Anmeldeskript per GP in einer OU starten

[lefg 276]

Hallo Gemeinde,

 

Ich möchte ein Anmeldeskript in einer OU per Gruppenrichtlinie/Benutzerkonfiguration starten. Mitglied der OU ist der Rechner, nicht der User.

 

Es funktioniert nicht.

In der AMT ist das sichtbare Ausfühen konfiguriert.

 

Am Skript liegt es nicht. In der Default Domän Policy ist die Ausführung möglich.

 

Liegt ein grundsätzlicher Gedankenfehler darin, zu erwarten, die Benutzerkonfiguration werde in einer OU für Computer ausgeführt?

 

Oder liegt da etwas anderes vor?

 

Dank für Aufmerksamkeit und Rat.

 

Gruß

Edgar

[Hubert N 10]

Wie siehts mit den Rechten aus ? Hast du das Richtlinienobjekt auch mit einer Gruppe verknüpft, die das Recht hat die Richtlinie zu lesen und zu übernehmen ?

[lefg 276]

Für ein Eperiment wurde der User in die ComputerOU verschoben. Danach wurde das Skript in der Benutzerkonfiguration gestartet.

 

Das ist zwar noch keine Lösung, aber schon mal eine Erkenntnis.

 

Es gibt acht ComputerOU`s geordnet nach Räumen(numeriert).

Die Benutzer(Studenten, Umschüler) wandern, je nachdem Einteilung durch Seminarleitung. Sie sind damit keiner ComputerOU zuordbar.

[lefg 276]

Wie siehts mit den Rechten aus ? Hast du das Richtlinienobjekt auch mit einer Gruppe verknüpft, die das Recht hat die Richtlinie zu lesen und zu übernehmen ?

Hallo Hubert,

 

mir scheint, ich stehe heute selbst auf meiner Stromzufuhr. :)

Kannst Du mir bitte den Satz erläutern?

[gallus61 10]

Hallo Edgar,

 

ich denke, hier liegt ein Denkfehler vor.

Der Teil Computerkonfiguration wird nur von Computern gelesen und der Teil Benutzerkonfiguration nur von Benutzern. Jedoch nur solche GPO's die sich im Anmeldepfad des Computers/Benutzers befinden. Das dem so ist, hast Du selbst mit Deinem Experiment (User in OU des Computers) nachgewiesen.

 

Da Du schon 8 Computer-OU's hast, würde ich hier nur solche GPO's anbinden, die für Computer wirksam werden sollen (Teil Computerkonfiguration).

Für die Benutzer würde ich dann eigene OU's mit eigenen GPO's (Bneutzerkonfiguration) machen und hier das Anmeldescript anbinden.

Um die Rechte musst Du die in der Standardkonfiguration keine sorgen machen. Per default hat die Gruppe "authentifizierte Benutzer" (da sind Benutzer und Computer drin) Lese- und Ausführen-Recht.

[lefg 276]

Hallo Gallus,

 

leider kann ich den User/die user nicht OU`s zuordnen. Síe gehören zur Domäne und den Benutzergruppen.

 

Hintergrund ist folgender: Gestern waren bei uns EDV-Prüfungen für Kaufleute. Diese machen normalerweise die vorhergehende Ausbildung bei uns im Hause, haben ihr Benutzerkonto und ein Servergespeichertes Benutzerprofil. Der Standarddrucker ist für jeden Raum festgelegt und es gibt normalerweise kein Problem.

Die Prüfung findet in der gewohnten Umgebung der Teilnehmer statt. Diese besetzen ihre Plätze.

Gestern kamen zwei externe Prüflinge hinzu. Die Prüfungsaufsicht wies denen freie Plätze zu. Der Versuch die fertige Arbeit ausdrucken scheiterte erstmal am falschen Drucker als Standarddrucker. Am Tag zuvor hatte der diensthabende HiwiAdmin auf beiden Rechner Office neu installiert, dadurch war der Symantec Fax Starter Edition Standard.

Logisch ist der Gedanke, in Zukunft den Standarddrucker gezielt einzustellen. Jeder Raum hat zwei Drucker, einen Laser und einen InkJet. Die Treiber sind auf jederm Rechner lokal installiert. Dazu kommen PDF-Writer und Fax Starter Edition.

Die Benutzer können ihren Standarddrucker einstellen. In der Registry macht sich das in HKCU\Software\Microsoft\Windows NT\Current Version\Windows\Device bemerkbar.

Eine Änderung des Eintrages per Batch wirkt auf die Anzeige im Druckerordner zurück.

Mein ursprunglicher Gedanke war, die Änderung per Administrative Vorlage vorzunehmen. Solch eine Vorlage kann aber nicht für HKCU erstellt werden. Nächste Idee war, per Benutzerrichtline mit einer Batch über reg.exe und einer editierten Reg-Datei den Eintrag für Device zu ändern. Und das in Abhängigkeit vom Computerraum. Die Rechner eines Raumes gehören einer OU an. Jeder Raum hat eine OU.

Nun ist es ja so, wurde von mir per Experiment festgestellt und auch sonst bestätigt, eine ComputerOU arbeitet nur die Computerrichtlinie, nicht die Benutzerichtlinie ab.

Wird ein einzelner Benutzer solch einer OU hinzugefügt, wird für diesen die Benutzerrichtlinie ausgeführt.

Nächster Versuch war, in der OU eine Benutzergruppemit einem Testuser anzulegen. Leider führte das nicht zum erhofften Erfolg. Das Anmeldeskript wurde nicht abgearbeitet.

 

Lösung wird wohl sein, die .Reg bedingt im Login-Skript abzuarbeiten.

 

Dank für Aufmerksamkeit und Rat

Edgar

[klausk 10]

Wenn eine Benutzerkonfiguration (->Skript) nur auf bestimmten Computern wirken soll, geht das mittels der Loopback-Verarbeitungsgruppenrichtlinie (Computer-Einstellung). Im Modus "Zusammenführen" werden die in der entsprechenden GPO definierten Usereinstellungen zusätzlich angewendet ohne dass das Benutzerobjekt unterhalb der GPO liegen muss.

[lefg 276]

@KlausK

 

Dank dafür. Werde ich morgen(Mo) mal austesten.

 

Gruß

Edgar

[lefg 276]

@KlausK

 

Ich habe S2k. Kannst Du mir bitte genauer beschreiben, wo ich diese Richtlinie finde!

 

Dank und Gruß

Edgar

[klausk 10]

Die Richtlinie findest Du unter "Computerkonfiguration/Administrative Vorlagen/System/Gruppenrichtlinien"

[lefg 276]

Danke schön