none
LOGONSKRIPT einer Subdomain auf TS ausführen RRS feed

  • Allgemeine Diskussion

  • Hallo

    Hier eine Problembeschreibung:

    Benutzer aus einer Subdomäne sollen sich an den Terminalservernanmelden.

    Benutzeranmeldung funktioniert.

    Dabei sollen sie das Logonskript ihrer jeweiligen Subdomäne verwenden.

    Die Logon-Skripte kann ich von den Terminalservern auf beiden Domaincontrollern der Subdomänen aus aufrufen und starten (server.sub1.forest.local netlogon sub1.vbs), aber sie starten nicht automatisch beim LOGON.

    hat jemand evtl einen Hinweis was ich anpassen muss das es geht?

    Systembeschreibung:

    1 "ROOT-"Domain (forest.local)

    3 verschiedene Subdomains (sub1.forest.local, sub2.forest.local,...)

    Terminalserver unter forest.local (TS1 +TS2 (je WS2k8)

    mind. 2DC's in jeder Subdomain (alle WS2k3)

    Verschiedene Clients (Win7 und WinXP)

    Die Logonskripts sind bei den Benutzern zum Beispiel mit sub1.vbs eingetragen

    Die LOGON Skripte funktionieren innerhalb ihrer Domänen. (Verknüpfen Laufwerke und erledigen andere dinge :) )

    Im Logonskript wurde zum Beispiel zur Überprüfung das sie ausgeführt werden eine msgbox integriert.

    DNS einstellungen auf den TS1

    2 DSN Server eingetragen(aus forest.local)

    unter IPv4 Einstellungen erweitert sind folgende Einstellungen an den TS1 hinterlegt-

    "Primäre und verbindsspezifiche DNS Suffixe anhänge"  ist ausgewählt und "Übergeordnete Suffixe des prim.DNS-Suffixes anhängen" ausgewählt

    Außerdem ist "Adressen dieser Verbindung im DNS registrieren" aktiviert

    DNS-Suffix für diese Verbindung: (LEER) wurde aber auch mit forest.local getestet.

    Donnerstag, 3. Januar 2013 09:07

Alle Antworten

  • Hi,

    Am 03.01.2013 10:07, schrieb Torty:

    Dabei sollen sie das Logonskript ihrer jeweiligen Subdomäne verwenden.

    CompKonf\AdmVorl\System\Gruppenrichtlinie
    "Gesamtstrukturübergriefende Benutzerrichtlinien und ... zulassen" = aktiviert

    Tschö
    Mark    --
    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Donnerstag, 3. Januar 2013 09:51
  • Hallo,

    Danke für die Antwort leider habe ich die Einstellung schon aktiviert gehabt. Ebenso loopback Verarbeitung auf ersetzen gesetzt.

    Donnerstag, 3. Januar 2013 10:54
  • Am 03.01.2013 11:54, schrieb Torty:

    Ebenso loopback Verarbeitung auf ersetzen gesetzt.

    Wie soll das denn funktionieren, das der User "seine" Einstellungen mitbringt, wenn du ERSETZEND definiert hast und der User damit alle vorhandenen Einstellungen wegwirft und nur noch die Benutzerrichtlinien aus der GPO Liste des Computerkontos gelten?

    Du hast das "eigene" Script selber gerade abgeschaltet ...

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Donnerstag, 3. Januar 2013 11:51
  • Hallo Mark,

    echt super Flott deine Hilfe :)

    Aber ich bin noch relativ neu in der Materie darum noch einige Fragen.

    Wer schlägt wen?

    Computereinstellung vs. Benutzer  oder umgekehrt? Die Einstellung für die Gesamtübergreifenden Benutzerprofile  usw sind ja unter Computereinstellungen hinterlegt/aktiviert.

    Warum sollte dann Loopback das sich auf benutzereinstellungen bezieht diese deaktivieren?

    Benutzer haben ja bestimmte Einschränkungen auf dem TS, die zwingend erforderlich sind.

    wenn ich auf zusammenführen gehe, bekommen Sie(Benutzer) auch die Einstellungen die von anderen GPO's verteilt werden. und durch ersetzen nur die Benutzereinstellungen der TS-Gruppenrichtlinie Oder sehe ich das falsch? und

    Gibt es eine Möglichkeit das auf den TS nur genau diese Einstellungen die ich dafür definiert habe gelten aber dennoch das LOGONSKRIPT der Subdomänen ausgeführt wird?

    Grüße

    Frank

    Donnerstag, 3. Januar 2013 12:52
  • Hi,

    Am 03.01.2013 13:52, schrieb Torty:

    Wer schlägt wen?

    Immer der, der den Wert zuletzt schreibt. Last Writer Wins.

    Computereinstellung vs. Benutzer  oder umgekehrt?

    Das hat sich der Entwickler der jeweiligen Software ausgedacht.
    Ob das Programm die Benutzereinstellung oder die Computereinstellung
    präferiert, wenn es in beiden definiert ist.
    In den Richtlinien steht es im Erklärungstext. In dem meisten Fällen
    wird der Computer präferiert.

    Warum sollte dann Loopback das sich auf benutzereinstellungen
    bezieht diese deaktivieren?

    Weil der Loopback so funktioniert.
    http://www.gruppenrichtlinien.de/Grundlagen/Loopback_Verarbeitungs_Modus.htm

    Benutzer haben ja bestimmte Einschränkungen auf dem TS, die zwingend
    erforderlich sind.

    Ja. und? Das heisst doch nicht, daß du 100 "gute" settings wegwerfen
    musst, nur damit die "5" restriktiven gewinnen.

    wenn ich auf zusammenführen gehe, bekommen Sie(Benutzer) auch die
    Einstellungen die von anderen GPO's verteilt werden.

    Ja. Die für das eigene Benutzerobjekt definiert sind.
    Mit anderen Worten: Du musst dir evtl. in der TS GPO (also in der später
    laufenden) widersprechen.

    und durch ersetzen nur die Benutzereinstellungen der
    TS-Gruppenrichtlinie Oder sehe ich das falsch? und

    Ja.

    Gibt es eine Möglichkeit das auf den TS nur genau diese
    Einstellungen die ich dafür definiert habe gelten aber dennoch das
    LOGONSKRIPT der Subdomänen ausgeführt wird?

    Du musst ja nur das Loginscript an der TS OU ebenfalls verlinken.
    Damit es nicht für alle Benutzer gilt:
    - kannst du es per Sicherheitsgruppe filtern
    - per WMI filtern
    - oder im Script selbst

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Donnerstag, 3. Januar 2013 16:17

  • Weil der Loopback so funktioniert.

    http://www.gruppenrichtlinien.de/Grundlagen/Loopback_Verarbeitungs_Modus.htm



    Und anschaulich mit RSOP-Berichten (ich finde, da wird's am klarsten, welche GPO wann von wo...):
    http://evilgpo.blogspot.de/2012/02/loopback-demystified.html

    PS: Frohes Neues noch! ;-)

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Freitag, 4. Januar 2013 11:25
  • Was ist gemeint mit

    "Du musst ja nur das Loginscript an der TS OU ebenfalls verlinken."

    Das Skript ist beim Benutzerobjekt hinterlegt. (Also UserObjekt dort das Register Profil, dort Anmeldeskript) das Logonskript wird nicht per GPO verteilt

    TS sind in einer OU .Terminalserver

    User sind in einem anderen OU-Verzeichnisbaum bzw auch in anderen Subdomänen.

    Die Anmeldeskripte sind im jeweiligen sysvol /netlogon

    Nach einem Test habe ich nun festgestellt das Anmeldeskripte aus Subdomäne gar nicht ausgeführt werden, unabhängig von den Terminals

    Test: User aus SUB1 auf einem FestPC aus der Forest domain. (lokal anmelden)

    Anmeldung geht, Skript wird auch nicht ausgeführt.

    Also liegt es wohl nicht an der TS GPO--

    Ich werde mal weiter suchen woran es liegen könnte.

    Freitag, 4. Januar 2013 14:04
  •  
    > "Du musst ja nur das Loginscript an der TS OU ebenfalls verlinken."
    >
    > Das Skript ist beim Benutzerobjekt hinterlegt. (Also UserObjekt dort
    > das Register Profil, dort Anmeldeskript) das Logonskript wird nicht
    > per GPO verteilt
    >
     
    Nicht krummnehmen, aber: Ach herrjeh, das verwendet noch jemand? ;-)
    Steck die Logonskripte in GPOs, wo sie hingehören.
     
    > User sind in einem anderen OU-Verzeichnisbaum bzw auch in anderen
    > Subdomänen.
    >
    > Die Anmeldeskripte sind im jeweiligen sysvol /netlogon
    >
     
    Hast Du im Skriptpfad im AD den FQDN oder nur den Netbios-Namen angegeben?
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Freitag, 4. Januar 2013 15:09
  • Nein bin noch nicht weiter.

    hatte beides ausprobiert.

    Dienstag, 8. Januar 2013 14:32
  • Hi,

    Am 08.01.2013 15:32, schrieb Torty:

    Nein bin noch nicht weiter.

    Simples Todo:
    - neue GPO in der Domäne der TS Server erstellen
    - das Script von der vertrauten Domäne in die TS Domäne KOPIEREN!
    - Script in die neue GPO integrieren
    - Im Script selbst die Verweise auf die "flasche Domäne" abfangen.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Dienstag, 8. Januar 2013 16:56
  • Hi,

    Ich wüßte dennoch gerne woran es liegen kann, das die/das Skripte nicht ausgeführt werden.

    Ich habe sogar versucht das Skript der Subdomäne in das netlogonverzeichnis wo sich die benutzer anmelden, also dem forest zu kopieren, aber geht nicht.

    außerdem habe ich so 2 Stellen wo ich das Skript anpassen muss.

    Workaround habe ich schon überlegt dennoch hätt ich gerne das es "SO" wie geplant funktioniert.

    Als Workaround hab ich mir vorgestellt GPO und bei Benutzer laufwerkszuordnung mit zielgruppenadressierung + anmeldeskript

    Aber ich muss dazu erst mal ne kleine Testumgebung aufsetzen und testen ob ich so mit einer GPO benutzern mehrere LW in abhängigkeit der gruppenzugehörigkeiten verbinden kann +unterschiedliche Anmeldeskripte

    Donnerstag, 10. Januar 2013 14:30
  • Ich habe mich entschlossen logonskripte zukünftig per GPO nur noch zu starten und keines mehr bei usern direkt zu hinterlegen.

    Ich habe nun einen Teil umgebaut auf GPO (Laufwerksmapping).

    das andere der logonskripte wird nun von zeit zu zeit umgebaut.

    Schade das ich keine Lösung gefunden habe warum die skripte nicht funktionierten..

    dennoch danke für eure tips.

    Montag, 11. Februar 2013 13:14