none
Не срабатывает сценарий Logon в GPO для политики Компьютера RRS feed

  • Вопрос

  • Всем привет! 

    Столкнулся с проблемой запуска сценариев Автозагрузки для компьютера. 

    Что пробовал:

    а) сначала пробовал запустить напрямую сценарий PowerShell. Т.е. во второй вкладке для сценариев - указал адрес к скрипту: \\domen.local\netlogon\main.ps1  = не работало.

    б) затем решил попробовать из первой вкладки запускать, путем: Имя сценария: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe 

    Параметры сценария: -noprofile -command %logonserver%\netlogon\Main.ps1

    И такой вариант тоже не запускается. 

    Политика применяется для компьютеров. Сценарий в конфигурации компьютеров. Скрипты ps1 все подписаны и проверены на работоспособность. В gpresult видно, что эта политика применяется, но вот запусков этого сценария нет. Другие параметры для компьютера в этой политике применяются. Например распространение сертификата. 

    Подскажите, где промахнулся? 


    • Изменено TheShestov 5 сентября 2015 г. 15:46
    5 сентября 2015 г. 15:45

Ответы

Все ответы

  • вам нужно открыть расположение скрипта в гпо (там есть кнопка, как называется не помню но она там одна)

    скопировать ваш скрипт в открытую папку

    выбрать скрипт (в политике будет имя файла но без пути)

    по идее все


    The opinion expressed by me is not an official position of Microsoft

    5 сентября 2015 г. 16:42
    Модератор
  • вам нужно открыть расположение скрипта в гпо (там есть кнопка, как называется не помню но она там одна)

    скопировать ваш скрипт в открытую папку

    выбрать скрипт (в политике будет имя файла но без пути)

    по идее все


    The opinion expressed by me is not an official position of Microsoft

    подразумевается, что я не могу запустить скрипт из желаемого места, а только с папки конкретной политики?? ..странно. 

    другой скрипт, для политики пользователя, запускается из %logonserver%\netlogon\ и успешно отрабатывает

    Но все же решил попробовать. 

    не работает. :(


    • Изменено TheShestov 5 сентября 2015 г. 18:32
    5 сентября 2015 г. 18:31
  • Дело в том, что выбранная вами папка (%logonserver%\netlogon\) имеет разрешения общего доступа для группы Everyone, в которую компьютеры не входят. Поэтому скрипт для компьютеров не запустится. Разумеется, вы можете запускать скрипт из любого желаемого места, но и в разрешения папки, в которую вы помещаете скрипт (как NTFS, так и общего доступа), должны входить группы Authenticated Users или Domain Computers.

    А лучше всего воспользоваться стандартной и общепринятой рекомендацией, которая дана в ответе Vector BCO.


    5 сентября 2015 г. 21:01
    Модератор
  • Дело в том, что выбранная вами папка (%logonserver%\netlogon\) имеет разрешения общего доступа для группы Everyone, в которую компьютеры не входят. Поэтому скрипт для компьютеров не запустится. Разумеется, вы можете запускать скрипт из любого желаемого места, но и в разрешения папки, в которую вы помещаете скрипт (как NTFS, так и общего доступа), должны входить группы Authenticated Users или Domain Computers.

    А лучше всего воспользоваться стандартной и общепринятой рекомендацией, которая дана в ответе Vector BCO.


    osr_, спасибо за развернутый ответ! НО! Советом я воспользовался и к сожалению не помогло, я об этом уже написал выше. 

    Какие еще я могу предпринять действия? Дать дополнительные права для какой-либо "доменной"папки на Read для компьютеров или выносить в отедльную папку скрипт? 

    Еще раз: совет от Vector'a (а я к его советам всегда прислушиваюсь :)) - не помог. 



    • Изменено TheShestov 6 сентября 2015 г. 9:12
    5 сентября 2015 г. 22:06
  • Вспомнил такую штуку: есть время отсрочки выполнения скриптов. 

    В системах до 2008р2 скрипты отрабатывают при стартапе, в системах 2012р2 отрабатывают с задержкой (по крайней мере в логон скриптах)

    Возможно есть резон поискать этот параметр (по дефолту там по моему 15 минут) и сменить на 0

    К сожалению я в дороге и более конкретной информации дать не могу, но похожие обсуждения на форуме есть.

    Попробуйте подождать (15 - 20 минут) возможно ваш скрипт отработает.

    Удачи вам.


    The opinion expressed by me is not an official position of Microsoft

    6 сентября 2015 г. 5:47
    Модератор
  • Вспомнил такую штуку: есть время отсрочки выполнения скриптов. 

    В системах до 2008р2 скрипты отрабатывают при стартапе, в системах 2012р2 отрабатывают с задержкой (по крайней мере в логон скриптах)

    Возможно есть резон поискать этот параметр (по дефолту там по моему 15 минут) и сменить на 0

    К сожалению я в дороге и более конкретной информации дать не могу, но похожие обсуждения на форуме есть.

    Попробуйте подождать (15 - 20 минут) возможно ваш скрипт отработает.

    Удачи вам.


    The opinion expressed by me is not an official position of Microsoft

    Да. и в эту сторону смотрел уже. Вероятно, вы об этой теме

    Вот именно Configure Logon Script Delay мне найти не удалось. Точно такого названия не нашел как в EN так и в Ru редакции. Нашел схожее. Там сказано, что по умолчанию система ожидает соединения  с сетью 30 секунд, перед выполнением. Крутил ручки, отключал вообще - не помогло. 

    Тестировал на виртуальной 8.1. Завтра попробую на Win 7 протестировать. 

    6 сентября 2015 г. 9:15
  • в ru версии это тут -
    Конфигурация компьютера\Административные шаблоны\Система\Групповая политика\Настроить задержку сценария входа

    В описании сказано что "По умолчанию клиент групповой политики ожидает пять минут, а затем запускает сценарии входа."

    Требования: Не ниже Windows Server 2012 R2, Windows 8.1 или Windows RT 8.1 

    В 2012 не r2 такого параметра по умолчанию нет.

    а в win 8.1 такой параметр есть, значение по умолчанию 5 минут, ни чем данный параметр не перекрывается и видимо он и исполняется.

    Для того что бы добавить в Windows Server 2012 и младше, данный параметр, используйте ADMX шаблоны.

    http://www.microsoft.com/ru-ru/download/details.aspx?id=41193

    • Изменено kruzhka 6 сентября 2015 г. 17:29
    6 сентября 2015 г. 14:47
  • в ru версии это тут -
    Конфигурация компьютера\Административные шаблоны\Система\Групповая политика\Настроить задержку сценария входа

    В описании сказано что "По умолчанию клиент групповой политики ожидает пять минут, а затем запускает сценарии входа."

    Требования: Не ниже Windows Server 2012 R2, Windows 8.1 или Windows RT 8.1 

    В 2012 не r2 такого параметра по умолчанию нет.

    а в win 8.1 такой параметр есть, значение по умолчанию 5 минут, ни чем данный параметр не перекрывается и видимо он и исполняется.

    Для того что бы добавить в Windows Server 2012 и младше, данный параметр, используйте ADMX шаблоны.

    http://www.microsoft.com/ru-ru/download/details.aspx?id=41193

    К сожалению опять не то. 

    Да. Такого параметра в GPO под управлением 2012 нет. Но!

    1: за время проведения тестов и включенной машины - скрипт уже давно бы отработал и не один раз на Win8.1 (если учесть дефолт параметр в 5 минут) 

    2: если на Win 7 скрипт так же не срабатывает. (Рядом ноут для теста)

    Чудес не бывает! Если запуск скриптов на старте компьютеров хотя-бы у кого-либо работает, то есть возможность заставить их работать и у меня. хЭлп плз!

    7 сентября 2015 г. 8:02
  • Опытным путем удалось выявить следующее: 

    Скрипт test.bat с содержимым:

    md C:\test
    md C:\123\test
    md "C:\Program Files\test"

    находится в \\domen.local\NETLOGON\test.bat

    вполне себе отрабатывает с нужной мне политики и запускается просто путем указания на него ссылки. т.е. в свойствах параметра Автозагрузки так и указано: \\domen.local\NETLOGON\test.bat

    А вот ps1 никак не запускаются! Пробовал через вкладку для PowerShell и пробовал через вкладку сценариев (откуда стартует BAT) через C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe 

    Запуск ps через bat (который нормально запускается) тоже не срабатывает. 

    Не работает ни в какую. 


    • Изменено TheShestov 7 сентября 2015 г. 13:13
    7 сентября 2015 г. 9:50
  • Удалось реализовать задуманное. 

    Для тех, кому интересно решение для кейса: "Создать скрипт. Подписать скрипт. Выполнить запуск скрипта в GPO на компьютерах после загрузки системы" - я написал 3 статьи в своем блоге, как заметку для себя. На основе тех данных, которые мне давали в этой ветке и ссылках с других ресурсов. Всем спасибо! 

    Вот эти статьи: 

    GPO AD: Computer Startup scripts and Powershell (часть 1: Создание. Запуск)

    GPO AD: Computer Startup scripts and Powershell (часть 2: Создание своего сертификата. Подпись скриптов)

    GPO AD: Computer Startup scripts and Powershell (часть 3: PsExec. Ловим ошибки)

    • Помечено в качестве ответа TheShestov 10 сентября 2015 г. 12:04
    10 сентября 2015 г. 12:04