none
Выполнение логон-скриптов при входе в систему в случае отсутствия связи с DC RRS feed

  • Вопрос

  • Доброго времени суток!

    Проблема такого рода:

    Есть домен состоящий из множества подразделений. Подразделения территориально разнесены и взаимодействие между ними осуществляется по выделенным каналам связи. Контроллеры домена, по отношению к подразделениям, расположены удаленно, т.е. взаимодействие с ними осуществляется по тем же каналам связи. В каждом подразделении существуют свои (локальные по отношению к подразделению) общие ресурсы. Так вот, собственно, проблема:

    При регистрации пользователей на станциях в домене (пользователи входят в систему), при отсутствии связи с контроллерами AD, не отрабатываются логон-скрипты определённые в групповой политике (подключение дисков, принтеров и т.п.). В случае использования сопоставления - ресурсы подключаются, но доступа к ним нет.

    Единственный вариант, который найден - это исполнение, в качестве скрипта, CMD-файла с командами типа "net use ... /persistent:yes"

    Хочется перейти от использования cmd-файлов к vbs-скриптам или использованию сопоставлений, но никак :(

    Есть какие нить варианты уйти от командной строки?

    P.S. Домен на базе Win2K8, станции на WinXPSP3 

    1 октября 2012 г. 16:02

Ответы

  • И ещё: а нет ли механизма, например, сохранять/реплицировать групповую политику в локальную?

    Есть, как говорится, любой каприз за Ваши деньги. :)

    http://www.fullarmor.com/products-gpanywhere.htm

    Даа, интересно, но денег нет. Я уж лучше КМД-шником обойдусь. :)

    Вот, что есть, не требующее денег.

    В продукт Security Compliance Manager (SCM) 2.5 (есть уже версия 3.0, но beta) входит утилита командной строки LocalGPO, которая как раз позволяет импортировать содержимое любого объекта групповых политик в домене в локальный GPO. Подробнее по установке и использованию см.

    http://www.grouppolicy.biz/tag/localgpo/

    • Помечено в качестве ответа KazunEditor 23 октября 2012 г. 5:12
    4 октября 2012 г. 9:09
    Модератор
  • И ещё: а нет ли механизма, например, сохранять/реплицировать групповую политику в локальную?

    Есть, как говорится, любой каприз за Ваши деньги. :)

    http://www.fullarmor.com/products-gpanywhere.htm

    Даа, интересно, но денег нет. Я уж лучше КМД-шником обойдусь. :)

    Вот, что есть, не требующее денег.

    В продукт Security Compliance Manager (SCM) 2.5 (есть уже версия 3.0, но beta) входит утилита командной строки LocalGPO, которая как раз позволяет импортировать содержимое любого объекта групповых политик в домене в локальный GPO. Подробнее по установке и использованию см.

    http://www.grouppolicy.biz/tag/localgpo/

    Интересная штука, попробую... Я вот тут поизгалялся, по типу SCM :) :

    Включил фичу: "Автономный файлы", настроил: делать автономными папки %SystemRoot%\SYSVOL...\GUID\..., кое что ещё подшаманил - скрипты, при отсутсвии связи с DC, стали отрабатывать, НО!: на Windows 7 - проблем нет, а на Windows XP SP3 метод MapNetworkDrive выдаёт ошибку "Объект не найден" /по-мойму/... Короче проблема в том, как я понимаю, что мепятся диски при отсутствии связи с DC, а права мэпящего юзера система проверить не может и отказывает в доступе к сетевому ресурсу :( Только почему-то Win7 всё устраивает, а WinXP нет... Есть у кого нить какие нить мысли?



    • Изменено Туапсинец 4 октября 2012 г. 18:06
    • Помечено в качестве ответа KazunEditor 23 октября 2012 г. 5:12
    4 октября 2012 г. 18:04

Все ответы

  • Как вариант, создавайте - можно с помощью используемых вами Group Policy Preferences - назначенные задания с запуском при входе пользователя в систему. Такие назначенные задания будут отрабатываться вне зависимости от доступности домен-контроллера и применения групповых политик. Правда сценарий, запускаемый через планировщик задач, должен находиться не на сетевом ресурсе, а на локальном компьютере, его следует туда переписать.
    1 октября 2012 г. 20:08
    Модератор
  • ну а что мешает вам создавать теже самые постоянные соединения через вбс если вам смд не нравится?

    2 октября 2012 г. 9:15
  • ну а что мешает вам создавать теже самые постоянные соединения через вбс если вам смд не нравится?

    Использование скрипта vbs проблему не решает. Или может я Вас не понял: что значит  "постоянные соединения через вбс"?

    2 октября 2012 г. 14:02
  • Как вариант, создавайте - можно с помощью используемых вами Group Policy Preferences - назначенные задания с запуском при входе пользователя в систему. Такие назначенные задания будут отрабатываться вне зависимости от доступности домен-контроллера и применения групповых политик. Правда сценарий, запускаемый через планировщик задач, должен находиться не на сетевом ресурсе, а на локальном компьютере, его следует туда переписать.

    В том то и дело, что я хотел применить более прогресивные методы: скрипты VBS или сопоставление дисков  вместо CMD...

    А предлагаемое Вами решение, хоть мне в голову и не приходило (спасибо, кстати, положу в копилку), но ни чем не лучше использования CMD-файлов...

    Т.е. фундаментально, логон-скрипты (как, я понимаю, и вообще политики) при отсутствии связи с доменом отрабатывать заставить нельзя? Я правильно понимаю?

    А как быть с политиками настройки служб, компонентов Windows (Админ шаблоны) и т.п. и т.д. - это хозяйство, похоже, тоже не отрабатывается?

    2 октября 2012 г. 14:11
  • Startup- и Logon-скрипты при отсутствии связи с домен-контроллером (т.е. при входе с кешированными реквизитами) заставить отрабатывать нельзя. Это также относится к политикам Folder Redirection и Software Installation. Однако другие политики, в частности, реестровые будут применяться, поскольку сохраняются на стороне клиента.

    2 октября 2012 г. 14:32
    Модератор
  • Startup- и Logon-скрипты при отсутствии связи с домен-контроллером (т.е. при входе с кешированными реквизитами) заставить отрабатывать нельзя. Это также относится к политикам Folder Redirection и Software Installation. Однако другие политики, в частности, реестровые будут применяться, поскольку сохраняются на стороне клиента.


    Это где-то документально описано? Я имею ввиду в официальной документации MS?

    И ещё: а нет ли механизма, например, сохранять/реплицировать групповую политику в локальную?

    P.S. Кроме того, на счёт назначенных заданий, - думаю можно и в автозагрузку ссылку на скрипт подкинуть или через реестр - дело не в этом... Раз есть соответствующие политики и сопутствующие им механизмы, то хочется именно ими и рулить.


    2 октября 2012 г. 18:20
  • Это где-то документально описано? Я имею ввиду в официальной документации MS?

    Напрямую - нет. Однако же, если знать, что логон-скрипты лежат в каталоге %SystemRoot%\SYSVOL\sysvol\<domain DNS name>\Policies\{GUID}\User\Scripts\Logon, несложно установить, что при отсутствии связи с DC этот ресурс доступен не будет и, следовательно, не произойдет выполнение лежащих на этом ресурсе скриптов.

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow us on TwitterFollow MSTechnetForum on Twitter

    Посетите Блог Инженеров
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html


    3 октября 2012 г. 7:57
    Модератор
  • И ещё: а нет ли механизма, например, сохранять/реплицировать групповую политику в локальную?


    Есть, как говорится, любой каприз за Ваши деньги. :)

    http://www.fullarmor.com/products-gpanywhere.htm
    3 октября 2012 г. 8:06
    Модератор
  • Это где-то документально описано? Я имею ввиду в официальной документации MS?

    Напрямую - нет. Однако же, если знать, что логон-скрипты лежат в каталоге %SystemRoot%\SYSVOL\sysvol\<domain DNS name>\Policies\{GUID}\User\Scripts\Logon, несложно установить, что при отсутствии связи с DC этот ресурс доступен не будет и, следовательно, не произойдет выполнение лежащих на этом ресурсе скриптов.

    Практически оно всё понятно и логично... Функционально неадекватно как-то получается.
    А как получается: связь с ДС при логоне станции пропала (просто не найден, к примеру) - часть действий, определённых в ГП, отрабатывает, а часть нет. Надеялся, вдруг есть какой-нить ход, в реестре типа, или ещё как... :) Но кроме того, сопоставление тогда почему не отрабатывает /хотя нужно это дело ещё раз проверить/.

    -----------------------

    Проверил сопоставление: тоже не работает. Причём на Windows7 диски подключается, но к ним нет доступа - система просит ввести учётные данные пользователя - вводишь и доступ получаешь (это приемлимо). А вот с Windows XP SP3 один из множества дисков подключился (первый в списке сопоставления), но доступа к нему нет без вариантов - это плохо. Остальные диски (по списку сопоставления) даже не подключились.

    • Изменено Туапсинец 4 октября 2012 г. 7:30 Проверил, как работает сопоставление
    3 октября 2012 г. 15:54
  • И ещё: а нет ли механизма, например, сохранять/реплицировать групповую политику в локальную?


    Есть, как говорится, любой каприз за Ваши деньги. :)

    http://www.fullarmor.com/products-gpanywhere.htm

    Даа, интересно, но денег нет. Я уж лучше КМД-шником обойдусь. :)

    3 октября 2012 г. 15:55
  • Как альтернатва — положите скрипты в сетевую папку и добавьте через политику ключ реестра для их автозагрузки.
    4 октября 2012 г. 6:32
  • Как альтернатва — положите скрипты в сетевую папку и добавьте через политику ключ реестра для их автозагрузки.

    Да альтернативы есть - дело не в этом... Почему конкретно предназначенииы для этих целей фичи не работают.

    4 октября 2012 г. 7:33
  • И ещё: а нет ли механизма, например, сохранять/реплицировать групповую политику в локальную?

    Есть, как говорится, любой каприз за Ваши деньги. :)

    http://www.fullarmor.com/products-gpanywhere.htm

    Даа, интересно, но денег нет. Я уж лучше КМД-шником обойдусь. :)

    Вот, что есть, не требующее денег.

    В продукт Security Compliance Manager (SCM) 2.5 (есть уже версия 3.0, но beta) входит утилита командной строки LocalGPO, которая как раз позволяет импортировать содержимое любого объекта групповых политик в домене в локальный GPO. Подробнее по установке и использованию см.

    http://www.grouppolicy.biz/tag/localgpo/

    • Помечено в качестве ответа KazunEditor 23 октября 2012 г. 5:12
    4 октября 2012 г. 9:09
    Модератор
  • И ещё: а нет ли механизма, например, сохранять/реплицировать групповую политику в локальную?

    Есть, как говорится, любой каприз за Ваши деньги. :)

    http://www.fullarmor.com/products-gpanywhere.htm

    Даа, интересно, но денег нет. Я уж лучше КМД-шником обойдусь. :)

    Вот, что есть, не требующее денег.

    В продукт Security Compliance Manager (SCM) 2.5 (есть уже версия 3.0, но beta) входит утилита командной строки LocalGPO, которая как раз позволяет импортировать содержимое любого объекта групповых политик в домене в локальный GPO. Подробнее по установке и использованию см.

    http://www.grouppolicy.biz/tag/localgpo/

    Интересная штука, попробую... Я вот тут поизгалялся, по типу SCM :) :

    Включил фичу: "Автономный файлы", настроил: делать автономными папки %SystemRoot%\SYSVOL...\GUID\..., кое что ещё подшаманил - скрипты, при отсутсвии связи с DC, стали отрабатывать, НО!: на Windows 7 - проблем нет, а на Windows XP SP3 метод MapNetworkDrive выдаёт ошибку "Объект не найден" /по-мойму/... Короче проблема в том, как я понимаю, что мепятся диски при отсутствии связи с DC, а права мэпящего юзера система проверить не может и отказывает в доступе к сетевому ресурсу :( Только почему-то Win7 всё устраивает, а WinXP нет... Есть у кого нить какие нить мысли?



    • Изменено Туапсинец 4 октября 2012 г. 18:06
    • Помечено в качестве ответа KazunEditor 23 октября 2012 г. 5:12
    4 октября 2012 г. 18:04