Frage zu Windows GPO Logon Scripts

Umlüx

Huge Metal Fan

Registered: Jun 2001
Location: Kärnten
Posts: 8967

20.05.2015 - 08:49

gibt es ein GPO setting, mit dem man die ausführung von user logon scripts auf bestimmten computer OU's verhindern kann?

hintergrund: wir haben ein powershell user logon script am laufen und dies soll überall (thinclient, laptops, stand pc) ausgeführt werden, nur nicht auf den fatclients, denn dort ist die scriptausführung nicht erlaubt und das gibt probleme bzw fehlermeldungen.

my google-fu is weak

danke!

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6462

20.05.2015 - 09:36

Ich denke die richtige Herangehensweise ist, für die OU's die es betrifft, ein GPO zu machen, das das logon script ausführt und alle anderen, die es nicht betrifft, bekommen es einfach nicht zugewiesen.

Umlüx

Huge Metal Fan

Registered: Jun 2001
Location: Kärnten
Posts: 8967

20.05.2015 - 09:45

du meinst, ich soll es statt der kompletten user ou einfach den betroffenen computer ou's zuweisen? das wär halt eine mords arbeit.

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6462

20.05.2015 - 09:49

Lies dir das mal durch, dann sollte die erste Unklarheit verflogen sein, dann zwei Test-OU's machen und testen, testen, testen.

https://technet.microsoft.com/en-us...y/dn581922.aspx

Wyrdsom

Komischer Kauz

Registered: Mar 2012
Location: Jig-Jig Street
Posts: 7284

20.05.2015 - 09:58

Vererbung deaktivieren auf die OU's welche nicht betroffen sein sollen.

Umlüx

Huge Metal Fan

Registered: Jun 2001
Location: Kärnten
Posts: 8967

20.05.2015 - 10:00

funktioniert nicht, da sie auf der gleichen ebene starten und nicht untereinander verschachtelt sind

protected, ich werds mir mal zu gemüte führen.

Wyrdsom

Komischer Kauz

Registered: Mar 2012
Location: Jig-Jig Street
Posts: 7284

20.05.2015 - 10:22

Ich glaub dann kann man das so speziell nicht einstellen ausser sie sind eben verschachtelt oder du hast eine eigene OU dafür (wenn ichs richtig verstanden habe das Szenario).

Umlüx

Huge Metal Fan

Registered: Jun 2001
Location: Kärnten
Posts: 8967

20.05.2015 - 13:48

ich bin schlecht im erklären...

Code:

root -- user ou (hier ist die gpo mit dem script) -- user kärnten
     |                                            |- user steiermark
     |                                            |- usw..
     |- computer ou -- laptops
                    |- thinclients
                    |- stand pc
                    |- fatclients (und hier soll das script nicht ausgeführt werden)

Wyrdsom

Komischer Kauz

Registered: Mar 2012
Location: Jig-Jig Street
Posts: 7284

20.05.2015 - 14:02

Sind die Laptops, TCs, etc. in einer eigenen OU oder alle in der Computer OU?

Umlüx

Huge Metal Fan

Registered: Jun 2001
Location: Kärnten
Posts: 8967

20.05.2015 - 14:18

alle in ihrer eigenen. und das logonscript soll hat überall ausgeführt werden, ausser bei den fatclients.

Wyrdsom

Komischer Kauz

Registered: Mar 2012
Location: Jig-Jig Street
Posts: 7284

20.05.2015 - 14:21

Dann kannst du eben auf die "FatClients" OU die Vererbung der jeweiligen OU deaktivieren (normal eben).

Außerdem hätte ich die Computer OU nicht als Unter OU unter die User gegeben.

Edit: Läuft die GPO auf User- oder Computer Konfigurationseinstellungen?

Bearbeitet von Wyrdsom am 20.05.2015, 14:23

Umlüx

Huge Metal Fan

Registered: Jun 2001
Location: Kärnten
Posts: 8967

20.05.2015 - 14:23

ich pack anscheinend nichtmal ein verständliches grafisches schema..

die computer OU ist eben KEINE unter OU der user. sie liegen beide auf Root. die User GPO wird daher nicht zu den rechnern vererbt. gerade das ist mein problem.

Wyrdsom

Komischer Kauz

Registered: Mar 2012
Location: Jig-Jig Street
Posts: 7284

20.05.2015 - 14:25

Ok. Dann hast du whs eh die betreffende GPO auf beide OUs verlinkt?

HP

Legend
Moneymaker

Registered: Mar 2000
Location: Wien
Posts: 21813

20.05.2015 - 14:27

Einfach im Script Plattform erkennen und nicht weiter ausführen?!

Umlüx

Huge Metal Fan

Registered: Jun 2001
Location: Kärnten
Posts: 8967

20.05.2015 - 14:28

nein. die gpo mit dem script liegt nur in der user OU in der benutzerkonfiguration.

@HP
ja das wär ein ansatz. da müsst ich aber erst auf jeder kiste die PS execution policy ändern.

Bearbeitet von Umlüx am 20.05.2015, 14:30

Umlüx Huge Metal Fan Registered: Jun 2001 Location: Kärnten Posts: 8967	20.05.2015 - 08:49 gibt es ein GPO setting, mit dem man die ausführung von user logon scripts auf bestimmten computer OU's verhindern kann? hintergrund: wir haben ein powershell user logon script am laufen und dies soll überall (thinclient, laptops, stand pc) ausgeführt werden, nur nicht auf den fatclients, denn dort ist die scriptausführung nicht erlaubt und das gibt probleme bzw fehlermeldungen. my google-fu is weak danke!
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6462	20.05.2015 - 09:36 Ich denke die richtige Herangehensweise ist, für die OU's die es betrifft, ein GPO zu machen, das das logon script ausführt und alle anderen, die es nicht betrifft, bekommen es einfach nicht zugewiesen.
Umlüx Huge Metal Fan Registered: Jun 2001 Location: Kärnten Posts: 8967	20.05.2015 - 09:45 du meinst, ich soll es statt der kompletten user ou einfach den betroffenen computer ou's zuweisen? das wär halt eine mords arbeit.
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6462	20.05.2015 - 09:49 Lies dir das mal durch, dann sollte die erste Unklarheit verflogen sein, dann zwei Test-OU's machen und testen, testen, testen. https://technet.microsoft.com/en-us...y/dn581922.aspx
Wyrdsom Komischer Kauz Registered: Mar 2012 Location: Jig-Jig Street Posts: 7284	20.05.2015 - 09:58 Vererbung deaktivieren auf die OU's welche nicht betroffen sein sollen.
Umlüx Huge Metal Fan Registered: Jun 2001 Location: Kärnten Posts: 8967	20.05.2015 - 10:00 funktioniert nicht, da sie auf der gleichen ebene starten und nicht untereinander verschachtelt sind protected, ich werds mir mal zu gemüte führen.
Wyrdsom Komischer Kauz Registered: Mar 2012 Location: Jig-Jig Street Posts: 7284	20.05.2015 - 10:22 Ich glaub dann kann man das so speziell nicht einstellen ausser sie sind eben verschachtelt oder du hast eine eigene OU dafür (wenn ichs richtig verstanden habe das Szenario).
Umlüx Huge Metal Fan Registered: Jun 2001 Location: Kärnten Posts: 8967	20.05.2015 - 13:48 ich bin schlecht im erklären... Code: `root -- user ou (hier ist die gpo mit dem script) -- user kärnten \| \|- user steiermark \| \|- usw.. \|- computer ou -- laptops \|- thinclients \|- stand pc \|- fatclients (und hier soll das script nicht ausgeführt werden)`
Wyrdsom Komischer Kauz Registered: Mar 2012 Location: Jig-Jig Street Posts: 7284	20.05.2015 - 14:02 Sind die Laptops, TCs, etc. in einer eigenen OU oder alle in der Computer OU?
Umlüx Huge Metal Fan Registered: Jun 2001 Location: Kärnten Posts: 8967	20.05.2015 - 14:18 alle in ihrer eigenen. und das logonscript soll hat überall ausgeführt werden, ausser bei den fatclients.
Wyrdsom Komischer Kauz Registered: Mar 2012 Location: Jig-Jig Street Posts: 7284	20.05.2015 - 14:21 Dann kannst du eben auf die "FatClients" OU die Vererbung der jeweiligen OU deaktivieren (normal eben). Außerdem hätte ich die Computer OU nicht als Unter OU unter die User gegeben. Edit: Läuft die GPO auf User- oder Computer Konfigurationseinstellungen? Bearbeitet von Wyrdsom am 20.05.2015, 14:23
Umlüx Huge Metal Fan Registered: Jun 2001 Location: Kärnten Posts: 8967	20.05.2015 - 14:23 ich pack anscheinend nichtmal ein verständliches grafisches schema.. die computer OU ist eben KEINE unter OU der user. sie liegen beide auf Root. die User GPO wird daher nicht zu den rechnern vererbt. gerade das ist mein problem.
Wyrdsom Komischer Kauz Registered: Mar 2012 Location: Jig-Jig Street Posts: 7284	20.05.2015 - 14:25 Ok. Dann hast du whs eh die betreffende GPO auf beide OUs verlinkt?
HP Legend Moneymaker Registered: Mar 2000 Location: Wien Posts: 21813	20.05.2015 - 14:27 Einfach im Script Plattform erkennen und nicht weiter ausführen?!
Umlüx Huge Metal Fan Registered: Jun 2001 Location: Kärnten Posts: 8967	20.05.2015 - 14:28 nein. die gpo mit dem script liegt nur in der user OU in der benutzerkonfiguration. @HP ja das wär ein ansatz. da müsst ich aber erst auf jeder kiste die PS execution policy ändern. Bearbeitet von Umlüx am 20.05.2015, 14:30

Frage zu Windows GPO Logon Scripts

Forum Index > Software > Windows

Umlüx

mr.nice.

Umlüx

mr.nice.

Wyrdsom

Umlüx

Wyrdsom

Umlüx

Wyrdsom

Umlüx

Wyrdsom

Umlüx

Wyrdsom

HP

Umlüx