none
Loginskript über Gruppenrichtlinie - Windows 7 funktioniert nicht RRS feed

  • Frage

  • Hallo alle miteinander,

    bisher konnte man mit Batchdateien mit Hilfe von Gruppenrichtlinien Netzwerlaufwerke problemlos verbinden.

    Z. B.Domain Policy  Computerkonfiguration \ Windows Einstellungen \ Skripts \ Starten

    Anmeldeskript.cmd

    Inhalt des Anmeldeskript.cmd

    net use l: \\servername\freigabename  /persistent:no

    net time \\servername /set /yes

     

    Die Laufwerke und der vorgegebene Zeitserver werden nicht mehr verbunden.

    Mit Windows XP Clients hat das wunderbar funktioniert. Seit Windows 7 nicht mehr.

    Wenn man bei Windows 7 die UAC ausschaltet, dann geht es, aber das will ich nicht.

    Und den UAC eingeschaltet lassen, und den Skript über Autostart laufen lassen, ist

    auch keine elegante Lösung.

     

    Wie kann man weiterhin über Gruppenrichtlinien das Ganze bewerkstelligen.

    Im Netzwerk ist ein Windows 2008 SBS (DC) und auf der Clientseite Windows XP und Windows 7 im Einsatz.

    Danke für Eure Antworten schon im voraus.

    Mit freundlichem Gruss

    Türkay  

     

     

    Dienstag, 26. Oktober 2010 13:48

Antworten

  • Am 26.10.2010 schrieb Türkay Caglayan:

    bisher konnte man mit Batchdateien mit Hilfe von Gruppenrichtlinien Netzwerlaufwerke problemlos verbinden.

    Z. B.Domain Policy  Computerkonfiguration \ Windows Einstellungen \ Skripts \ Starten

    Anmeldeskript.cmd

    Inhalt des Anmeldeskript.cmd

    net use l: \\servername\freigabename <file://\\servername\freigabename>  
    /persistent:no

    net time \\servername <file://\\servername> /set /yes

    Das net time ist flüssiger als Wasser. Der Client holt sich immer
    automatisch die Zeit vom DC. Du mußt also nur den DC korrekt
    konfigurieren. Das und noch mehr kann man mit GPOs konfigurieren:
    http://www.gruppenrichtlinien.de/HowTo/Zeitserver_per_GPO.htm

    Mit Windows XP Clients hat das wunderbar funktioniert. Seit Windows 7 nicht mehr.

    Wenn man bei Windows 7 die UAC ausschaltet, dann geht es, aber das will ich nicht.

    Nimm den Benutzern die lokalen Adminrechte, dann läuft das Script
    wieder.

    Und den UAC eingeschaltet lassen, und den Skript über Autostart laufen lassen, ist

    auch keine elegante Lösung.

    Beispiel No. 44 suchst Du:
    http://www.gruppenrichtlinien.de/adm/Beispiele.htm

    Wie kann man weiterhin über Gruppenrichtlinien das Ganze bewerkstelligen.

    Die Adminrechte entfernen.

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Dienstag, 26. Oktober 2010 14:10
  • Am 01.11.2010 schrieb Türkay Caglayan:

    Reicht es aus, wenn man dies bei einem Windows 7 oder Windows Vista einmal so einträgt, diese Registry Key exportiert und dies bei den anderen Clients importiert. Voraussetzung ist natürlich das gleiche Betriebssystem.

    Ob das ausreicht weiß ich nicht, ich hab es selbst nie gebraucht. Da
    das Template allerdings von Norbert ist, gehe ich davon aus, es reicht
    und funktioniert einwandfrei.

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Montag, 1. November 2010 11:39

Alle Antworten

  • Am 26.10.2010 schrieb Türkay Caglayan:

    bisher konnte man mit Batchdateien mit Hilfe von Gruppenrichtlinien Netzwerlaufwerke problemlos verbinden.

    Z. B.Domain Policy  Computerkonfiguration \ Windows Einstellungen \ Skripts \ Starten

    Anmeldeskript.cmd

    Inhalt des Anmeldeskript.cmd

    net use l: \\servername\freigabename <file://\\servername\freigabename>  
    /persistent:no

    net time \\servername <file://\\servername> /set /yes

    Das net time ist flüssiger als Wasser. Der Client holt sich immer
    automatisch die Zeit vom DC. Du mußt also nur den DC korrekt
    konfigurieren. Das und noch mehr kann man mit GPOs konfigurieren:
    http://www.gruppenrichtlinien.de/HowTo/Zeitserver_per_GPO.htm

    Mit Windows XP Clients hat das wunderbar funktioniert. Seit Windows 7 nicht mehr.

    Wenn man bei Windows 7 die UAC ausschaltet, dann geht es, aber das will ich nicht.

    Nimm den Benutzern die lokalen Adminrechte, dann läuft das Script
    wieder.

    Und den UAC eingeschaltet lassen, und den Skript über Autostart laufen lassen, ist

    auch keine elegante Lösung.

    Beispiel No. 44 suchst Du:
    http://www.gruppenrichtlinien.de/adm/Beispiele.htm

    Wie kann man weiterhin über Gruppenrichtlinien das Ganze bewerkstelligen.

    Die Adminrechte entfernen.

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Dienstag, 26. Oktober 2010 14:10
  • Moin,

    Winfrieds Antwort ist korrekt. Hier noch etwas Zusatzinfo:

    http://www.faq-o-matic.net/2008/02/22/benutzerkontensteuerung-uac-richtig-einsetzen/

    Gruß, Nils

     


    Nils Kaczenski
    MVP Directory Services
    Hannover, Germany
    Mittwoch, 27. Oktober 2010 10:28
  • Hallo Nils,

    Hallo Winfried,

    danke für die Infos, bringen mich auf jeden Fall weiter. 

    Kann leider nicht auf lokale Adminrechte verzichten, da die User öfters selber installieren müssen.

    Werde bei den Windows Vista und Windows 7 Clients dieses in der Registry eintragen:

    To configure the EnableLinkedConnections registry value, follow these steps:

    1. Click Start , type regedit in the Start Search box, and then press ENTER.
    2. Locate and then right-click the following registry subkey:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
    3. Point to New , and then click DWORD Value .
    4. Type EnableLinkedConnections , and then press ENTER.
    5. Right-click EnableLinkedConnections , and then click Modify .
    6. In the Value data box, type 1 , and then click OK .
    7. Exit Registry Editor, and then restart the computer.

    Reicht es aus, wenn man dies bei einem Windows 7 oder Windows Vista einmal so einträgt, diese Registry Key exportiert und dies bei den anderen Clients importiert. Voraussetzung ist natürlich das gleiche Betriebssystem.

    Mit freundlichem Gruss

    T. Caglayan

     

    Montag, 1. November 2010 11:28
  • Am 01.11.2010 schrieb Türkay Caglayan:

    Reicht es aus, wenn man dies bei einem Windows 7 oder Windows Vista einmal so einträgt, diese Registry Key exportiert und dies bei den anderen Clients importiert. Voraussetzung ist natürlich das gleiche Betriebssystem.

    Ob das ausreicht weiß ich nicht, ich hab es selbst nie gebraucht. Da
    das Template allerdings von Norbert ist, gehe ich davon aus, es reicht
    und funktioniert einwandfrei.

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Montag, 1. November 2010 11:39
  • Am 01.11.2010 schrieb Türkay Caglayan:
    Hi,

    Werde bei den Windows Vista und Windows 7 Clients dieses in der Registry eintragen:

    Ja, nimm einfach das adm Template, oder mußt du sowas immer mit
    Export/Import erledigen?

    Reicht es aus, wenn man dies bei einem Windows 7 oder Windows Vista einmal so einträgt, diese Registry Key exportiert und dies bei den anderen Clients importiert. Voraussetzung ist natürlich das gleiche Betriebssystem.

    Wieso ist das VOraussetzung? DU kannst den Wert auch auf nem XP importieren.
    Der wird einfach nur ignoriert. ;) Und sagte ich schon, nimm einfach das
    admt Template, welches dir WInfried schon mitteilte?

    Bye
    Norbert


    Dilbert's words of wisdom #34:
    When you don't know what to do, walk fast and look worried.

    Samstag, 6. November 2010 09:53
    Moderator
  • Am 01.11.2010 schrieb Winfried Sonntag [MVP] [MVP]:
    Hi,

    das Template allerdings von Norbert ist, gehe ich davon aus, es reicht
    und funktioniert einwandfrei.

    Tut es. ;) Und wenn man das unbedingt nicht verwenden will (warum auch
    immer) bleiben immer noch die GPPs, ehe ich mich in Registry Export/Import
    Orgien ergehe. ;)

    Bye
    Norbert


    Dilbert's words of wisdom #18:
    Never argue with an idiot. They drag you down to their level then beat you
    with experience.

    Samstag, 6. November 2010 09:54
    Moderator
  • Moin...

    auch wenn dieser Beitrag etwas älter ist. ich habe eine ADMX geschrieben, welche genau diese Einstellung (EnableLinkedConnections) auf 1 setzt.

    Der Effekt, den ich jetzt habe: kein Effekt. Erwartet hatte ich ein als "normaler/gefilterter" administrativer User gemapptes Laufwerk unter einem Program, welches ich als Administrator gestartet habe, z.B. Notepad.

    Hat irgend jemand mal von einer solchen Entwicklung gehört?

    Win7 Enterprise x64, Domäne ist 2008 R2. UAC ist an und mittels GPO konfiguriert (disabling is not an option...).

    Viele Grüße

    Christian


    c.kielhorn@ck-connected.com

    Dienstag, 30. Juli 2013 11:10
  • auch wenn dieser Beitrag etwas älter ist. ich habe eine ADMX geschrieben, welche genau diese Einstellung (EnableLinkedConnections) auf 1 setzt.

    Der Effekt, den ich jetzt habe: kein Effekt. Erwartet hatte ich ein als "normaler/gefilterter" administrativer User gemapptes Laufwerk unter einem Program, welches ich als Administrator gestartet habe, z.B. Notepad.

    Hast Du denn zum Testen den Wert auf einem Client manuell gesetzt, anschließend neu gestartet und getestet?

    Servus
    Winfried

    Dienstag, 30. Juli 2013 11:46
  • Hast Du denn zum Testen den Wert auf einem Client manuell gesetzt, anschließend neu gestartet und getestet?

    Servus
    Winfried

    Hi Winfried,

    ich habe die Richtlinie deaktiviert, eine Eigene OU (NoGPO) dafür erstellt und den Client dort hineingesteckt (gpresult bescheinigt mir eine Nichtverarbeitung der Richtlinien), manuell den Eintrag hinzugefügt.

    Ich verstehe es einfach nicht. Ich dachte schon, dass ich irgend einen Rechtschreibfehler eingebaut hätte - also Copy&Paste auch begangen.

    Aber - kein Effekt. Selbst einen Client habe ich neu aufgesetzt.

    In der Laborumgebung, welche ich mir aufgebaut habe, funktioniert es, wie erwartet.

    VG Christian


    c.kielhorn@ck-connected.com

    Dienstag, 30. Juli 2013 12:59
  • ich habe die Richtlinie deaktiviert, eine Eigene OU (NoGPO) dafür erstellt und den Client dort hineingesteckt (gpresult bescheinigt mir eine Nichtverarbeitung der Richtlinien), manuell den Eintrag hinzugefügt.

    Ich verstehe es einfach nicht. Ich dachte schon, dass ich irgend einen Rechtschreibfehler eingebaut hätte - also Copy&Paste auch begangen.

    Aber - kein Effekt. Selbst einen Client habe ich neu aufgesetzt.

    In der Laborumgebung, welche ich mir aufgebaut habe, funktioniert es, wie erwartet.

    Was unterscheidet die Laborumgebung von der Wirklichkeit? OS? Patchlevel? Hast Du im Labor die gleiche Default Domain Policy? Ist in der Wirklichkeit in der neu erstellten OU die DDP auch deaktiviert?

    Servus
    Winfried

    Dienstag, 30. Juli 2013 13:33
  • Moin,

    der Unterschied ist geringfügig. aber - ich habe heute morgen ein wenig noch nachgearbeitet und den Fehler oder das Designelement gefunden...

    Der Trick ist – das enableLinkedConnections schleift die Netzlaufwerke nur durch, wenn die Netzlaufwerke persistent gemappt werden, also bei der nächsten Anmeldung zur Verfügung stehen.

    Der administrativ gestartete Explorer kommt damit zurecht, ohne persistent mappings. andere administrativ gestartete Programme, wie ein Setup z.B., eben nicht.

    Die Logik dahinter kann man sich erklären - ist bei einem anderen Blick auch einleuchtend – ein administrativ angemeldeter User „meldet“ sich ja ein zweites Mal an, mit einem nicht gefilterten Token.

    Ich habe das so meinem Kunden übergeben, so dass er damit arbeiten kann. Sry für das Verständnisproblem, aber wenn man zu lange auf einen Punkt schaut, wird man blind...

    VG Christian


    c.kielhorn@ck-connected.com

    Mittwoch, 31. Juli 2013 08:10