Jump to content

Recommended Posts

Guten Tag,

ich habe eine Frage. Wir haben einen Kunden mit mehreren Standorten und mehreren Terminalservern, alles auf Basis von Server 2016 (verteilt auf Rechenzentren).

Bisher bekommen alle User mit einem Anmeldescript (was beim AD User hinterlegt ist) eine Menge Netzlaufwerke gemappt und Einstellungen verpasst. Aufgrund der vorgegebenen Struktur ist das inzwischen sogar so ausgeartet, dass in dem Script erst der Name des Terminalservers geprüft wird und die Netzlaufwerke je nach Standort unterschiedlich gemappt werden (Standort A mappt auf Fileserver 1, Standort B auf Fileserver 2, um den Ausfall eines kompletten Standorts ab zu fangen).

Das würde ich nun gerne für Übersicht und Administration mit Gruppenrichtlinien erledigen, will das Verhalten aber bei einigen Usern erst ordentlich durchtesten.

 

Daher die Frage: Besteht die Möglichkeit, z.B. mithilfe des Loopbackverarbeitungsmodus, das Ausführen von Anmeldescripten pro Terminalserver einzugrenzen? Ich würde dann gerne beim Standort 2 das Anmeldescript deaktivieren und stattdessen die Netzlaufwerke und Einstellungen via GPO mappen und setzen. Ich bin die Einstellungen eingentlich schon soweit durch, dass ich mit einem Test-User die korrekte Funktionen erfolgreich getestet habe, aber der Kunde ist...nunja, sagen wir mal so, man muss Änderungen in homöopathischen Dosen verabreichen. ;)

Daher die Idee, auf dem Ersatz-Terminalserver als erstes die Änderungen zu verteilen, damit die User das nach und nach testen können.

 

Gibt es da eine Möglihckeit?

 

Danke!

Share this post


Link to post

Ja, geht. Deaktiviere die Scripts-CSE und schmeiß die zugehörigen Reg-Keys weg, dann wird da nichts mehr ausgeführt.

Oder aktiviere Loopback Replace, aber dann mußt mit allen User-GPOs ziemlich aufpassen.

Oder verweigere dem entsprechenden Terminal Server das Lesen dieser einen GPO, dann wird sie für Benutzer nicht mehr angewendet (MS16-072...)

 

BTW: Ich würde nie auf die Idee kommen, ein funktionierendes Mapping-Skript für Laufwerke und Drucker durch diese grützige GPO-Methode über Preferences zu ersetzen. Nur per Skript hast Du Möglichkeiten, auch auf Fehlersituationen zu reagieren. Aber auf Servernamen prüfen? Ich würde ja auf den Sitenamen gehen, scheint mir irgenwie logischer :-)

Share this post


Link to post
Am 26.8.2020 um 22:22 schrieb daabm:

Ja, geht. Deaktiviere die Scripts-CSE und schmeiß die zugehörigen Reg-Keys weg, dann wird da nichts mehr ausgeführt.

Oder aktiviere Loopback Replace, aber dann mußt mit allen User-GPOs ziemlich aufpassen.

Oder verweigere dem entsprechenden Terminal Server das Lesen dieser einen GPO, dann wird sie für Benutzer nicht mehr angewendet (MS16-072...)

Hallo daabb,

entschuldigung, dass ich mich erst jetzt wieder melde.

 

Wie deaktiviere ich die Scripts-CSE? Habe diesbezüglich nichts gefunden. Das Anmeldescript wird nicht als GPO verteilt, sondern ist im AD User als .bat hinterlegt, daher kann ich dem TS nicht das lesen-Recht auf die GPO nehmen :)

Ich will das Ausführen von dem AD Anmeldescript auf dem TS deaktivieren.

 

Danke!

 

MfG

Share this post


Link to post
vor 9 Minuten schrieb support-it:

Ich will das Ausführen von dem AD Anmeldescript auf dem TS deaktivieren.

Es gäbe noch die Möglichkeit, das Script selbst entsprechend anzupassen. Eine Abfrage "Wo bin ich gerade" und davon abhängig "Ich mache jetzt dies und das" hätte einen vergleichbaren Effekt. 

Share this post


Link to post
vor 18 Minuten schrieb support-it:

Das Anmeldescript wird nicht als GPO verteilt, sondern ist im AD User als .bat hinterlegt, daher kann ich dem TS nicht das lesen-Recht auf die GPO nehmen :)

Wenn es im Userobjekt hinterlegt ist, greift aber auch kein GPO.

vor 20 Minuten schrieb support-it:

Ich will das Ausführen von dem AD Anmeldescript auf dem TS deaktivieren.

Wenn das Anmeldescript in einem GPO liegen würde, dann könntest Du dem TS das Übernehmen des GPO verbieten. Und ja, das geht so.

 

Im Userobjekt das Script entfernen, dafür in eine GPO packen, Userkonfig > Windows Einstellungen > Scripts.

Share this post


Link to post
vor 36 Minuten schrieb BOfH_666:

Es gäbe noch die Möglichkeit, das Script selbst entsprechend anzupassen. Eine Abfrage "Wo bin ich gerade" und davon abhängig "Ich mache jetzt dies und das" hätte einen vergleichbaren Effekt. 

 

Ja, dafür habe ich mich jetzt auch entschieden. Dass ich da nicht vorher schon drauf gekommen bin.

if %computername%==Terminalserver2 goto ts02

...

:ts02

exit

 

vor 28 Minuten schrieb Sunny61:

Wenn es im Userobjekt hinterlegt ist, greift aber auch kein GPO.

Wenn das Anmeldescript in einem GPO liegen würde, dann könntest Du dem TS das Übernehmen des GPO verbieten. Und ja, das geht so.

 

Im Userobjekt das Script entfernen, dafür in eine GPO packen, Userkonfig > Windows Einstellungen > Scripts.

Logisch. Sag ich ja. Weiß ich ja auch. Ich wollte nur dezent darauf hinweisen, dass ich keine lesen-Rechte einer GPO wegnehmen kann (wie daabm vorgeschlagen hat), weil es schlicht keine GPO für das Anmeldescript gibt (wie am Anfang ja schon erwähnt) - es handelt sich dabei ja um ein AD User Anmeldescript. War vielleicht etwas zu süffisant ausgedrückt, weise ich das nächste mal nochmal deutlicher darauf hin ;)

Wenn das Script in einer GPO liegen würde, müsste ich ja diesen Thread auch gar nicht auf machen. Wir haben eine ordentliche OU Struktur, daher wäre das ein leichtes. Aber bei den Usern ist eben das Script direkt beim User hinterlegt.

 

Danke für die Antworten

 

MfG

Edited by support-it
rechtschreibung und so

Share this post


Link to post

Moin,

 

Wo ich es gerade sehe: beende Batches lieber nicht mit Exit. Das schließt nämlich die ganze CMD-Instanz. Falls du mal auf die Idee kommst, ein Skript von einem anderen aus aufzurufen, suchst du dich bei sowas dämlich nach dem Fehler.

 

Besser: goto :eof

 

Gruß, Nils

  • Like 2
  • Thanks 1

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...