none
Не срабатывает bat скрипт в GPO RRS feed

  • Общие обсуждения

  • Всем привет!

    Есть AD, сконфигурированный на Window Server 2019, уровень домена 2016.

    В новых ревизиях, запрещено с помощью GPP создавать локального пользователя, теперь только через LAPS.

    Развернул Laps, дал разрешения которые необходимы мне.

    Создал тестовую OU, в ней тестового пользователя и компьютер, над которым и производил наладку групповой политики. В моем случае это:

    1) установка клиента LAPS - было создано две GPO, под установку x64 и x86 битного клиента, с использованием фильтра WMI

    2) GPO Lоcal_adm Создание локального пользователя с помощью скрипта *.bat ( содержание скрипта:" net user Odmin 123321 /add ")  через: конф. компьютера - политики - конф. Windows - сценарии - автозагрузка и с последующем его добавлением в локальные администраторы с помощью GPP, скрипт создает только пользователя. В этой политике я включил разрешение на выполнение скриптов.

    В тестовой OU, я отключил наследование групповых политик, т.к. моя задача была, помимо этой политики сделать еще и другие политики ( прокся, сопоставление дисков) и исключить пересечение, с корявыми политиками сделанными другим администратором. В ней все заработало. Но как вынес GPO Local_Adm в OU c компьютерами.... то она перестала работать. LAPS устанавливается, а скрипт не срабатывает и пользователь не создается.

    gpresult выдает следующее:

    Примененные объекты групповой политики
        ---------------------------------------
            Local_ADM
            Install_LAPSx64
            Default Domain Policy

        Следующие политики GPO не были применены, так как они отфильтрованы
        --------------------------------------------------------------------
            Install_LAPSx86
                Фильтрация:  Отказано (фильтр WMI)
                Фильтр WMI: Применение 32-bit OS

            Local Group Policy
                Фильтрация:  Не применяется (пусто)

    Политику LOCAL_ADM  положил в OU, где все компьютеры организации и это не computers.

    Пробовал форсирование, но никакого результата. Как только переношу компьютер в тестовую OU все появляется.

    Скажите, чтоя  не так делаю, как мне добиться работоспособного результата?

    • Изменен тип Vector BCOModerator 17 марта 2021 г. 21:03 автор не появляется в обсуждении
    3 декабря 2020 г. 10:30

Все ответы

  • 1 через gpo/gpp указать пароль нельзя лет 5

    2 bat скрипты отмирающий компонент вытесняемый powershell'ом

    3 добавьте в скрипт логирование, чтоб посмотреть он вообще выполняется или нет, ато судя по gpresult должен выполнятся.


    The opinion expressed by me is not an official position of Microsoft

    3 декабря 2020 г. 11:03
    Модератор
  • Соглашусь полностью что bat - это мезозойный период, но я очень плохо понимаю powershell, сейчас засел искать как создать с паролем пользователя скриптом powershell и даже если что и нахожу, то не могу понять(

    С логированием тоже тяжко, как сделать?

    *UPD 

    Сделал простенький скрипт в PowerShell:

    $password = convertto-securestring "Password!" -asplaintext -force
    new-localuser Odmin -Password $password -PasswordNeverExpires:$true
    Add-LocalGroupMember -Group "Администраторы" -Member "Odmin"

    Но появилась следующая проблема, если уже есть один локальный администратор, то мой Odmin не создается. Как быть?

    • Изменено Kir999 3 декабря 2020 г. 13:26
    3 декабря 2020 г. 11:49
  • 1 логи в powershell в первой строке:
    start-transcript "$ENV:Temp\CreateUser$(Get-Date -F '%yyyy%m%d').log"
    2 Какая ошибка возникает? Речь о том что 2 раза Odmin не создается или если на ПК существует Vasya-Admin то Odmin не создается?

    The opinion expressed by me is not an official position of Microsoft

    15 декабря 2020 г. 12:14
    Модератор