mache jetzt dies und das" hätte einen vergleichbaren Effekt. 

 

Ja, dafür habe ich mich jetzt auch entschieden. Dass ich da nicht vorher schon drauf gekommen bin.

if %computername%==Terminalserver2 goto ts02

...

:ts02

exit

 

vor 28 Minuten schrieb Sunny61:

Wenn es im Userobjekt hinterlegt ist, greift aber auch kein GPO.

Wenn das Anmeldescript in einem GPO liegen würde, dann könntest Du dem TS das Übernehmen des GPO verbieten. Und ja, das geht so.

 

Im Userobjekt das Script entfernen, dafür in eine GPO packen, Userkonfig > Windows Einstellungen > Scripts.

Logisch. Sag ich ja. Weiß ich ja auch. Ich wollte nur dezent darauf hinweisen, dass ich keine lesen-Rechte einer GPO wegnehmen kann (wie daabm vorgeschlagen hat), weil es schlicht keine GPO für das Anmeldescript gibt (wie am Anfang ja schon erwähnt) - es handelt sich dabei ja um ein AD User Anmeldescript. War vielleicht etwas zu süffisant ausgedrückt, weise ich das nächste mal nochmal deutlicher darauf hin ;)

Wenn das Script in einer GPO liegen würde, müsste ich ja diesen Thread auch gar nicht auf machen. Wir haben eine ordentliche OU Struktur, daher wäre das ein leichtes. Aber bei den Usern ist eben das Script direkt beim User hinterlegt.

 

Danke für die Antworten

 

MfG

bearbeitet von support-it
rechtschreibung und so
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...