Toon posts:

[2003] Loginscripts via gpo worden niet uitgevoerd*

Pagina: 1
Acties:

Verwijderd

Topicstarter
Hallo,

De volgende situatie.
We zijn met onze Windows 2003 server aan het experimenteren met Logon, Startup scripts.
Via het GPO "Default Domain Policy" hebben we een simpel .vbs scriptje als Logonscript toegevoegd.
Als we op de server zelf opnieuw inloggen start het script wel, maar als user vanuit een werkstation niet.
Gaan we daarentegen als user op het werkstation naar C:Windows\ SYSVOL\sysvol\etc.etc.
dan kunnen we het script wel handmatig starten. Maw. het is wel toegankelijk.

Hoe kan dit ?

TIA
Mesjoggah

  • Turkish
  • Registratie: September 2002
  • Laatst online: 12-02 08:38

Turkish

zhé germans

Hoe logt die user in, staat er bij deze gebruiker wel dat hij het loginscript moet gebruiken als hij inlogt (zie AD -> profile) :)

[ Voor 5% gewijzigd door Turkish op 26-04-2005 15:33 ]

'When you're not paying for the product, you are the product!'


Verwijderd

Topicstarter
Het is de bedoeling dat het script geldt voor iedereen het domein.
Daarom hebben we het ook onder default domain policy geplaatst.

Het per user toewijzen van scripts gaat prima.
Ons domein heeft ongeveer 70 users.
We hebben er dus belang bij dat dit op domein niveau geregeld kan worden..... ;)

Mesjoggah

  • tc982
  • Registratie: Oktober 2003
  • Laatst online: 12:00
word deze policy niet uitgevoerd voor je inlogd?

Computers make very fast, very accurate mistakes.


Verwijderd

Topicstarter
Is dat geen startup script ? ;)
die wordt uitgevoerd zodra de computer is opgestart, maar voor er is ingelogd....

[ Voor 65% gewijzigd door Verwijderd op 26-04-2005 16:14 ]


Verwijderd

Verwijderd schreef op dinsdag 26 april 2005 @ 15:38:
Het is de bedoeling dat het script geldt voor iedereen het domein.
Daarom hebben we het ook onder default domain policy geplaatst.
dom dom.

1. nooit de default domain policy wijzigen (behalve paswoord related), maak een nieuwe policy aan.
2. dit betekent dat de policy ook op servers uitgevoerd wordt voor admins, vaak wil je dat niet.

bepaal even of rsop op een werkstation. bekend probleem als een gebruiker in meer dan 80 groepen zit dan worden policies niet uitgevoerd (er is een fix voor)

Verwijderd

Topicstarter
Verwijderd schreef op dinsdag 26 april 2005 @ 16:19:
[...]


dom dom.

1. nooit de default domain policy wijzigen (behalve paswoord related), maak een nieuwe policy aan.
Hoe doen we dat ?
2. dit betekent dat de policy ook op servers uitgevoerd wordt voor admins, vaak wil je dat niet.
Daar heb je gelijk in !!
bepaal even of rsop op een werkstation. bekend probleem als een gebruiker in meer dan 80 groepen zit dan worden policies niet uitgevoerd (er is een fix voor)
Dat is niet het geval, de user zit maar in een paar groepen.
Moeten we dan de scripts per user toewijzen ?
Of is er een mogelijkheid dit per group te doen ?

  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Verwijderd schreef op dinsdag 26 april 2005 @ 16:27:
[nieuwe gpo aanmaken]


Hoe doen we dat ?
RTFH.
Dat zeg ik niet gauw maar als je geen idee hebt hoe je een nieuwe GPO aanmaakt of een logonscript voor je users definieert wil ik je niet aan mijn servers hebben.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
Staat het script in de sysvol onder logon/logoff bij de betreffende groep gebruikers? Wordt het doorgevoerd op de clients als er een admin inlogt?

Wat krijg je verder voor errors in je event-logs? Die zouden vol moeten regenen met meldingen over GPO's die niet goed geladen worden en de mogelijke oorzaken daar van. Staat de domeincontroller als enige dns-server in je dhcp voor de clients?

We verwachten voorts hier op GoT dat je zelf wat onderzoek doet voordat je een vraag stelt. Lees hierover Algemene gedragsregels (Netiquette) goed door. Met enig zoekwerk had je dit makkelijk zelf kunnen vinden.

Ik pas de titel nog even aan zodat je os vooraan tuusen [] staat. Check daarover Windows Operating Systems - Policy :)

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters


Verwijderd

Topicstarter
sanfranjake schreef op dinsdag 26 april 2005 @ 17:17:
Staat het script in de sysvol onder logon/logoff bij de betreffende groep gebruikers? Wordt het doorgevoerd op de clients als er een admin inlogt?
Ja , het staat in de sysvol en onder logon.
Wat krijg je verder voor errors in je event-logs? Die zouden vol moeten regenen met meldingen over GPO's die niet goed geladen worden en de mogelijke oorzaken daar van. Staat de domeincontroller als enige dns-server in je dhcp voor de clients?
De werkstations hebben allemaal een statisch IP adres.
We verwachten voorts hier op GoT dat je zelf wat onderzoek doet voordat je een vraag stelt. Lees hierover Algemene gedragsregels (Netiquette) goed door. Met enig zoekwerk had je dit makkelijk zelf kunnen vinden.
Wat kunnen vinden ? Ik heb nog steeds geen antwoord !
En geen onderzoek gedaan ? Vertel mij dan maar waar ik,naast wat in dit topic staat, een pasklaar antwoord kan vinden en mijn dank zal groot zijn !

Ik pas de titel nog even aan zodat je os vooraan tuusen [] staat. Check daarover Windows Operating Systems - Policy :)[/quote]

Verwijderd

Topicstarter
BackSlash32 schreef op dinsdag 26 april 2005 @ 16:55:
[...]

RTFH.
Dat zeg ik niet gauw maar als je geen idee hebt hoe je een nieuwe GPO aanmaakt of een logonscript voor je users definieert wil ik je niet aan mijn servers hebben.
Het ging mij meer om dat "password related"
Ik geef toe ik was iets te gauw te onnadenkend met mijn reactie 8)7

  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

1) leer kwoten
2) kijk in je logfiles, zowel server als client. Daar staat zat debug info in.

verder zijn opmerkingen als
Verwijderd schreef op dinsdag 26 april 2005 @ 17:53:
Wat kunnen vinden ? Ik heb nog steeds geen antwoord !
En geen onderzoek gedaan ? Vertel mij dan maar waar ik,naast wat in dit topic staat, een pasklaar antwoord kan vinden en mijn dank zal groot zijn !]
nou niet bepaald de beste methode om mensen hier ervan te overtuigen dat je zelf enig onderzoek doet hoe je dat aan de praat krijgt.

[ Voor 72% gewijzigd door alt-92 op 26-04-2005 18:02 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


Verwijderd

Topicstarter
BackSlash32 schreef op dinsdag 26 april 2005 @ 18:00:

nou niet bepaald de beste methode om mensen hier ervan te overtuigen dat je zelf enig onderzoek doet hoe je dat aan de praat krijgt.
Heb je gelijk in, mijn excuses.
Als kanttekening wil ik toch nog graag plaatsen dat ik wel degelijk een heel behoorlijk onderzoek gedaan heb, zowel op internet als in onze boekenkast.

  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Ik zie het in ieder geval niet in je antwoorden hier terug komen ;)

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
Houden we het even ontopic? BackSlash32, als je van mening bent dat er iets niet klopt aan dit topic, zou je dat dan even in een topicreport willen proppen? Dan ondernemen wij in nodige gevallen wel actie :)

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters


  • mutsje
  • Registratie: September 2000
  • Laatst online: 19-02 13:21

mutsje

Certified Prutser

sanfranjake schreef op dinsdag 26 april 2005 @ 20:02:
Houden we het even ontopic? BackSlash32, als je van mening bent dat er iets niet klopt aan dit topic, zou je dat dan even in een topicreport willen proppen? Dan ondernemen wij in nodige gevallen wel actie :)
Beter modden is ook soms gewenst :+

ontopic.

TS Nieuwe GPO kun je maken door die toe te voegen aan een OU. Default GPO's blijft men per definitie ALTIJD van af. Voeg nieuwe toe en liefst op OU niveau en niet gelijk op domain niveau of het moet voor de hele meute gelden inclusief directie etc.
Verder heb je al in de howto section van WOS gekeken hier staat ook een en ander in met betrekking tot troubleshooten voor policies etc.

Verwijderd

Topicstarter
Om te testen heb ik een OU aangemaakt.
Daar heb ik een user, een group en een PC geplaatst.
Daarna heb ik onder grouppolicy, van deze OU, een nieuwe policy gemaakt.
en hieronder op computerniveau een simpel startup .vbs scriptje gemaakt en op userniveau een
Logon .vbs scriptje.

Toch gebeurd er niets als ik als de user ,die in de OU staat , inlog....

In de eventlogs word geen melding gemaakt van GPO's die niet goed laden.

De DC is niet de DNS server en DHCP is niet ingeschakeld.
De werkstations (W2K) hebben een statisch IP

Verder staan de scripts in SYSVOL..

  • mutsje
  • Registratie: September 2000
  • Laatst online: 19-02 13:21

mutsje

Certified Prutser

de scripts horen in %rootdrive%\%windir%\sysvol\sysvol\domain.local\scripts te staan :) Dit is in principe je netlogon directory en hier kijkt een werkstation of user logon in of er iets staat.

Verwijderd

Topicstarter
mutsje schreef op woensdag 27 april 2005 @ 11:04:
de scripts horen in %rootdrive%\%windir%\sysvol\sysvol\domain.local\scripts te staan :) Dit is in principe je netlogon directory en hier kijkt een werkstation of user logon in of er iets staat.
Hier staat bij mij een scriptje die ik aan één user heb tegewezen.(users en computers, rechtsklik op user, profiel) Dat werkt prima bij die ene user.

Wat we willen is aan een bepaalde groep users een opstartscript toewijzen.
Je tip over het aanmaken van een OU leek mij een schot in de roos, maar nu start het scriptje weer niet op.
Die staat overigens in : %rootdrive%\% windir%\Sysvol\domain\Policies\{% lang nummer}\User\Scripts\Logon

waar ik ook een vreemd tegenaan kijk is, dat bovenstaande map als gedeelde map onder "mijn netwerklocaties" staat ??

[ Voor 8% gewijzigd door Verwijderd op 27-04-2005 11:34 ]


  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
De domeincontroller (writeable dns server) moet als eerste dns-server op de clients aanwezig zijn, anders krijg je dit soort problemen. Dat het script op de dc wel werkt, zou als de dns inderdaad niet naar de dc verwijst op de clients, zijn dat de dns'en op de dc naar localhost verwijzen en de policies dus opgezocht kunnen worden middels een dns-query op de AD-dns :)

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters


Verwijderd

Topicstarter
Safranjake, je bent geniaal !!
Dat was inderdaad het probleem !!
Mijn dank is bijzonder groot !! _/-\o_ _/-\o_

Verder natuurlijk iedereen die een steentje heeft bijgedragen aan het oplossen van dit probleem:
Bedankt !

[ Voor 33% gewijzigd door Verwijderd op 27-04-2005 12:57 ]


Verwijderd

Topicstarter
Wat ik nog wel raar vind, als ik de users "los"in de OU zet, werken de scriptjes wel, zet ik de users in een group, en die group dan weer in de OU, dan werken de scriptjes niet meer.......
Wat doe ik niet goed ?

Ik heb de group volledige toegang gegeven tot SYSVOL.

  • mutsje
  • Registratie: September 2000
  • Laatst online: 19-02 13:21

mutsje

Certified Prutser

Verwijderd schreef op donderdag 28 april 2005 @ 07:48:
Wat ik nog wel raar vind, als ik de users "los"in de OU zet, werken de scriptjes wel, zet ik de users in een group, en die group dan weer in de OU, dan werken de scriptjes niet meer.......
Wat doe ik niet goed ?

Ik heb de group volledige toegang gegeven tot SYSVOL.
Omdat je geen Group Policy Objects aan groepen kan hangen. Dit is buildin by design als je een boek had gelezen had je dit geweten of simpel F1 indrukken. Wil niet flamen maar dit is wel erg basic hoor.

Verwijderd

Topicstarter
Ik was er al wel achter dat je geen policies aan een groep kunt hangen.
Het leek mij daarentegen logisch, dat wanneer je een policy aan een OU hangt, deze policy ook geldt voor de groups die ìn die OU staan....

  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 12:14

Jazzy

Moderator SSC/PB

Moooooh!

Verwijderd schreef op donderdag 28 april 2005 @ 09:46:
Ik was er al wel achter dat je geen policies aan een groep kunt hangen.
Het leek mij daarentegen logisch, dat wanneer je een policy aan een OU hangt, deze policy ook geldt voor de groups die ìn die OU staan....
Duik anders even serieus in de materie, als je dit gaat snappen dan ben je pas echt in staat om krachtige dingen te doen met GPO's.

In dit geval zou je bijvoorbeeld eens moeten kijken naar de permissies van de GPO (Beveiliging). Voeg een groep toe waarin de computers of gebruikers zitten en geef hem de machtigingen Lezen en Groepsbeleid toepassen. Diezelfde machtigingen weghalen bij Geverivieerde gebruikers en klaar is Kees.

Maar nogmaals, dit is vrij basic GPO kennis. Als je hier vaker tegen aan denkt te gaan lopen dan zou je kunnen overwegen om eens een Microsoft cursus te gaan doen over dit onderwerp.

Exchange en Office 365 specialist. Mijn blog.


Verwijderd

Verwijderd schreef op donderdag 28 april 2005 @ 09:46:
Ik was er al wel achter dat je geen policies aan een groep kunt hangen.
Het leek mij daarentegen logisch, dat wanneer je een policy aan een OU hangt, deze policy ook geldt voor de groups die ìn die OU staan....
No offence verder... maar....
Ik heb nu alles doorgelezen, omdat ik wilde helpen. Maar na alles gelezen hebben ga ik zeggen dat het wellicht een idee om eens een cursus te gaan doen of tenminste eens iets te lezen.
Persoonlijk heb ik niet de indruk dat ik je via een forum kan uitleggen wat je kan helpen, want je kent gewoon de materie niet.

Maw zou ik zeggen, blijf met je vingers eraf totdat je de materie bekeken hebt.

  • mabarto
  • Registratie: Februari 2001
  • Laatst online: 06-02-2025
Ook een veel voorkomende "probleem" is dat een policy niet uitgevoerd wordt, omdat de computer policy alleen toegepast wordt op computers binnen de OU en user policy alleen op user objecten in de OU.
Het wijzigen van een computer policy binnen een OU waar alleen users zitten, heeft dus geen zin. Die wordt namelijk niet uitgevoerd.

Even dit terzijde.

  • mutsje
  • Registratie: September 2000
  • Laatst online: 19-02 13:21

mutsje

Certified Prutser

bijdehante opmerking.

je hoeft geen users in een OU te hebben als je loopback doet :+

  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 12:14

Jazzy

Moderator SSC/PB

Moooooh!

mutsje schreef op donderdag 28 april 2005 @ 15:02:
bijdehante opmerking.

je hoeft geen users in een OU te hebben als je loopback doet :+
Hoebedoelu? Maw. wat bedoel je met loopback?

Exchange en Office 365 specialist. Mijn blog.


  • mutsje
  • Registratie: September 2000
  • Laatst online: 19-02 13:21

mutsje

Certified Prutser

Jazzy schreef op donderdag 28 april 2005 @ 15:25:
[...]
Hoebedoelu? Maw. wat bedoel je met loopback?
Nou gewoon een loopback op een OU doen :) staat in de boeken hoor.

  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 12:14

Jazzy

Moderator SSC/PB

Moooooh!

mutsje schreef op donderdag 28 april 2005 @ 15:58:
[...]

Nou gewoon een loopback op een OU doen :) staat in de boeken hoor.
Flauw hoor. :)

Je hebt ook wel gelijk eigenlijk. Een Google op ou+loopback geeft als eerste hit: Loopback Processing of Group Policy :)

[ Voor 32% gewijzigd door Jazzy op 28-04-2005 16:01 ]

Exchange en Office 365 specialist. Mijn blog.


  • mutsje
  • Registratie: September 2000
  • Laatst online: 19-02 13:21

mutsje

Certified Prutser

meestal geld het voor servers (meestal terminal servers) die in een OU staan met specifieke rechten erop en loopback processing in replace mode en block inheritence aan zodat je rest van policies niet krijgt. Dus kun je op 1 OU hele specifieke rechten zetten zonder dat users er last van hebben op de rest van het domain.

Verwijderd

Hele interessante discussie over loopback, maar daar ging het helemaal niet over volgens mij :P
Pagina: 1