none
Nevykona se vbs logon script na nekterych PC RRS feed

  • Dotaz

  • DD, prepojil jsem celou firmu na novy server s W2008R2(DC) a na 2 PC z cca 20 se nespousti logon skript. Kdyz zkusim provest na danem PC RSOP.MSC, tak tam je vse v poradku(politika se aplikuje). Dale jsem nastavil, aby se vzdy cekalo na sit v GPO. V logu je jen chyba od loadperf, jinak je vse OK. DNS je nastavene spravne na DC. Nepouzivame netbios na TCP. Sluzba browser je zakazana politikou(pro jistotu :)). Toto se deje jen na PC s Win7x64 a Vistax86. Jinak na dalsich PC s XP,7,Vista je vse OK(skript se spousti). Kdyz spustim rucne dany VBS tak se provede i na tech problemovych stanicich. Poradite mi, co muzu jeste proverit, abych se dobral korene problemu? Diky moc.
    MM.
    čtvrtek 16. června 2011 5:57

Odpovědi

  • Rekapitulace:

    1. Dva pocitace ze skupiny asi 20 pocitacu se chovaji  tak, ze pri prihlaseni kterehokoliv uzivatele, ktery je ve skupine s nastavenou politikou pro mapovani, se disky namapuji, ale namapovane disky nejsou v exploreru videt. Lze tedy rici, ze tvrzeni, ze se disky nemapuji neni pravdive. Pro lokalnim spusteni skriptu na obou problematickych PC se skript provede a v exploreru jsou videt namapovane disky

    2. Pro mapovani disku se pouziva vbs skript, jehoz torzo jste ukazal, ale cely skript nezname (Je to z  http://www.rlmueller.net/Programs/Logon3.txt ) Mohli bychom videt cely skript a jak se spousti?

    3. Vsechny pocitace jsou v jedne OU. O GPO nevime nic a zvlaste o praci se skripty. 

    4. Na vsechny uzivatele se uplatnuje stejna politika pro spusteni logovaciho skriptu. Modelovani politiky pro kterehokoliv uzivatele na dvou zminenych PC ukazuje, ze je vse v poradku. Co je vsechno uvedene v politice?

    Muzete zkusit upravu registru pridanim polozky EnableLinkedConnections typu DWORD a velikosti 1

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

     

     

    • Označen jako odpověď M.Meduna pondělí 20. června 2011 6:10
    pátek 17. června 2011 12:29
    Moderátor

Všechny reakce

  • Zkuste neco jednodussiho (treba jen cmd prikaz na zalogovani ze byl script spusten).

     

    Mimochodem je nekolik logon skriptu. Ktery pouzivate vy?

     

     


    ing. Jan Chaloupek
    čtvrtek 16. června 2011 8:15
  • 1. Predne bych doporucil sledovat, co se deje se skriptem pri jeho spusteni. Logon skript ve tvaru BAT script by mohl vypadat takto:

     

    @echo off

    echo %date% %time% %username% >> g:\in\test.txt

    cscript //nologo g:\in\mylogonscript.vbs 1>>g:\in\test.txt 2>>&1

    echo %date% %time% >> g:\in\test.txt

    Skript kumulativnim zpusobem pridava zaznamy do souboru g:\in\test.txt . VBS skript, ktery by "potichu vysumnel" da v teto podobe alespon nejakou informaci, ktere se muzete chytnout.

    2. Jak vypada vas logon skript? 

    3. Neni zrejme, zda se problem tyka stejnych DVOU pocitacu z dvaceti, nebo to jsou radove DVA nahodne pocitace, u kterych problem nastane, DVA uzivatele na svych pocitacich, nebo DVA uzivatele na ruznych dvou pocitacich. Jak je to s pravy?

    4. Moc by pomohlo davat vice informaci o hlasce v protokolu udalosti, chyba muze, ale nemusi byt relevantni. (System/Application log, EventID, zdroj, popis,...)

    5. Je v GPO neco, co by mohlo ovlivnit zpusob vykonani skriptu (synchronni vs asynchronni). 

    6. Pokud selze 1-5, pak bych nasadil audit, proveril FW a nakonec bych network monitorem sledoval, co se deje pri logonu.

    Pod carou: Mozna to neni uplne to prave, ale podivejte se jeste sem http://www.digitalforensics.be/blog/?p=122


    čtvrtek 16. června 2011 9:45
    Moderátor
  • Dekuji za namserovani. Zjistil jsem, ze oni ty disky jsou namapovane, jen je nevidi proces explorer.exe . Z prikazove radky se na dane disky dostanu. VBS zrejme skript funguje, protoze se objevi dialog pri jeho spusteni. Chyba v aplikacnim logu je nasledujici:

    Hodnota řetězce vysvětlujícího textu čítače výkonu v registru je nesprávně naformátovaná. Chybně vytvořený řetězec je . První hodnota DWORD v datové oblasti obsahuje hodnotu indexu chybně vytvořeného řetězce, zatímco druhá a třetí hodnota DWORD v datové oblasti obsahují poslední platné hodnoty indexu.

    Jde i ID udalosti 3002 a zdroj je loadperf. Problem je na danych PC, protoze jinde se skripty na ty same uzivatele zpracuji a disky jsou namapovane. Nefunguje to na danych PC pro nikoho. Logon skript dela jen mapovani dle clenstvi v domenovych skupinach(nektere disky mapuje uplne pro vsechny bez testu clenstvi). V GPO mam vsechny stanice v jedne org. jednotce a na ni navesenou politiku. Nastaveni synch./asynchr. provadeni skriptu jsem neprovadel.

     


    MM.
    pátek 17. června 2011 5:25
  • Pokud vite, ze je sitovy disk namapovany, ale uzivatel ho nevidi, pak jednou z moznych pricin je skutecnost, ze pismenko ve skriptu uz bylo pouzite napriklad USB zarizenim. Ve sprave disku je mozne priradit lokalne pripojenemu zarizeni jine pismeno. 

    Zkuste nastavit mapovani na perzistentni. Mozna by stalo za uvahu pouzit logoff skript 

    Cim se lisi nastaveni pocitacu, u kterych se vyskytuje problem od ostatnich pocitacu

     


    pátek 17. června 2011 8:51
    Moderátor
  • To me take napadlo, ale tam problem neni. Disky ve spravci nejsou vubec videt. Zkusim pouzit persistentni logovani. Prave ze se nastaveni OS nelisi. Ve vbs testuji,zda se jednotky namapovali a skript chybu nehlasi.


    MM.
    pátek 17. června 2011 9:01
  • Jakym zpusobem provadite ve skriptu ten test namapovani?
    ing. Jan Chaloupek
    pátek 17. června 2011 9:03
  • Function MapDrive(ByVal strDrive, ByVal strShare)
        ' Function to map network share to a drive letter.
        ' If the drive letter specified is already in use, the function
        ' attempts to remove the network connection.
        ' objFSO is the File System Object, with global scope.
        ' objNetwork is the Network object, with global scope.
        ' Returns True if drive mapped, False otherwise.

        Dim objDrive

        On Error Resume Next
        If (objFSO.DriveExists(strDrive) = True) Then
            Set objDrive = objFSO.GetDrive(strDrive)
            If (Err.Number <> 0) Then
                On Error GoTo 0
                MapDrive = False
                Exit Function
            End If
            If (objDrive.DriveType = 3) Then
                objNetwork.RemoveNetworkDrive strDrive, True, True
            Else
                MapDrive = False
                Exit Function
            End If
        End If
        objNetwork.MapNetworkDrive strDrive, strShare
        If (Err.Number = 0) Then
            MapDrive = True
        Else
            Err.Clear
            MapDrive = False
        End If
        On Error GoTo 0
    End Function


    MM.
    pátek 17. června 2011 9:14
  • Jestli jsem to v rychlosti pochopil tak kontrolujete jen navratovy kod.

    Co zkusit skutecny test funkcnosti pripojeneho disku, proste zkusit existenci cesty napriklad F:\

     


    ing. Jan Chaloupek
    pátek 17. června 2011 9:19
  • Tak vbs test na existenci adresare na namapovanem disku take nehodi chybu.
    MM.
    pátek 17. června 2011 10:17
  • Tak to vypada ze jsou opravdu namapovane.

     

    Co ale potom nefungue. Po prihlaseni uzivatele nejsou disky videt? Nebo se spousti jeste nejaky proces ktery je potrebuje a nevidi je?

     


    ing. Jan Chaloupek
    pátek 17. června 2011 10:39
  • Rekapitulace:

    1. Dva pocitace ze skupiny asi 20 pocitacu se chovaji  tak, ze pri prihlaseni kterehokoliv uzivatele, ktery je ve skupine s nastavenou politikou pro mapovani, se disky namapuji, ale namapovane disky nejsou v exploreru videt. Lze tedy rici, ze tvrzeni, ze se disky nemapuji neni pravdive. Pro lokalnim spusteni skriptu na obou problematickych PC se skript provede a v exploreru jsou videt namapovane disky

    2. Pro mapovani disku se pouziva vbs skript, jehoz torzo jste ukazal, ale cely skript nezname (Je to z  http://www.rlmueller.net/Programs/Logon3.txt ) Mohli bychom videt cely skript a jak se spousti?

    3. Vsechny pocitace jsou v jedne OU. O GPO nevime nic a zvlaste o praci se skripty. 

    4. Na vsechny uzivatele se uplatnuje stejna politika pro spusteni logovaciho skriptu. Modelovani politiky pro kterehokoliv uzivatele na dvou zminenych PC ukazuje, ze je vse v poradku. Co je vsechno uvedene v politice?

    Muzete zkusit upravu registru pridanim polozky EnableLinkedConnections typu DWORD a velikosti 1

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

     

     

    • Označen jako odpověď M.Meduna pondělí 20. června 2011 6:10
    pátek 17. června 2011 12:29
    Moderátor
  • Nejsou videt disky ve windows, ani se na ne nelze prepnout. Prepnout se lze jen z prikazoveho radku. Tam muzu s namapovanymi sitovymi disky pracovat. Zni to mozna neuveritelne, ale zkusil jsem disk zformatovat, nainstalovat cisty system a deje se to stale i kdyz v PC neni zadna jina aplikace, jen cisty system.
    MM.
    sobota 18. června 2011 17:32
  • ad 1) Vse spravne az na to, ze disky nejsou videt namapovane, nelze se na ne dostat z pruzkumniku, ale jen z prikazove radky(cmd.exe prikaz napr. "s:" se prepne na dany disk a data odpovidaji spravnemu obsahu).

    ad 2) Ano, je to presne tak jak rikate. Skript mohu predlozit, ale neni tam nic, co neni na danem odkazu. Tzn. mapovani disku pro vsechny uzivatele + mapovani nekterych disku dle clenstvi.

    ad 3) Vsechny PC jsou v jedne OU, vsichni uzivatele take maji svou OU, na kterou se aplikuje GPO, ktere obsahuje jen logon skript. Zkusil jsem to i bez OU pro pocitace a vysledek stejny, takze OU PC nema vliv.

    ad 4) Modelovani jeste proverim.

    Zkusil jsem jeden PC preinstalovat spolu s formatem disku a na ciste instalaci se to take deje.


    MM.
    sobota 18. června 2011 17:39
  • Dekuji Vam vsem a hlavne p.Puchtovi, zabralo pridani udaje "EnableLinkedConnections" do registru.
    MM.
    pondělí 20. června 2011 6:09