none
Script de GPO no se ejecuta en máquina del dominio RRS feed

  • Pregunta

  • Hola,

    tengo un script muy básico de prueba metido en una GPO.

    En el visor de eventos al parecer se aplica correctamente la GPO.

    Pero el script no se debe ejecutar, pues no se abre la aplicación calc.exe. Debería hacer eso, abrir la calculador, y no lo hace.

    Es un script de prueba.

    ¿Qué podría estar fallando?

    En realidad, el script que me interesa tendría que estar en el startup de la máquina, y sería para crear un nuevo usuario en todas las máquinas. Ya que no me funcionaba, he empezado con lo más básico, que es lanzar calc.exe desde un .bat en el inicio de sesión de un usuario del dominio.

    Si ejecuto el script manualmente con \\dominio\ruta del script\script.bat sí funciona.

    Muchísimas gracias de antemano.


    María José

    jueves, 18 de julio de 2019 11:53

Respuestas

Todas las respuestas

  • Hola María José GL, muchas cosas pueden fallar :)

    Primero, que un script de inicio de máquina no puede acceder a la interfaz gráfica, y por lo tanto no mostrará la calculadora

    Segundo a tener en cuenta, son los privilegios con que se ejecuta el script. Si es de máquina es con la cuenta System, que dudo tenga el privilegio de crear cuentas locales de usuario. En cambio cuando lo ejecutas manualmente con los privilegios de administrador así funciona

    Además algo a tener en cuenta, si creas un usuario sin contraseña, por omisión el sistema lo deja deshabilitado. Y si le pones la contraseña en script es un riesgo importante de seguridad porque cualquier usuario puede leerlo, aunque no lo tenga asignado. Sobre Sysvol todos tienen acceso de lectura

    Lo que se me ocurre como solución es que tú ejecutes un script, alimentado con un archivo con los nombres de máquinas donde quieras que se cree el usuario local, y de esta forma entiendo que puede funcionar

    Pregunta en el foro de scripting a ver si te dan ideas

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 18 de julio de 2019 17:46
    Moderador
  • Hola!

    Muchas gracias por tu respuesta.

    El script que lanza la calculadora está configurado en el inicio de sesión de los usuarios,por lo que entiendo que sí puede acceder a la interfaz gráfica, pero no sé sé ejecuta.

    Entonces cómo podría crear un usuario local en todas las máquinas y asignarle una contraseña si no es con un script?


    María José

    jueves, 18 de julio de 2019 20:11
  • Un usuario no puede crear un usuario local, ni cambiar contraseña si no es administrador local

    Lo que puse antes es justamente que pongas la pregunta en el foro de scripting a ver si alguien te puede dar una solución

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 18 de julio de 2019 21:33
    Moderador
  • Hola,

    Gracias de nuevo.

    El problema es que creo que la GPO no está funcionando correctamente.

    El script no llega a la máquina cliente o no puede abrirlo o algo  pasa, pues el de la calculadora ennn el inicio de sesión debería funcionar,y no lo hace.


    María José

    jueves, 18 de julio de 2019 21:49
  • También he leído que el usuario SYSTEM forma parte del grupo Administradores.

    Escribiré en el foro scripting, a ver qué me dices.

    Gracias de nuevo.


    María José

    viernes, 19 de julio de 2019 8:41
  • Yo no participo en el foro de scripting, mis conocimientos no son fuertes en ese tema, pero suelen acudir especialistas en ese tema

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 19 de julio de 2019 10:09
    Moderador
  • ¿Podría ver de alguna manera si la máquina remota intenta ejecutar el script en el startup de la máquina y el resultado?

    Creo directamente que la máquina lo está ignorando o lo está bloqueando o algo... Independientemente del contendido del script.

    ¿Me podrías decir algún tipo de script que sepas seguro que funciona en el startup de la máquina para probar si la gpo se aplica correctamente?

    Muchas gracias de nuevo.


    María José

    viernes, 19 de julio de 2019 12:10
  • Hola "María José GL",

    Segun tu escenario es un script simple, pero cuidado ! hay que ver que hay detras... por ejemplo:

    1 - Template de seguridad
    2 - Permisos
    3 - Antivirus
    4 - Servicios
    5 - Apps
    6 - Estado: Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

    Te pido que revises estas notas a ver si te pueden ayudar:

    The Startup Script is Dead
    https://blogs.technet.microsoft.com/askpfeplat/2015/04/26/the-startup-script-is-dead/

    Group Policy Script Processing Behavior
    https://blogs.technet.microsoft.com/askds/2010/03/23/group-policy-script-processing-behavior/

    Comentanos como configuras tu escenario ?


    ---------------------------------------------------------------------------------

    Saludos.

    • Propuesto como respuesta Ignacio Barrios domingo, 22 de septiembre de 2019 0:45
    viernes, 19 de julio de 2019 12:20
  • Lo que puedes saber es si se está aplicando la GPO

    Desde un CMD ejecuta GPRESULT /R

    Para ver las de máquina, el CMD debe estar "Ejecutado como administrador"

    Los scripts pregunta en el foro correspondiente

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 19 de julio de 2019 13:59
    Moderador
  • Hola Ignacio,

    Muchísimas por tu respuesta.

    Te cuento el escenario:

    - El script es el siguiente:

    net user localAdmin xxxxxx /ADD
    net localgroup Administradores localAdmin /add

    - En filtrado de seguridad tiene Usuarios Autentificados y SYSTEM.

    - Está configurado para que se ejecute en el startup dentro de una GPO.

    - Si ejecuto gpresult /r en la máquina correspondiente aparece que la GPo se aplica correctamente.

    - El antivirus en principio no entraría en juego, no? Al ser en el startup. Aún así he mirado los logs y no me bloquea el script.

    - sobre lo que dices de Usee Rights Assignment no sé si tengo que añadir algo en ese punto. No he configurado nada de eso.

    Gracias de nuevo!


    María José

    viernes, 19 de julio de 2019 14:08
  • Desde Event Viewer/Applications and Services Logs/Microsoft/Windows/GroupPolicy/ verifica que esté todo con normalidad.

    Group Policy Troubleshooting – helpful Event log categories
    https://blogs.technet.microsoft.com/grouppolicy/2009/03/04/group-policy-troubleshooting-helpful-event-log-categories/

    Por otro lado, instala un nuevo Windows Client y pruebalo sin antivirus y ninguna app.
    lunes, 22 de julio de 2019 15:04
  • Sinceramente no sé qué estaba fallando.

    He cambiado el nombre del equipo, he vuelto a crear una política de cero, y me ha funcionado.


    María José

    jueves, 25 de julio de 2019 9:32
  • De nuevo vuelve a fallar.

    Funcionó una vez y ya está.


    María José

    viernes, 26 de julio de 2019 13:50
  • Instala un nuevo Windows Client y pruebalo sin antivirus y ninguna app.

    [Ignacio Barrios] MPN-MCT: 2019, MCTS: Windows Server 2008 R2, MCSA-MCSE: Window Server 2012 R2, Server Virtualization with Windows Server Hyper-V System Center & MCSA-MCSE: Windows Server 2016

    domingo, 22 de septiembre de 2019 0:46