Jump to content

Script über GPO geht nicht....:o(


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo liebe Leute,

 

das Problem habe ich schon länger, aber ich hatte gehofft es über RTFM selber in den Griff zu bekommen. Leider bin ich gescheitert.

 

Ich muß eine Freigabe allen zuordnen, die einer GRUPPE angehören.

Es handelt sich um Schulklassen. Jeder bekommt sein eigenes Home-Laufwerk, es muß aber noch ein Gruppenlaufwerk für alle zur Verfügung stehen.

 

Da es viele Klassen gibt, darf nur wer zu einer Klasse gehört, das Leufwerk mappen und hat lese und schreibrechte darauf.

 

Jedes Mitglied einer Klasse gehört nun auch zu einer eigens eingerichteten Sicherheitsgruppe, z.B. AT04-4.

 

Es gibt eine OU 'AT04-4' im AD und alle Nutzeraccounts der Schüler, die zu dieser Klasse gehören, sind darunter angeordnet.

 

Folgendes VBS-Script soll bei der Anmeldung aufgerufen werden:

 

On Error Resume Next

Set objnet = CreateObject ("WScript.Network")

'Versuchen alle Netzlaufwerke zu trennen...

objnet.RemoveNetworkdrive

 

'Netzlaufwerk K: trennen...

If Err.Number Then

objnet.RemoveNetworkdrive "K:"

End If

 

'...Netzlaufwerk K: verbinden...

objnet.MapNetworkDrive "K:", "\\Server\Klassenlaufwerk AT04-4"

 

Ich habe im zuständigen GPO folgendes ausprobiert:

 

'Benutzerkonfiguration->Windows Einstellungen->Scripts->Anmelden'

Funktioniert nicht.

'Benutzerkonfiguration->Administrative Vorlagen->System->Anmeldung->Diese Programme...'

Funktioniert nicht.

 

 

Loopbackverarbeitung ist aktiviert mit parameter 'zusammenführen'

 

Momentan führen die Schüler das Script 'von Hand' aus.

Das ist allerdings nicht gewünscht.

 

Wo zum Teufel könnte der Fehler stecken?

 

Danke im Voraus,

 

Sascha

Link zu diesem Kommentar

Hallo Miteinander,

 

sorry für die späte Antwort. Hatte gestern einen Fahrradunfall und musste mich erst einmal bemitleiden lassen. Jetzt geht es wieder....:o)

 

Entschuldigt meine unklare Problembeschreibung. Das Problem liegt darin, daß die Policy nicht zieht.

 

Gpresult zeigt aber eine Policy für ein anderes Startscript, welches sehr wohl funktioniert, auch nicht an...

 

Verwirrt,

 

Sascha

Link zu diesem Kommentar

Hi,

 

wie gesagt, es gibt Richtlinien, die sehr wohl funktionieren.

Die Zuordnung eines Benutzergebundenen Homelaufwerkes oder die Raumbezogene Druckerzuordnung z.B.

 

Wenn ich die Sache mit der GPO-Modellierung simuliere, zeigt mir das Tool, das Richtlinie für die Zuordnung des Klassenlaufwerkes benutzt wird/würde.

 

Aber auf der Seite des Client-Rechners mit einem Benutzer, der zu dieser Gruppe und OU gehört, nix...

 

Sascha

Link zu diesem Kommentar

Hallo,

 

ich habe ein wenig Zeit zum entspannenden Schreiben.

 

Auch ich betreue (unter anderem) das Netzwerk einer Bildungseinrichtung.

 

Früher in der Steinzeit von NT habe ich fast alles mit dem im Benutzerkonto definierten Loginskript (Batch) gemacht, auch das Mappen von Netzlaufwerken auf das Home des Benutzers, auf die Gruppe und Alle.

Die Benutzergruppe wurde mit Ifmember abgefragt.

\\%dc%\netlogon\ifmember.exe BAFS
echo %errorlevel%
if %errorlevel% equ 1 (
if exist \\%FS%\Beurteilungen net use R: \\%FS%\Beurteilungen /persistent:no
) 

Ifmember ist ein Befehl aus dem Ressourcekit.

 

Auch das Antivirusupdate wurde mit dem Loginscript durchgeführt, was schon mal etwas länger dauern konnte. Ein Problem war, manche User waren ungeduldig, brachen das Loginskript ab.

 

Mit Einführung von 2kWS in die NT-Domäne gab es mit der Lokalen Gruppenrichtlinie die Möglichkeit, bereits vor der Anmeldung des Benutzers ein Skript (Computerkonfiguration, Windoews-Einstellungen, Skripts, Starten) auszuführen. Diese Ausführung geschah im Gegensatz zum Loginskript allerdings verborgen. Das sichtbare Ausfüheren (zur Test) kann konfiguriert werden in den Administrativen Vorlagen, System, Anmeldung, Startskripts sichtbar ausführen. Damit konnte das Antivirusupdate vor der Anmeldung des Benutzers ausgeführt werden, anfangs zur Kontrolle sichtbar, später unsichtbar.

 

Off-Topic:

Es geht gleich weiter, ich trinke erstmal ein Cappu.

Link zu diesem Kommentar

Mit dem Upgrade auf eine 2k-Domäne wurde es dann möglich, Gruppenrichtlinien domänenweit anzuwenden.

 

Es wollte anfangs nicht funktionieren, es lag an der Namensauflösung.

 

Dann fiel mir die Default Domain Policy in die Hände. In Schulungen wird von MCTs und anderen meist (dringenst) davon abgeraten, diese zu manipulieren, überhaupt eine Richtlinie auf Domänenebene zu verwenden. Sie wirkt auch auf die Einstellungen für den Administrator, bei Unachtsamkeit ist leicht ein Selbstausschluss möglch. Davor warnte schon Mark Minasi in seinem Buch zu NT4.0 bei Systemrichtlinien.

Ich verwende trotzdem die DDP, habe mich noch nie ausgeschlossen. Für den Notfall sollte man aber mal an Rettungspläne, Rettungstools denken.

 

In der DDP konfigurierte ich domänenweit das Antivirusupdate gleich den alten Einstellungen der lokalen Gruppenrichtlinie. Daraus wurde die Einstellung entfernt.

 

Das war also eine Einstellung für die Computerkonfiguration, im Computerknoten. Nun konfiguriert ich (versuchsweise) auch ein Startskript im Benutzerkonten. Diese Einstellung zeigte keine Wirkung. Bei Nachfrage und Recherche wurde ich auf den Loopbackverarbeitungsmodus aufmerksam. (Computerkonfiguration, Administrative Vorlagen, System, Gruppenrichtlinien, Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie. Diese Einstellung ist angeblich nicht für diesen Zweck gedacht, mir war das aber egal. Ich hatte eine Möglichkeit, falls ich es brauchte.

 

Es wurden in der DDP noch einige weiter Einstellungen getätigt, ich verlor den Überblick. Schliesslich kam ich auf die Idee, für jeden Vorgang eine eigene Richtlinie mit passender Bezeichnung anzulegen. Dagegen spricht möglicherweise ein Argument wegen der Zeitakkumulation bei Abarbeitung vieler Richtlinien. Das tragen aber die User, die Richtlinien dienen der Erleichterung administrativer Aufgaben, den Usern muss ich das nicht erzählen. ;)

 

Man sollte die Richtlinien, deren Zweck, Einstellungen und Wirkung dokumentieren!

 

Off-Topic:

Kleine Pause

Link zu diesem Kommentar

Dann wurden OUs eingerichtet erstmal der Übersichtlichkeit wegen. In den Containern Computers und Users verlor ich die Übersicht, eine nervige Sucherei bei Zurücksetzen des PW, Umbenennen nach Eheschliessungen usw.

Jeder EDV-Pool(Raum) erhielt eine OU nach Raumbenennung (R201, R203, ... . Die Rechner wurden aus dem Container Computers hinein verschoben.

 

Jeder Kurs erhielt eine OU nach Kursbenennung (BA201, FS201), Die Benutzer und auch die Sicherheitsgruppe wurde in die OU verschoben.

 

Auf Schachtelungen von OUs wurde (bisher) bewusst verzichtet.

 

Die verschieden Pools gehören unterschiedlichen Divisionen des (Bildungs-)Unternehmens, sind damit verschiedenen Kostenstellen zugeordnet. Das ist auch für die Software so. es gibt da verschiedene Virenscanner, Office-Pakete, Visio-Versionen, Lexware ....

 

Es wurde also von den domänenweiten Richtlinien weitgehend abgerückt und für die Computer-OUs benötigte Richtlinien konfiguriert. Hier wurde bisher meist der Computerknoten benutzt zur Bereitstellung der Softwarepakete.

 

Das Skript für die Druckerzuordnung wird in der Benutzerkonfiguration der Rechner-OU durchführt. Der Benutzer erhält die Drucker dadurch abhängig vom EDV-Raum. Das Skript zeigte in der Computerkonfiguration nicht die gewünschte Wirkung. Es wirkt wohl auf einen Benutzerzweig der Registry.

 VBScript source code
'
Dim net
Set net = CreateObject("WScript.Network")    
net.SetDefaultPrinter "HP LaserJet 5"

Off-Topic:

Ich denke, für heute reicht es

Link zu diesem Kommentar

Hallo Edgar!

 

Das kommt mir alles sehr bekannt vor...:o)

 

Nur, das ich nicht aus der NT-Welt komme, sondern aus der UNIX-Welt.

Ich habe es zwar immer mal versucht, aber mich mit Schaudern wieder abgewendet.

(Das war natürlich auch ein bischen Glaubenskriegermäßig)

Aber als ich das erste mal einen W2K3-Server aus der Nähe betrachten konnte, wurde ich doch sehr neugierig.

Bot er doch alles, was unter UNIX funktionierte und auch das, was man sich (heimlich) immer gewünscht hatte.

Bin also nicht unbedingtr mit wehenden Fahnen übergelaufen, aber ich finde das Konzept mit AD, OU, etc. recht überzeugend, vor allem, wenn man größere Rechner und Nutzermengen hat.

 

Ich habe eigentlich alles genau so gemacht wie Du. Raumbezogene Druckerzuordnung, etc.

(Bei der Du mir ja auch schon helfen konntest.)

OU Hierarchien, kleine GPO's für Einzelprobleme, usf.

 

Alles soweit prima. Nur diese gruppenbasierte Geschichte läuft nicht.

Ich habe den Verdacht, daß es etwas mit Permissions zu tun hat.

Aber ich weiß nicht so recht, wie ich an das Problem herangehen soll.

 

Allgemein denke ich, daß Microsoft fast schon zuviel Hausaufgaben gemacht hat.

Die Flut der Parameter und Möglichkeiten erschlägt einen und es ist (mir zumindest) nicht möglich, Dinge wirklich zu vergleichen. Oder doch?

 

Sascha

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...