Jump to content

Powershell Anmeldescript


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo zusammen,

 

ich möchte gerne bei den Usern das Camera Roll Verzeichnis durch einen Speicherort auf dem FileServer ersetzen.

Testweise habe ich jetzt ein Powershell Anmeldescript erstellt,  dass per GPO (Benutzerkonfiguration) verteilt wird und folgendes macht:

 

Ich lösche den Standard Windows Ordner:

Remove-Item -Path "$env:USERPROFILE\Pictures\Camera Roll" -recurse -Force -Confirm:$false

Remove-Item -Path "$env:USERPROFILE\Pictures\Camera Roll" -recurse -Force -Confirm:$false

Dann will ich einen mklink erstellen der an diesem Platz ist und mit dem Userordner auf dem Server verknüpft wird:

New-Item -ItemType SymbolicLink -Path "$env:USERPROFILE\Pictures\Camera Roll" -Target "$serverpath\$($env:USERNAME)"

Das hat auch alles super funktioniert, jedenfalls mit meinem User...

Leider musste ich feststellen das ein User ohne Adminrechte, diesen SymbolicLink nicht erstellen darf....

 

Wie bekomme ich das Ganze zum laufen ?

 

Viele Grüße & vielen Dank vorab

Link to comment
vor 2 Stunden schrieb testperson:

Hi,

 

spontan würde mir "Ordnerumleitung" zumindest dann für den gesamten Pictures Ordner einfallen.

 

Gruß

Jan

Hi Jan,

 

also mittlerweile habe ich rausgefunden, dass das erstellen von Symbolischen Links immer Adminrechte erfordert.

Meinst Du mit Ordnerumleitung Rechtsklick auf den Pictures Ordner - Pfad- Verschieben ?

Das wäre auch eine Möglichkeit aber wie mache ich das mit Powershell o.ä ?

 

VG

Link to comment
vor 7 Stunden schrieb KlausKleber:

also mittlerweile habe ich rausgefunden, dass das erstellen von Symbolischen Links immer Adminrechte erfordert.

Nein, tut es nicht. Das ist ein Windows-Recht, das man per GPO jedem geben kann, wenn es Not tut. Und ich persönlich finde diesen Weg nicht sooo falsch - bei Picasa ging das ja seinerzeit auch nur mit Symlinks, wenn man eine gemeinsame DB auf mehreren Rechnern nutzen wollte. Die Ordnerumleitung von "Bilder" ist natürlich der insgesamt schlüssigere Weg :-)

 

https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/create-symbolic-links

Edited by daabm
Link to comment
  • 2 weeks later...

Hallo nochmal,

 

auch Dir danke für die Info daabm.

 

Generell werde ich allerdings jetzt die Lösung der Ordnerumleitung weiterverfolgen.

Dazu hätte ich dann auch gleich nochmal 2 Fragen.

 

1) Ich habe hier die Option "Erweitert - Gibt Pfade für verschiedene Benutzergruppen an" gewählt.

    Dann habe ich eine Gruppe hinzugefügt, sowie den Pfad auf dem dann gespeichert werden soll wenn man Mitglied ist.

    Hier ist es aber so, wenn ich den User aus der Gruppe wieder rausnehme, hatte ich irgendwie erwartet, dass dann wieder lokal gespeichert wird.

    Aber da liege ich wohl falsch, kann mir das jemand genauer erklären ?

 

2) Hier bräuchte ich einen Grundlagen Tipp zum Thema Berechtigungen...

    Das ganze ist ja eine Benutzerrichtlinie, heißt ich verknüpfe die Richtlinie mit der OU in der meine Benutzer sind.

    Allerdings ist es jetzt so, dass die User diese Umleitung nur bekommen sollen wenn sie sich an bestimmten Geräten anmelden.

    Heißt, ich habe hier eine OU "WinTablets" in der meine Geräte sind. Und nur an diesen Geräten und falls der User berechtigt ist (siehe Punkt1) soll die GPO überhaupt greifen.

    Wie setze ich das am besten um ?

    

Viele Grüße & vielen Dank vorab

Klaus

 

 

Edited by KlausKleber
Link to comment

Hi,

 

zu 1) Da gibt es auf der Registerkarte "Einstellungen" der entsprechenden Umleitung unten den Punkt "Entfernen der Richtlinie" mit zwei Radio Buttons.

zu 2)

  • Möglichkeit 1: Du erstellst eine Gruppe in der die Computerkonten der "WinTablets" Mitglied sind und eine Gruppe mit den berechtigten Benutzern. Jetzt entfernst du im GPO in der Sicherheitsfilterung die "Authentifizierten Benutzer" und nimmst dafür die beiden Gruppen auf. Die Gruppe mit den Computerkonten darf das GPO lesen und die Gruppe mit den Benutzern zusätzlich übernehmen.
    • Wichtig: Starte die Computer nach der Aufnahme in die Gruppe neu, da die ansonsten nichts von ihrer errungenen Gruppenmitgliedschaft wissen.
  • Möglichkeit 2: Du schaust dir den Loopbackverarbeitungsmodus an: https://evilgpo.blogspot.com/2014/01/loopback-was-ist-das-und-warum-ist-es.html / https://evilgpo.blogspot.com/2012/02/loopback-demystified.html
  • Möglichkeit 3: Eine Mischung aus den beiden Möglichkeiten. ;-)

Gruß

Jan

Link to comment

Hallo testperson,

 

danke für Deinen Beitrag.

 

Den Punkt mit dem Entfernen der Richtlinie hatte ich auch gesehen und getestet.

Leider war es hier so, dass nach dem entfernen des Users aus der Gruppe weiter dort gespeichert wurde.

Ich kann mir das nur so erklären, dass in dem Moment wo der User aus der Gruppe fliegt, er weiterhin noch die Richtlinie erhält und daher der Punkt nicht greift.

Die Sicherheitsgruppe wird ja praktisch innerhalb der GPO bestimmt und hat nur was mit dem Speicherort zu tun und nicht ob jemand die Richtlinie erhält, oder verstehe ich das falsch ?:

image.png.b4ef2d6b601035550b85f96ab239384e.png

 

Den Punkt 2 schaue ich mir jetzt gleich an und teste mal.

 

Vielen Dank

 

Klaus

Link to comment

Ordnerumleitung hat Einstellungen für das Verhalten beim Entfernen - wenn das "unpassend" konfiguriert ist, bleibt die Umleitung auch bei nicht mehr angewendeter GPO weiter bestehen. Und aus der Erfahrung:

Keep it simple - tu Dir das mit verschiedenen Pfaden pro Benutzergruppe nicht an. Am "einfachsten und zuverlässigsten" funktioniert die Umleitung, wenn Deine User ein Homeset im AD-Account haben, mit %homeshare%%homepath% (ja, die GUI meckert - aber zu Unrecht - wenn Du das einträgst... Und nein, da fehlt kein Backslash). Dann muß für FR noch "Anwenden ohne Änderung" aktiviert werden, falls das Homeset mal umzieht - https://gpsearch.azurewebsites.net/#324

Das ist aber unnötig, wenn man alle seine Shares nicht "direkt" bereitstellt, sondern - sinnvollerweise - ausschließlich über DFS-Namespaces. Dann ändert sich dort nur das Verweisziel.

Du merkst schon, da kommt man schnell vom 100sten ins 1000ste :-)

BTW: Man kann die Ordnerumleitung auch "komplett selbstkontrolliert" gestalten: https://evilgpo.blogspot.com/2014/10/implementieren-von-ordner-nur-auf.html

(Geht auch unter Windows 10 noch...) Wahnsinn - auch schon wieder 6 Jahre alt, der Post :-)

Link to comment

Muss nochmal stören....

 

Habe jetzt ein zweites Gerät auf dem ich die GPO testen will.

Folgendes habe ich gemacht:

 

1) Das Gerät in die Gruppe gepackt die die GPO lesen darf

2) Der Testuser ist natürlich auch weiterhin in der Gruppe die neben dem Lesen auch übernehmen darf.

 

Das Gerät wurde mehrmals neu gestartet und wenn ich mich daran anmelde und ein cmd mit gpresult /r ausführe, sehe ich auch das der Computer Mitglied der entsprechenden Gruppe ist und der angemeldete Benutzer Mitglied der lesen/übernehmen Gruppe ist.

 

Trotzdem wird die  GPO nicht unter "Angewendete Gruppenrichtlinienobjekte" oder unter "Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet" aufgelistet.

Aus irgendeinem Grund, den ich nicht verstehe, wird die GPO nicht angenommen.

 

Die GPO sieht folgendermaßen aus:

 

1) Sie liegt auf der OU, in der der Benutzer ist.

2) Die Berechtigungen sind wie folgt:

  • Die Benutzergruppe in der der Testuser ist: Lesen & Ausführen 
  • Die Gruppe in der das Gerät ist: Lesen
  • Ersteller-Besitzer: Spezielle Berechtigungen
  • System: Lesen / Schreiben / Alle untergeordneten Objekte erstellen / Alle untergeordneten Objekte löschen / Spezielle Berechtigungen
  • Domänen Admins: Lesen / Schreiben / Alle untergeordneten Objekte erstellen / Alle untergeordneten Objekte löschen / Spezielle Berechtigungen
  • Enterprise Admins: Lesen / Schreiben / Alle untergeordneten Objekte erstellen / Alle untergeordneten Objekte löschen / Spezielle Berechtigungen 
  • Domänencontroller der Organisation: Lesen & Spezielle Berechtigungen

Passt hier noch irgendetwas nicht ??

 

VG 

 

[edit]

kurzes Update.

 

Wenn ich ein gpupdate machen bekomme ich folgende Meldung:

 

Bei der Verarbeitung der Benutzerrichtlinie sind folgende Warnungen aufgetreten:

Die clientseitige Erweiterung "Folder Redirection" der Gruppenrichtlinie konnte mindestens eine Einstellung nicht anwenden, da die Änderungen vor dem Systemstart oder der Benutzeranmeldung verarbeitet werden müssen. Das System wartet vor dem nächsten Startvorgang oder der nächsten Benutzeranmeldung darauf, dass die Gruppenrichtlinienverarbeitung vollständig abgeschlossen ist. Dies kann zu einem langsamen Start und zu einer niedrigen Startleistung führen.

 

Ein Neustart des Computer oder erneutes Anmelden mit dem Benutzer bringt aber nichts. Die Meldung bleibt bestehen und die GPO greift nicht....

Edited by KlausKleber
Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...