8
Mit GPO gpresult beim Start des PCs ausführen
Hallo,
ich würde mir gerne beim Systemstart von den PCs (Win7) im Netzwerk über gpresult ausgeben lassen, welche Gruppenrichtline angewendet wurde bzw angewendet werden wird. Dies deshalb, da ja die Ausgabe von gpresult, ausgeführt von einem Standard-User keine Ergebnisse der Computerkonfiguration liefert.
Folgenden bat-Code rufe ich über eine Richtlinie auf (Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Skripts (Staren/Herunterfahren) -> Starten):
Leider kommt die HTML-Datei nicht am Speicherort an.
Weiß vielleicht jemand, warum?
Gibt es eine andere, vermutlich cleverere, Möglichkeit von den PCs abzufragen, welche Richtlinien angewandt wurden?
Neugierige Grüße,
Andreas
ich würde mir gerne beim Systemstart von den PCs (Win7) im Netzwerk über gpresult ausgeben lassen, welche Gruppenrichtline angewendet wurde bzw angewendet werden wird. Dies deshalb, da ja die Ausgabe von gpresult, ausgeführt von einem Standard-User keine Ergebnisse der Computerkonfiguration liefert.
Folgenden bat-Code rufe ich über eine Richtlinie auf (Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Skripts (Staren/Herunterfahren) -> Starten):
@echo off
gpresult /h "\\SERVER\SYSVOL\DOMAIN.local\scripts\MSIFiles\_LogFiles\_GPO_Using_PC_Flag\%computername%\%computername%_GPREsult.html" /f Leider kommt die HTML-Datei nicht am Speicherort an.
Weiß vielleicht jemand, warum?
Gibt es eine andere, vermutlich cleverere, Möglichkeit von den PCs abzufragen, welche Richtlinien angewandt wurden?
Neugierige Grüße,
Andreas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 239904
Url: https://administrator.de/contentid/239904
Printed on: April 18, 2024 at 22:04 o'clock
8 Comments
Latest comment
Hallo Ahstax
Bei unserer Domäne rufe ich das folgendermassen auf:
gpresult >%Logonserver%\Clientapps\%Computername%_gpresult.log
Somit wird eine .log Datei erstellt ,und nicht eine HTML-Datei. Kann mir zwar nicht vorstellen, dass das das Problem darstellt.
Als Pfad habe ich %Logonserver% drin stehen, und der Befehl wird erst beim Login des Benutzers aufgerufen
Achja: und ich meine, es hat was mit dem Benutzer "authentifizierte Benutzer" zu tun. der muss glaub ich Schreibrechte auf das entsprechende Verzeichnis haben.
Gruss meierjo
Bei unserer Domäne rufe ich das folgendermassen auf:
gpresult >%Logonserver%\Clientapps\%Computername%_gpresult.log
Somit wird eine .log Datei erstellt ,und nicht eine HTML-Datei. Kann mir zwar nicht vorstellen, dass das das Problem darstellt.
Als Pfad habe ich %Logonserver% drin stehen, und der Befehl wird erst beim Login des Benutzers aufgerufen
Achja: und ich meine, es hat was mit dem Benutzer "authentifizierte Benutzer" zu tun. der muss glaub ich Schreibrechte auf das entsprechende Verzeichnis haben.
Gruss meierjo
1
Hallo meierjo
Die Anregung "%Logonserver%" habe ich sehr gerne angenommen und umgesetzt.
Das Problem ist in diesem Fall tatsächlich nicht der Dateityp HTML oder LOG. Das Problem ist, dass ein User keine Berechtigung hat, mit gpresult die Computerrichtlinien auszulesen, so dass diese dann leer sind. Die Computerrichtlinien auslesen darf wohl nur ein Administrator. Ich würde aber gerne vermeiden, den Usern höhere Berechtigungen zu gewähren. Die dürfen ja so schon zu viel
Deswegen war mein Gedanke, das gprersult beim Booten des PCs bzw vor dem Login des Users ausführen zu lassen, in der Hoffnung, dass das System ausreichend Rechte zum Auslesen der Computerrichtlinien hat.
Eigentlich geht es mir ja zusammengefasst darum, zu dokumentieren (ohne die einzelnen PCs persönlich besuchen zu müssen), welche GPO von dem PC übernommen wurde.
Gibt es vielleicht eine andere, bessere Möglichkeit, als gpresult? Wobei ich die Darstellung darin schon ganz gut finde...
Neugierige Grüße,
Andreas
Die Anregung "%Logonserver%" habe ich sehr gerne angenommen und umgesetzt.
Das Problem ist in diesem Fall tatsächlich nicht der Dateityp HTML oder LOG. Das Problem ist, dass ein User keine Berechtigung hat, mit gpresult die Computerrichtlinien auszulesen, so dass diese dann leer sind. Die Computerrichtlinien auslesen darf wohl nur ein Administrator. Ich würde aber gerne vermeiden, den Usern höhere Berechtigungen zu gewähren. Die dürfen ja so schon zu viel
Deswegen war mein Gedanke, das gprersult beim Booten des PCs bzw vor dem Login des Users ausführen zu lassen, in der Hoffnung, dass das System ausreichend Rechte zum Auslesen der Computerrichtlinien hat.
Eigentlich geht es mir ja zusammengefasst darum, zu dokumentieren (ohne die einzelnen PCs persönlich besuchen zu müssen), welche GPO von dem PC übernommen wurde.
Gibt es vielleicht eine andere, bessere Möglichkeit, als gpresult? Wobei ich die Darstellung darin schon ganz gut finde...
Neugierige Grüße,
Andreas
Hallo
Dann schau die mal die Hilfe von gpresult (gpresult /?) an. Dort kannst du eventuell den Benutzernamen eines Benutzers mit Admin-Rechten mitgeben??
Grus
Dann schau die mal die Hilfe von gpresult (gpresult /?) an. Dort kannst du eventuell den Benutzernamen eines Benutzers mit Admin-Rechten mitgeben??
Grus
1
Hi.
Du bist auf den Rechtehinweis gar nicht eingegangen. Das Startskript wird vom Systemkonto ausgeführt, somit muss die Gruppe der Domänencomputer (oder eben die Gruppe "authentifizierte Benutzer") dort Schreibrechte haben.
Du bist auf den Rechtehinweis gar nicht eingegangen. Das Startskript wird vom Systemkonto ausgeführt, somit muss die Gruppe der Domänencomputer (oder eben die Gruppe "authentifizierte Benutzer") dort Schreibrechte haben.
1
Hallo,
Die Domänencomputer haben für den Zielordner, in den die gpresult.html-Dateien geschrieben werden sollen, Lese- und Schreibrechte. Liegt es vielleicht am Speicherort \\DC\sysvol\Domäne.local\scripts\...\_GPO_Using_PC_Flag ?
Zitat von @DerWoWusste:
Du bist auf den Rechtehinweis gar nicht eingegangen. Das Startskript wird vom Systemkonto ausgeführt, somit muss die Gruppe
der Domänencomputer (oder eben die Gruppe "authentifizierte Benutzer") dort Schreibrechte haben.
Du bist auf den Rechtehinweis gar nicht eingegangen. Das Startskript wird vom Systemkonto ausgeführt, somit muss die Gruppe
der Domänencomputer (oder eben die Gruppe "authentifizierte Benutzer") dort Schreibrechte haben.
Die Domänencomputer haben für den Zielordner, in den die gpresult.html-Dateien geschrieben werden sollen, Lese- und Schreibrechte. Liegt es vielleicht am Speicherort \\DC\sysvol\Domäne.local\scripts\...\_GPO_Using_PC_Flag ?
Liegt es vielleicht am Speicherort \\DC\sysvol\Domäne.local\scripts\...\_GPO_Using_PC_Flag ?
Was soll das heißen "liegt es am Speicherort"?
Hallo
Probiers doch testweise mal ohne Variable %Computername%. Vielleicht ist die Variable zum Zeitpunkt, wo das Script ausgeführt wird, noch nicht verfügbar??
Gruss
Probiers doch testweise mal ohne Variable %Computername%. Vielleicht ist die Variable zum Zeitpunkt, wo das Script ausgeführt wird, noch nicht verfügbar??
Gruss
1
Hallo,
es scheint so zu sein, dass verschiedene Variablen (%computername%, %logonserver%, ...) zu dem frühen Zeitpunkt noch nicht verfügbar sind. Meine Lösung ist jetzt, dass ich mit einer ersten Batch-Datei beim Starten des PCs die gpresult.html auf dem PC erzeugen lassen und mit einer zweiten Batch-Datei beim Login die Datei dann in sein eigenltiches Ziel kopiere.
Danke für alle Anregungen!!!
Sonnige Grüße,
Andreas
es scheint so zu sein, dass verschiedene Variablen (%computername%, %logonserver%, ...) zu dem frühen Zeitpunkt noch nicht verfügbar sind. Meine Lösung ist jetzt, dass ich mit einer ersten Batch-Datei beim Starten des PCs die gpresult.html auf dem PC erzeugen lassen und mit einer zweiten Batch-Datei beim Login die Datei dann in sein eigenltiches Ziel kopiere.
Danke für alle Anregungen!!!
Sonnige Grüße,
Andreas
