Лучший отвечающий
Не срабатывает сценарий Logon в GPO для политики Компьютера

Вопрос
-
Всем привет!
Столкнулся с проблемой запуска сценариев Автозагрузки для компьютера.
Что пробовал:
а) сначала пробовал запустить напрямую сценарий PowerShell. Т.е. во второй вкладке для сценариев - указал адрес к скрипту: \\domen.local\netlogon\main.ps1 = не работало.
б) затем решил попробовать из первой вкладки запускать, путем: Имя сценария: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Параметры сценария: -noprofile -command %logonserver%\netlogon\Main.ps1
И такой вариант тоже не запускается.
Политика применяется для компьютеров. Сценарий в конфигурации компьютеров. Скрипты ps1 все подписаны и проверены на работоспособность. В gpresult видно, что эта политика применяется, но вот запусков этого сценария нет. Другие параметры для компьютера в этой политике применяются. Например распространение сертификата.
Подскажите, где промахнулся?
- Изменено TheShestov 5 сентября 2015 г. 15:46
5 сентября 2015 г. 15:45
Ответы
-
Удалось реализовать задуманное.
Для тех, кому интересно решение для кейса: "Создать скрипт. Подписать скрипт. Выполнить запуск скрипта в GPO на компьютерах после загрузки системы" - я написал 3 статьи в своем блоге, как заметку для себя. На основе тех данных, которые мне давали в этой ветке и ссылках с других ресурсов. Всем спасибо!
Вот эти статьи:
GPO AD: Computer Startup scripts and Powershell (часть 1: Создание. Запуск)
GPO AD: Computer Startup scripts and Powershell (часть 3: PsExec. Ловим ошибки)
- Помечено в качестве ответа TheShestov 10 сентября 2015 г. 12:04
10 сентября 2015 г. 12:04
Все ответы
-
вам нужно открыть расположение скрипта в гпо (там есть кнопка, как называется не помню но она там одна)
скопировать ваш скрипт в открытую папку
выбрать скрипт (в политике будет имя файла но без пути)
по идее все
The opinion expressed by me is not an official position of Microsoft
5 сентября 2015 г. 16:42Модератор -
вам нужно открыть расположение скрипта в гпо (там есть кнопка, как называется не помню но она там одна)
скопировать ваш скрипт в открытую папку
выбрать скрипт (в политике будет имя файла но без пути)
по идее все
The opinion expressed by me is not an official position of Microsoft
подразумевается, что я не могу запустить скрипт из желаемого места, а только с папки конкретной политики?? ..странно.
другой скрипт, для политики пользователя, запускается из %logonserver%\netlogon\ и успешно отрабатывает
Но все же решил попробовать.
не работает. :(
- Изменено TheShestov 5 сентября 2015 г. 18:32
5 сентября 2015 г. 18:31 -
Дело в том, что выбранная вами папка (%logonserver%\netlogon\) имеет разрешения общего доступа для группы Everyone, в которую компьютеры не входят. Поэтому скрипт для компьютеров не запустится. Разумеется, вы можете запускать скрипт из любого желаемого места, но и в разрешения папки, в которую вы помещаете скрипт (как NTFS, так и общего доступа), должны входить группы Authenticated Users или Domain Computers.
А лучше всего воспользоваться стандартной и общепринятой рекомендацией, которая дана в ответе Vector BCO.
- Изменено osr_MVP, Moderator 5 сентября 2015 г. 21:05
5 сентября 2015 г. 21:01Модератор -
Дело в том, что выбранная вами папка (%logonserver%\netlogon\) имеет разрешения общего доступа для группы Everyone, в которую компьютеры не входят. Поэтому скрипт для компьютеров не запустится. Разумеется, вы можете запускать скрипт из любого желаемого места, но и в разрешения папки, в которую вы помещаете скрипт (как NTFS, так и общего доступа), должны входить группы Authenticated Users или Domain Computers.
А лучше всего воспользоваться стандартной и общепринятой рекомендацией, которая дана в ответе Vector BCO.
osr_, спасибо за развернутый ответ! НО! Советом я воспользовался и к сожалению не помогло, я об этом уже написал выше.
Какие еще я могу предпринять действия? Дать дополнительные права для какой-либо "доменной"папки на Read для компьютеров или выносить в отедльную папку скрипт?
Еще раз: совет от Vector'a (а я к его советам всегда прислушиваюсь :)) - не помог.
- Изменено TheShestov 6 сентября 2015 г. 9:12
5 сентября 2015 г. 22:06 -
Вспомнил такую штуку: есть время отсрочки выполнения скриптов.
В системах до 2008р2 скрипты отрабатывают при стартапе, в системах 2012р2 отрабатывают с задержкой (по крайней мере в логон скриптах)
Возможно есть резон поискать этот параметр (по дефолту там по моему 15 минут) и сменить на 0
К сожалению я в дороге и более конкретной информации дать не могу, но похожие обсуждения на форуме есть.
Попробуйте подождать (15 - 20 минут) возможно ваш скрипт отработает.
Удачи вам.
The opinion expressed by me is not an official position of Microsoft
6 сентября 2015 г. 5:47Модератор -
Вспомнил такую штуку: есть время отсрочки выполнения скриптов.
В системах до 2008р2 скрипты отрабатывают при стартапе, в системах 2012р2 отрабатывают с задержкой (по крайней мере в логон скриптах)
Возможно есть резон поискать этот параметр (по дефолту там по моему 15 минут) и сменить на 0
К сожалению я в дороге и более конкретной информации дать не могу, но похожие обсуждения на форуме есть.
Попробуйте подождать (15 - 20 минут) возможно ваш скрипт отработает.
Удачи вам.
The opinion expressed by me is not an official position of Microsoft
Да. и в эту сторону смотрел уже. Вероятно, вы об этой теме
Вот именно Configure Logon Script Delay мне найти не удалось. Точно такого названия не нашел как в EN так и в Ru редакции. Нашел схожее. Там сказано, что по умолчанию система ожидает соединения с сетью 30 секунд, перед выполнением. Крутил ручки, отключал вообще - не помогло.
Тестировал на виртуальной 8.1. Завтра попробую на Win 7 протестировать.
6 сентября 2015 г. 9:15 -
в ru версии это тут -
Конфигурация компьютера\Административные шаблоны\Система\Групповая политика\Настроить задержку сценария входа
В описании сказано что "По умолчанию клиент групповой политики ожидает пять минут, а затем запускает сценарии входа."
Требования: Не ниже Windows Server 2012 R2, Windows 8.1 или Windows RT 8.1В 2012 не r2 такого параметра по умолчанию нет.
а в win 8.1 такой параметр есть, значение по умолчанию 5 минут, ни чем данный параметр не перекрывается и видимо он и исполняется.
Для того что бы добавить в Windows Server 2012 и младше, данный параметр, используйте ADMX шаблоны.
http://www.microsoft.com/ru-ru/download/details.aspx?id=41193
- Изменено kruzhka 6 сентября 2015 г. 17:29
6 сентября 2015 г. 14:47 -
в ru версии это тут -
Конфигурация компьютера\Административные шаблоны\Система\Групповая политика\Настроить задержку сценария входа
В описании сказано что "По умолчанию клиент групповой политики ожидает пять минут, а затем запускает сценарии входа."
Требования: Не ниже Windows Server 2012 R2, Windows 8.1 или Windows RT 8.1В 2012 не r2 такого параметра по умолчанию нет.
а в win 8.1 такой параметр есть, значение по умолчанию 5 минут, ни чем данный параметр не перекрывается и видимо он и исполняется.
Для того что бы добавить в Windows Server 2012 и младше, данный параметр, используйте ADMX шаблоны.
http://www.microsoft.com/ru-ru/download/details.aspx?id=41193
К сожалению опять не то.
Да. Такого параметра в GPO под управлением 2012 нет. Но!
1: за время проведения тестов и включенной машины - скрипт уже давно бы отработал и не один раз на Win8.1 (если учесть дефолт параметр в 5 минут)
2: если на Win 7 скрипт так же не срабатывает. (Рядом ноут для теста)
Чудес не бывает! Если запуск скриптов на старте компьютеров хотя-бы у кого-либо работает, то есть возможность заставить их работать и у меня. хЭлп плз!
7 сентября 2015 г. 8:02 -
Опытным путем удалось выявить следующее:
Скрипт test.bat с содержимым:
md C:\test
md C:\123\test
md "C:\Program Files\test"находится в \\domen.local\NETLOGON\test.bat
вполне себе отрабатывает с нужной мне политики и запускается просто путем указания на него ссылки. т.е. в свойствах параметра Автозагрузки так и указано: \\domen.local\NETLOGON\test.bat
А вот ps1 никак не запускаются! Пробовал через вкладку для PowerShell и пробовал через вкладку сценариев (откуда стартует BAT) через C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Запуск ps через bat (который нормально запускается) тоже не срабатывает.
Не работает ни в какую.
- Изменено TheShestov 7 сентября 2015 г. 13:13
7 сентября 2015 г. 9:50 -
Удалось реализовать задуманное.
Для тех, кому интересно решение для кейса: "Создать скрипт. Подписать скрипт. Выполнить запуск скрипта в GPO на компьютерах после загрузки системы" - я написал 3 статьи в своем блоге, как заметку для себя. На основе тех данных, которые мне давали в этой ветке и ссылках с других ресурсов. Всем спасибо!
Вот эти статьи:
GPO AD: Computer Startup scripts and Powershell (часть 1: Создание. Запуск)
GPO AD: Computer Startup scripts and Powershell (часть 3: PsExec. Ловим ошибки)
- Помечено в качестве ответа TheShestov 10 сентября 2015 г. 12:04
10 сентября 2015 г. 12:04