Probleme beim Ausführen eines Benutzer-Startscripts über eine GPO
Heiko Fischer
ich verzweifle langsam an einem Problem:
Wir möchten ein Benutzer-Anmeldescript per GPO zuweisen, aber es wird
einfach nicht ausgeführt. Wir haben die Datei (.vbs und .cmd) direkt in
die GPO kopiert und korrekt verknüpft.
Das Script wird manuell korrekt ausgeführt - sei es lokal oder per
Doppelklick auf die Datei im Sysvol-Ordner. Es liegt also nicht an
irgendwelchen Berechtigungen.
Die GPO wird ausgeführt, nur das Anmeldeskript nicht. Das geht aus
GPResult hervor. Ein Mitschnitt des Boot-Prozesses per Procmon hat
nichts ergeben. Der Mitschnitt ist irgendwann abgebrochen.
Auffällig ist, dass das Skript bei der Neuanmeldung eines Users
ausgeführt wird, also wenn noch kein Profil vorhanden war. Bei Usern mit
bestehendem Profil geht das nicht. Wir können aber leider nicht die
Profile aller Mitarbeiter löschen und neu anlegen lassen.
Es sind keine Fehlermeldungen im Eventlog vorhanden. Die Replikation der
GPO's unter den DC's verläuft reibungslos.
Vielleicht wisst Ihr noch ein Mittel... Ich verzweifle noch daran... :-(
Viele Grüße
Heiko
Mark Heitbrink [MVP]
Am 19.04.2010 13:35, schrieb Heiko Fischer:
> Auffällig ist, dass das Skript bei der Neuanmeldung eines Users
> ausgeführt wird, [...]
Weil der erste Start synchron ist und danach asynchron.
http://www.gruppenrichtlinien.de/Grundlagen/faq.htm#36
Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy
Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate
Heiko Fischer
> HI,
>
> Am 19.04.2010 13:35, schrieb Heiko Fischer:
>> Auffällig ist, dass das Skript bei der Neuanmeldung eines Users
>> ausgeführt wird, [...]
>
> Weil der erste Start synchron ist und danach asynchron.
> http://www.gruppenrichtlinien.de/Grundlagen/faq.htm#36
>
> Tschö
> Mark
Hallo Mark,
leider war's das nicht. Die GPO hatte schon die vorgeschlagenen
Einstellungen. Habe zusätzlich noch "Startskripts asynchron ausführen"
deaktiviert.
Habe keine Erklärung dafür...
Vielleicht fällt Dir noch was ein... Auf jeden Fall mal wieder
herzlichen Dank.
Gruß
Heiko
![Winfried Sonntag [MVP]'s profile photo](http://lh3.googleusercontent.com/a-/ALV-UjXdEqZtpkXz0AFa1lLZBTRauO9fuu7812JL6tBjN90kK4_WHg=s40-c)
Winfried Sonntag [MVP]
> Wir möchten ein Benutzer-Anmeldescript per GPO zuweisen, aber es wird
> einfach nicht ausgeführt. Wir haben die Datei (.vbs und .cmd) direkt in
> die GPO kopiert und korrekt verknüpft.
>
> Das Script wird manuell korrekt ausgeführt - sei es lokal oder per
> Doppelklick auf die Datei im Sysvol-Ordner. Es liegt also nicht an
> irgendwelchen Berechtigungen.
Von welchen Clients sprichst Du? Wenn VISTA oder 7, ist UAC an? Sind die
betroffenen Benutzer in der Gruppe der lokalen Admins?
> Auffällig ist, dass das Skript bei der Neuanmeldung eines Users
> ausgeführt wird, also wenn noch kein Profil vorhanden war. Bei Usern mit
> bestehendem Profil geht das nicht. Wir können aber leider nicht die
> Profile aller Mitarbeiter löschen und neu anlegen lassen.
Mit einem neu angelegten Profil funktioniert es dann immer?
Servus
Winfried
--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: http://www.gruppenrichtlinien.de
Gruppenrichtlinien Mailingliste "gpupdate":
http://frickelsoft.net/cms/index.php?page=mailingliste
Heiko Fischer
> Heiko Fischer schrieb:
>
>> Wir möchten ein Benutzer-Anmeldescript per GPO zuweisen, aber es wird
>> einfach nicht ausgeführt. Wir haben die Datei (.vbs und .cmd) direkt in
>> die GPO kopiert und korrekt verknüpft.
>>
>> Das Script wird manuell korrekt ausgeführt - sei es lokal oder per
>> Doppelklick auf die Datei im Sysvol-Ordner. Es liegt also nicht an
>> irgendwelchen Berechtigungen.
>
> Von welchen Clients sprichst Du? Wenn VISTA oder 7, ist UAC an? Sind die
> betroffenen Benutzer in der Gruppe der lokalen Admins?
>
>> Auffällig ist, dass das Skript bei der Neuanmeldung eines Users
>> ausgeführt wird, also wenn noch kein Profil vorhanden war. Bei Usern mit
>> bestehendem Profil geht das nicht. Wir können aber leider nicht die
>> Profile aller Mitarbeiter löschen und neu anlegen lassen.
>
> Mit einem neu angelegten Profil funktioniert es dann immer?
>
> Servus
> Winfried
Hallo Winfried,
es handelt sich um eine Windows 2003 Domäne mit Windows XP Clients auf
aktuellstem Patchstand.
Die Benutzer sind einfache Benutzer. Die Anwender dürfen laut Richtlinie
unseres Hauses auch nicht mehr Rechte bekommen.
Bei neu angelegtem Profil funktioniert das Skript einwandfrei...
Danke und viele Grüße
Heiko
Winfried Sonntag [MVP]
> es handelt sich um eine Windows 2003 Domäne mit Windows XP Clients auf
> aktuellstem Patchstand.
>
> Die Benutzer sind einfache Benutzer. Die Anwender dürfen laut Richtlinie
> unseres Hauses auch nicht mehr Rechte bekommen.
>
> Bei neu angelegtem Profil funktioniert das Skript einwandfrei...
Installier UPHC auf allen Clients und boote mind. einmal neu durch.
Evtl. hilfts ja. Ansonsten wirst Du wohl um neue Profile nicht herum
kommen.
http://www.microsoft.com/downloads/details.aspx?FamilyID=1b286e6d-8912-4e18-b570-42470e2f3582&displaylang=en
Heiko Fischer
> Heiko Fischer schrieb:
>
>> es handelt sich um eine Windows 2003 Domï¿œne mit Windows XP Clients auf
>> aktuellstem Patchstand.
>>
>> Die Benutzer sind einfache Benutzer. Die Anwender dï¿œrfen laut Richtlinie
>>
>> Bei neu angelegtem Profil funktioniert das Skript einwandfrei...
>
> Installier UPHC auf allen Clients und boote mind. einmal neu durch.
> Evtl. hilfts ja. Ansonsten wirst Du wohl um neue Profile nicht herum
> kommen.
> http://www.microsoft.com/downloads/details.aspx?FamilyID=1b286e6d-8912-4e18-b570-42470e2f3582&displaylang=en
>
> Servus
> Winfried
Hat leider nicht geklappt... :-( Profile neu machen kommt leider nicht
in Frage, da wegen der Masse der Anwender nicht praktikabel.
Gibt es nicht einen lokalen - ich nenn ihn mal - Policy-Cache, den man
vielleicht mal lï¿œschen kï¿œnnte? Die Policies werden doch lokal abgelegt,
falls kein Domᅵnencontroller verfᅵgbar ist. Ich weiᅵ nicht, wo der
Speicherort ist. Hab im Internet nichts mehr gefunden.
Gruᅵ Heiko
Heiko Fischer
Benutzerkonto eingetragen hab. Unschön, aber es geht und es sollte uns
bis zur Windows 7-Umstellung retten...
Trotzdem vielen, vielen Dank für Eure Unterstützung :-)
Viele Grüße
Heiko
Mark Heitbrink [MVP]
Am 20.04.2010 11:49, schrieb Heiko Fischer:
> Habe das Problem lösen können, in dem ich das Anmeldeskript im
> Benutzerkonto eingetragen hab.
Schau mal, ob bei deinen Clients folgender Eintrag existiert:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\GPExtensions\{42B5FAAE-6536-11d2-AE5A-0000F87571E3}
"NoGPOListChanges"=RegDword, sollte auf 1 stehen,
bzw. hast du zufällig:
Skriptrichtlinienverarbeitung
Computerkonfiguration/Administrative Vorlagen/System/Gruppenrichtlinien
konfiguriert und "Gruppenrichtlinienobjekte auch ohne Änderungen
bearbeiten" ist "unchecked" (deaktiviert)?
das würde erklären, warum das Script nur einmal läuft, denn dann würde
es wie eine Richtlinien aus dem ADM Bereich agieren und nur bei Änderung
des Counters der GPO laufen, was bei Scripten quasi nie der Fall ist.
Gruppenrichtlinienobjekte auch ohne Änderungen bearbeiten = aktiviert
oder, wenn nicht per GPO definiert
"NoGPOListChanges" = 1
sorgen dafür, daß das Script IMMER läuft, unabhängig von der Version.
Heiko Fischer
> Hi,
>
> Am 20.04.2010 11:49, schrieb Heiko Fischer:
>> Habe das Problem lösen können, in dem ich das Anmeldeskript im
>> Benutzerkonto eingetragen hab.
>
> Schau mal, ob bei deinen Clients folgender Eintrag existiert:
>
> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
> NT\CurrentVersion\Winlogon\GPExtensions\{42B5FAAE-6536-11d2-AE5A-0000F87571E3}
>
> "NoGPOListChanges"=RegDword, sollte auf 1 stehen,
>
> bzw. hast du zufällig:
> Skriptrichtlinienverarbeitung
> Computerkonfiguration/Administrative Vorlagen/System/Gruppenrichtlinien
> konfiguriert und "Gruppenrichtlinienobjekte auch ohne Änderungen
> bearbeiten" ist "unchecked" (deaktiviert)?
>
> das würde erklären, warum das Script nur einmal läuft, denn dann würde
> es wie eine Richtlinien aus dem ADM Bereich agieren und nur bei Änderung
> des Counters der GPO laufen, was bei Scripten quasi nie der Fall ist.
>
> Gruppenrichtlinienobjekte auch ohne Änderungen bearbeiten = aktiviert
> oder, wenn nicht per GPO definiert
> "NoGPOListChanges" = 1
> sorgen dafür, daß das Script IMMER läuft, unabhängig von der Version.
>
> Tschö
> Mark
Hi Mark,
ich habe die beiden Einträge kontrolliert:
"NoGPOListChanges" steht auf 1, "Gruppenrichtlinienobjekte auch ohne
Änderungen bearbeiten" ist "checked" - sprich alles ist korrekt eingestellt.
Ich denke, die DC's wurden schon lange nicht mehr rebootet. Nächste
Woche werden Patches darauf eingespielt und die Systeme rebootet. Ich
hoffe, dass es dann geht. Ich habe keine logische Erklärung für die
Problematik.
Aber wie gesagt, über das AD-Benutzerobjekt wird das Script ausgeführt.
Bis Windows 7 sollte die Lösung ausreichen. Dann werden die Karten neu
gemischt.
Also nochmals vielen Dank!
Heiko
Mark Heitbrink [MVP]
Am 20.04.2010 12:34, schrieb Heiko Fischer:
> "NoGPOListChanges" steht auf 1, "Gruppenrichtlinienobjekte auch ohne
> Änderungen bearbeiten" ist "checked" - sprich alles ist korrekt
> eingestellt.
naja, eigentlich sollte das garnicht per GPO manipuliert sein.
Damit es eben am Client nicht geändert ist.
Den Wert musst du wenn auf dem Client kontrollieren, nicht am DC.
Heiko Fischer
wir haben das Problem gelï¿œst: Es war der Trendmicro Virenscanner.
Es mï¿œssen diverse Dateien vom Scan ausgenommen werden. Neben der
Problemlï¿œsung gabs nen merklichen Performancegewinn.
Hier die Ausschlussliste fï¿œr den Virenscanner:
http://blogs.technet.com/dmelanchthon/archive/2009/11/13/was-virenscanner-nicht-scannen-sollten.aspx
Trotzdem vielen, vielen Dank fï¿œr Eure Hilfe - und an Daniel Melanchthon!
Grᅵᅵe
Heiko
Heiko Fischer schrieb:
> Hallo liebe Newsgroup,
>
> ich verzweifle langsam an einem Problem:
>
> Wir mï¿œchten ein Benutzer-Anmeldescript per GPO zuweisen, aber es wird
> einfach nicht ausgefï¿œhrt. Wir haben die Datei (.vbs und .cmd) direkt in
> die GPO kopiert und korrekt verknï¿œpft.
>
> Das Script wird manuell korrekt ausgefï¿œhrt - sei es lokal oder per
> Doppelklick auf die Datei im Sysvol-Ordner. Es liegt also nicht an
> irgendwelchen Berechtigungen.
>
> Die GPO wird ausgefï¿œhrt, nur das Anmeldeskript nicht. Das geht aus
> GPResult hervor. Ein Mitschnitt des Boot-Prozesses per Procmon hat
> nichts ergeben. Der Mitschnitt ist irgendwann abgebrochen.
>
> Auffï¿œllig ist, dass das Skript bei der Neuanmeldung eines Users
> ausgefï¿œhrt wird, also wenn noch kein Profil vorhanden war. Bei Usern mit
> bestehendem Profil geht das nicht. Wir kï¿œnnen aber leider nicht die
> Profile aller Mitarbeiter lï¿œschen und neu anlegen lassen.
>
> Es sind keine Fehlermeldungen im Eventlog vorhanden. Die Replikation der
> GPO's unter den DC's verlï¿œuft reibungslos.
>
> Vielleicht wisst Ihr noch ein Mittel... Ich verzweifle noch daran... :-(
>
> Viele Grᅵᅵe
> Heiko
Robert Riebisch
> wir haben das Problem gelï¿œst: Es war der Trendmicro Virenscanner.
WFBS?
--
Robert Riebisch
Bitte NUR in der Newsgroup antworten!
Please reply to the Newsgroup ONLY!
Heiko Fischer
>
> WFBS?
>
Das bedeutet?
Robert Riebisch
>> WFBS?
>>
>
> Das bedeutet?
(Trend Micro) Worry-Free Business Security
Heiko Fischer
> Heiko Fischer wrote:
>
>>> WFBS?
>>>
>> Das bedeutet?
>
> (Trend Micro) Worry-Free Business Security
>
Passt ja wie Faust auf Auge :-)
Robert Riebisch
>>>> WFBS?
>>>>
>>> Das bedeutet?
>>
>> (Trend Micro) Worry-Free Business Security
>>
>
> Passt ja wie Faust auf Auge :-)
Benutzt du also das WFBS-Produkt? Oder eher OfficeScan?
Heiko Fischer
>
> Benutzt du also das WFBS-Produkt? Oder eher OfficeScan?
>
Wir haben Officescan im Einsatz, bin aber nicht mit dessen Verwaltung
betraut.