13
Skript per GPO ausführen - Berechtigungen?
Hallo,
ich versuche gerade, ein Powershell-Skript als Startskript in der Benutzerkonfiguration bei der Benutzeranmeldung ausführen zu lassen. Aber es wird nicht ausgeführt, obwohl die GPO greift. Ich vermute, dass der entsprechende Benutzer nicht auf das Skriptverzeichnis (C:\Windows\SYSVOL\domain\Policies\{GUID}\User\Scripts\Logon) zugreifen darf, weil dort standardmäßig keine Netzwerkfreigabe aktiviert ist. Kann es sein?
ich versuche gerade, ein Powershell-Skript als Startskript in der Benutzerkonfiguration bei der Benutzeranmeldung ausführen zu lassen. Aber es wird nicht ausgeführt, obwohl die GPO greift. Ich vermute, dass der entsprechende Benutzer nicht auf das Skriptverzeichnis (C:\Windows\SYSVOL\domain\Policies\{GUID}\User\Scripts\Logon) zugreifen darf, weil dort standardmäßig keine Netzwerkfreigabe aktiviert ist. Kann es sein?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 323006
Url: https://administrator.de/contentid/323006
Printed on: April 25, 2024 at 23:04 o'clock
13 Comments
Latest comment
Darf man den Code sehen ?
Wenn ja bitte Posten
Was willst du denn machen ?
Wenn ja bitte Posten
Was willst du denn machen ?
Hi,
ja, sicher nicht.
Nimm \\domain\sysvol\....
Aber warum nicht einfach direkt in der GPO als Loginscript ablegen und dann ohne Pfad referenzieren?
E.
ja, sicher nicht.
Nimm \\domain\sysvol\....
Aber warum nicht einfach direkt in der GPO als Loginscript ablegen und dann ohne Pfad referenzieren?
E.
Was willst du denn machen ?
Ich nehme an: Änderung eines Registryeintrages per GPO
Der Powershell-Code sieht z. B. aus:
Dann habe ich das ps1-Skript ganz normal in einem GPO in der Benutzerkonfiguration als Startskript hinzugefügt. Das Startskript befindet sich in dieser Freigabe:
Wie meinst du das? Ich habe den Pfad direkt über das Startskript ausgewählt.
Set-ItemProperty -Path 'hkcu:SOFTWARE\Microsoft\Windows\CurrentVersion\DeviceAccess\Global\LooselyCoupled' -Name "Value" -Value "Deny" Dann habe ich das ps1-Skript ganz normal in einem GPO in der Benutzerkonfiguration als Startskript hinzugefügt. Das Startskript befindet sich in dieser Freigabe:
\\domain\SysVol\domain\Policies\{GUID}\User\Scripts\Logon
Aber warum nicht einfach direkt in der GPO als Loginscript ablegen und dann ohne Pfad referenzieren?
Wie meinst du das? Ich habe den Pfad direkt über das Startskript ausgewählt.
Und warum fragst Du dann nach "C:\Windows\SYSVOL\domain\Policies\{GUID}\User\Scripts\Logon" ?
Dass Windows 10 Clients keine Loginscripte ausführen, kann auch am "Hetz-Boot" liegen. --> GPO "Bei Anmeldung immer auf das Netzwerk warten" hast Du aktiviert?
Dass Windows 10 Clients keine Loginscripte ausführen, kann auch am "Hetz-Boot" liegen. --> GPO "Bei Anmeldung immer auf das Netzwerk warten" hast Du aktiviert?
Und warum fragst Du dann nach "C:\Windows\SYSVOL\domain\Policies\{GUID}\User\Scripts\Logon" ?
Sorry, war ein Tippfehler.
Tatsächlich habe ich das Skript aus die Netzwerkfreigabe ausgewählt.
GPO "Bei Anmeldung immer auf das Netzwerk warten" hast Du aktiviert?
Ja, schon aktiviert.
Welche OS Version? Immer noch Win 10? Welche Edition?
Wie hast Du die GPO sicherheitsgefiltert? Falls "Authentifizierte Benutzer" rausgenommen und anderen Benutzer oder Gruppe verwendet, dann musst Du trotzdem wieder die "Authentifizierte Benutzer" mit Nur-Lese-Recht wieder hizufügen. Beachtet?
Wie hast Du die GPO sicherheitsgefiltert? Falls "Authentifizierte Benutzer" rausgenommen und anderen Benutzer oder Gruppe verwendet, dann musst Du trotzdem wieder die "Authentifizierte Benutzer" mit Nur-Lese-Recht wieder hizufügen. Beachtet?
Welche OS Version? Immer noch Win 10? Welche Edition?
Server: Windows Server 2008 R2
Client: Windows 10 Pro
Wie hast Du die GPO sicherheitsgefiltert?
Gruppe "Authentifizierte Benutzer" mit Berechtigung "Lesen (durch Sicherheitsfilterung)", also unverändert.
Als ich nach der Sicherheitsgruppe schauen wollte, kam diese Meldung beim Klick auf das GPO. Nach einem Klick auf "OK" kam die Meldung dann nie wieder. Hat es was damit zu tun?
Gruppe "Authentifizierte Benutzer" mit Berechtigung "Lesen (durch Sicherheitsfilterung)", also unverändert.
OK.Als ich nach der Sicherheitsgruppe schauen wollte, kam diese Meldung beim Klick auf das GPO. Nach einem Klick auf "OK" kam die Meldung dann nie wieder. Hat es was damit zu tun?
Überprüfe einfach die ACL des Ordners \\domain\SysVol\domain\Policies\{GUID}Kann dort "Authentifizierte Benutzer" lesen? Vererbt in alle Unterordner und Dateien?
Existiert die Freigabe SYSVOL überhaupt auf allen DC's? Falls nein, musst Du das zuerst klären. Das deutet auf ein Replikations-Problem zwischen den DC's hin.
Die Berechtigungen stimmen überein. (siehe Screenshot)
Es gibt nur einen DC.
Es gibt nur einen DC.
Wird die GPO überhaupt angewendet?
Kannst Du das Script unter der betreffenden Benutzeranmeldung von Hand ausführen?
Ich habe den Fehler gefunden:
Das GPO war zwar mit der Computer-OU verknüpft, jedoch nicht mit der Benutzer-OU.
Das GPO war zwar mit der Computer-OU verknüpft, jedoch nicht mit der Benutzer-OU.
