none
не удается применить запуск .bat через ГПО RRS feed

  • Общие обсуждения

  • Приветствую!
    Ситуация такова.
    Имеется, домен контроллер srv-DC на 2003 железный и виртуальный его "помощник" srv-DC2, репликации проходят хорошо.
    Создаю OU: "o-TEST"
    в него переношу пользователя "test", желаю применить для него запуск .bat файла.
    Что делаю:вставляю в User Configuration в logon script файл ttt.bat
    \\domen.lan\SysVol\domen.lan\Policies\{2D668CD4-1CA0-441C-BE43-E770E9EB09BB}\User\Scripts\Logon вставляю файл ttt.bat (его видно).
    в security добавляю test на apply GP и read.
    запускаю gpupdate /force на контроллере - вроде succesful
    на тестовом компьютере смотрю gpresult:
    --------------------------
        CN=test,OU=O-TEST,DC=domen,DC=lan
        Последнее применение групповой политики:  01.04.2009 at 19:43:06
        Групповая политика была применена с:      srv-DC.domen.lan
        Порог медленной связи групповой политики: 500 kbps

        Примененные объекты групповой политики
        ---------------------------------------
            ttt
            Default Domain Policy

        Следующие политики GPO не были приняты, поскольку они отфильтрованы
        --------------------------------------------------------------------
            Политика локальной группы
                Фильтрация:  Не применяется (пусто)

        Пользователь является членом следующих групп безопасности:
        ----------------------------------------------------------
            Domain Users
            Все
            Пользователи
            ИНТЕРАКТИВНЫЕ
            Прошедшие проверку
            ЛОКАЛЬНЫЕ

    но ничего не происходит! а происходить должно хотя бы запуск на \\server\share\*.exe
    для пробы через echo пробовал вывод текста и pause

    но что же происходит?
    когда в User Configuration после добавления в logon script нажимаю OK и допустим пытаюсь выйти из оснастки выходит сообщение:
    MMC has detected an error in a snap-in. IT is recommended that you shut down anf restart MMC.
    к тому же: на сервере в логах System:
    Source: MRxSmb ID:3019
    The redirector failed to determine the connection type.

    1 апреля 2009 г. 13:33

Все ответы

  • необходимо открыть политику в редакторе редактирования политик(gpedit или gpmc) и добавить скрипт в разделе User Configuration->Windows Settings->Scripts->Logon
    1 апреля 2009 г. 14:01
    Отвечающий
  • Ошибку 3019 можете проигнорировать: http://support.microsoft.com/kb/315244
    После выполнения gpresult ничего происходить и не должно - это же логон скрипт.... выполняется во время входа в систему.
    Или я что-то не так понял?
    Скрипт нужно поместить в политику пользователя с помощью редактора Group Policy
    1 апреля 2009 г. 14:04
  • если мне память не изменяет, матчасть советует к OU привязывать GPO. Какова вообще цель создания отдельного OU, если у вас уже задана фильтрация по пользователю? через RSoP.msc скрипт виден?
    1 апреля 2009 г. 14:08
  • через RSoP.msc скрипт виден?

    да виден


    Какова вообще цель создания отдельного OU, если у вас уже задана фильтрация по пользователю?
    пользователь test перемещен!!!! в "o-Test", и там уже отфильтровано, чтобы отработать именно на нем.
    1 апреля 2009 г. 14:40
  • - залогиньтесь на ПК под пользователем TEST
    - откройте окно командной строки (CMD.EXE)
    - в этом окне выполните команду
    \\domen.lan\SysVol\domen.lan\Policies\{2D668CD4-1CA0-441C-BE43-E770E9EB09BB}\User\Scripts\Logon\ttt.bat

    Смотрите ошибки.
    Если они будут, то предполагаю что будут связаны с некорректными путями и правами доступа.


    MCDBA:SQL Server 2000 | MCTS:SQL Server 2005
    1 апреля 2009 г. 18:47
  • пользователь test перемещен!!!! в "o-Test", и там уже отфильтровано, чтобы отработать именно на нем.
    я понимаю, что он перемещен. я не понимаю, зачем :)
    политику попробуйте к OU привязать. вообще на OU правой кнопой, пропертис, вкладка груп полиси. кто там есть?
    1 апреля 2009 г. 20:36
  • Смотрите ошибки.
    Если они будут, то предполагаю что будут связаны с некорректными путями и правами доступа.

    Запустил - отработался батник! т.е. права есть и соответственно путь.

    Да перемещал для того,чтобы  в дальнейшем выдернуть некоторых пользователей (а возможно и компьютеры из Computers) и применять то,что там будет.
    Но в принципе это пока тестовый режим получается в плане применения bat-файла,отдельно.
    До этого момента,в приципе есть уже давно созданное OU domain users в котором создаются пользователи домена и для них "подправлена" политика работы в сети,но без использования скриптов возможных. Есть также OU Wsus - там компьютеры.
    Соответсвенно,хочу отработать отдельно именно логоны-скрипты,думал все просто,вставил и пошло...если просто "подправить" работу в сети,ну допустим, убрать Add and Remove Program и т.д. - то они отрабатываются!
    уже какой день бьюсь.что не так?
    2 апреля 2009 г. 1:26
  • сейчас проделал все то же что и вы - скрипт выполняется, приложения запускаются и локальные и из сети. Есть момент - приложения с GUI на экран выводятся, а если скрипт выглядит вот так
          echo %username%
          ftp
          pause
    то на экран ничего не выводится, но в процессах висит. попробуйте добавить в скрипт что-то вроде
          cd %userprofile%
          echo %username% > 1.txt

    И если можно - текст батника покажите
    2 апреля 2009 г. 6:02
  • но ничего не создается(но если в ручную его запускать то отрабатывает). может ен правильно что-то делаю?
    да вприципе тот же самы скрипт торчит.
    echo %username% > 1.txt
    2 апреля 2009 г. 7:54
  • но ничего не создается(но если в ручную его запускать то отрабатывает). может ен правильно что-то делаю?
    да вприципе тот же самы скрипт торчит.
    echo %username% > 1.txt
    А если так - echo %username% > c:\1.txt?
    2 апреля 2009 г. 8:02
  • у Вас все так сделано? скрин 1 , скрин 2 , скрин 3
    2 апреля 2009 г. 10:40
  • в точности.
    2 апреля 2009 г. 11:06
  • и в эвентах системы ничего подозрительного нет?
    2 апреля 2009 г. 11:41
  • что интересно.
    очистил журнал полностью.
    перегрузил машину.вошел в нее.
    не появилось записей о применении политики.
    gpupdate /force - пишет: политика успешно применилась.

    2 апреля 2009 г. 12:17
  • В политике укажите полный путь для запуска bat-файла, например: %LogonServer%\NetLogon\ttt.bat
    Поместите ttt.bat в шаринг Netlogon на контроллере.

    Наверняка он его ищет не там, где вы думаете.
    7 апреля 2009 г. 22:20
    Отвечающий
  • и в эвентах системы ничего подозрительного нет?

    если в ивентах никаких ошибок нет, то скорее всего политика применилась, то есть сама политика выполнилась, то есть логон скрипт. Другое дело что должен этот скрипт делать, быть может вы просто не видите результатов его работы. Например если скриптом запускается какая то программа или создается файл то нужно проверить все права NTFS + права на шару если по сети НА пользователя test. Не забывайте что LOGON скрипт отрабатывает под ПРАВАМИ ЗАЛОГИНИВШЕГОСЯ  юзера. 

    И посмотрите Ивенты еще раз, там точно ничего нет? 
    8 апреля 2009 г. 3:44