130370
28.08.2017
1960
5
0
Anmeldescript wird nicht per GPO verteilt
Hallo Zusammen,
ich möchte ein Batch-File beim Anmelden ausführen lassen. Ich habe auch schon eine GPO erstellt (diese ist mit einer OU verknüpft und wird erzwungen), in der Sicherheitsfilterung sind die Gruppen "Authentifizierte Benutzer" und "Firefox_Zertifikat".
In den Sicherheitseinstellungen haben beide:
-Lesen Zulassen
-Gruppenrichtlinie übernehmen Zulassen
Und Authentifizierte Benutzer hat noch Spezielle Berechtigungen:
-Inhalt auflisten
-Alle Eigenschaften lesen
-Berechtigungen lesen
In der Gruppe "Firefox_Zertifikat" sind zwei Benutzer, mein Eigener und der eines Kollegen. Wenn ich ein gpresult /r eingebe, bin ich in der Gruppe drin. Bei rsop.msc "Benutzerkonfiguration\Windows-Einstellugnen\Skripts (Anmelden/Abmelden)\Anmelden" wird aber kein Anmeldescript angezeigt. Das ist bei meinem Kollegen der gleiche Fall.
Hat irgend jemand eine Idee?
Danke schonmal im voraus
Gruß
ich möchte ein Batch-File beim Anmelden ausführen lassen. Ich habe auch schon eine GPO erstellt (diese ist mit einer OU verknüpft und wird erzwungen), in der Sicherheitsfilterung sind die Gruppen "Authentifizierte Benutzer" und "Firefox_Zertifikat".
In den Sicherheitseinstellungen haben beide:
-Lesen Zulassen
-Gruppenrichtlinie übernehmen Zulassen
Und Authentifizierte Benutzer hat noch Spezielle Berechtigungen:
-Inhalt auflisten
-Alle Eigenschaften lesen
-Berechtigungen lesen
In der Gruppe "Firefox_Zertifikat" sind zwei Benutzer, mein Eigener und der eines Kollegen. Wenn ich ein gpresult /r eingebe, bin ich in der Gruppe drin. Bei rsop.msc "Benutzerkonfiguration\Windows-Einstellugnen\Skripts (Anmelden/Abmelden)\Anmelden" wird aber kein Anmeldescript angezeigt. Das ist bei meinem Kollegen der gleiche Fall.
Hat irgend jemand eine Idee?
Danke schonmal im voraus
Gruß
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 347470
Url: https://administrator.de/forum/anmeldescript-wird-nicht-per-gpo-verteilt-347470.html
Ausgedruckt am: 24.05.2025 um 18:05 Uhr
5 Kommentare
Neuester Kommentar
Hi,
Wenn die "Authentifizierte Benutzer" drin sind, dann brauchen keine weiteren Gruppen rein. Sind dann nicht mehr relevant und lenken Dich bei der Fehlersuche nur ab.
Und die betreffenden Benutzerobjekte sind in dieser OU oder in einer OU unterhalb davon?
"In der Gruppe drin" wäre irrelevant. Wichtig ist zu wissen, ob diese GPO in der Liste der angewendeten GPO's erscheint.
E.
ich möchte ein Batch-File beim Anmelden ausführen lassen. Ich habe auch schon eine GPO erstellt (diese ist mit einer OU verknüpft und wird erzwungen), in der Sicherheitsfilterung sind die Gruppen "Authentifizierte Benutzer" und "Firefox_Zertifikat".
Warum erzwungen?Wenn die "Authentifizierte Benutzer" drin sind, dann brauchen keine weiteren Gruppen rein. Sind dann nicht mehr relevant und lenken Dich bei der Fehlersuche nur ab.
Und die betreffenden Benutzerobjekte sind in dieser OU oder in einer OU unterhalb davon?
In der Gruppe "Firefox_Zertifikat" sind zwei Benutzer, mein Eigener und der eines Kollegen. Wenn ich ein gpresult /r eingebe, bin ich in der Gruppe drin. Bei rsop.msc "Benutzerkonfiguration\Windows-Einstellugnen\Skripts (Anmelden/Abmelden)\Anmelden" wird aber kein Anmeldescript angezeigt. Das ist bei meinem Kollegen der gleiche Fall.
Meinst Du tatsächlich "in der Gruppe drin" oder meinst Du "diese GPO wird angewendet"?"In der Gruppe drin" wäre irrelevant. Wichtig ist zu wissen, ob diese GPO in der Liste der angewendeten GPO's erscheint.
E.
Hi,
bei erzwungen wird die GPO als letztes an die Benutzer ausgeliefert, sodass diese GPO auf jeden fall übernommen wird. (Last Writer Wins)
Ich hab jetzt nur noch die Gruppe "Firefox_Zertifikat" in der Sicherheitsfilterung, sodass nur noch diese zwei Benuzter die GPO bekommen.
Die GPO ist in der OU, "EDV-Test-OU", verknüpft. Im AD ist in der EDV-Test-OU die Gruppe "Firefox_Zertifikat" mit den zwei Benutzern.
In der Liste für Angewendete Gruppenrichtlinienobjekte ist die GPO nicht aufgelistet.
Bei einem gpresult /r kommt:
Der Benuzter ist Mitglied der folgenden Sicherheitsgruppen:
.
.
Firefox_Zertifikat
.
.
Gruß
bei erzwungen wird die GPO als letztes an die Benutzer ausgeliefert, sodass diese GPO auf jeden fall übernommen wird. (Last Writer Wins)
Ich hab jetzt nur noch die Gruppe "Firefox_Zertifikat" in der Sicherheitsfilterung, sodass nur noch diese zwei Benuzter die GPO bekommen.
Die GPO ist in der OU, "EDV-Test-OU", verknüpft. Im AD ist in der EDV-Test-OU die Gruppe "Firefox_Zertifikat" mit den zwei Benutzern.
In der Liste für Angewendete Gruppenrichtlinienobjekte ist die GPO nicht aufgelistet.
Bei einem gpresult /r kommt:
Der Benuzter ist Mitglied der folgenden Sicherheitsgruppen:
.
.
Firefox_Zertifikat
.
.
Gruß
bei erzwungen wird die GPO als letztes an die Benutzer ausgeliefert sodass diese GPO auf jeden fall übernommen wird. (Last Writer Wins)
Na ja, so nicht ganz. Aber nah dran.Ich hab jetzt nur noch die Gruppe "Firefox_Zertifikat" in der Sicherheitsfilterung, sodass nur noch diese zwei Benuzter die GPO bekommen.
Theoretisch, wenn Du alles richtig machen würdest.Die GPO ist in der OU, "EDV-Test-OU", verknüpft. Im AD ist in der EDV-Test-OU die Gruppe "Firefox_Zertifikat" mit den zwei Benutzern.
Und genau da ist der Fehler. Eine alte Leier, welche hier oft gespielt wird. Gruppenrichtlinien heißen nicht so, weil sie für Gruppen sind (wirken) sondern weil sie Gruppen von Richtlinien sind.Die GPO muss im Vererbungspfad der Benutzer-Objekte verlinkt werden, vollkommen unabhängig davon, wo diese Gruppe im AD platziert ist.
In der Liste für Angewendete Gruppenrichtlinienobjekte ist die GPO nicht aufgelistet.
Logisch.Bei einem gpresult /r kommt:
Der Benuzter ist Mitglied der folgenden Sicherheitsgruppen:
Firefox_Zertifikat
Das ist gut zu wissen. Damit hast Du schon mal eine Grundvoraussetzung sicher überprüft.Der Benuzter ist Mitglied der folgenden Sicherheitsgruppen:
Firefox_Zertifikat
Hi,
danke für die Hilfe. Ich hab jetzt noch einmal wegen der Vererbung geschaut. Bei der EDV-Test-OU ist die Vererbung deaktiviert.
Ich habe jetzt die Gruppenrichtlinie in eine höhere OU verknüpft, die die Vererbung auch an hat.
Jetzt funktioniert alles und die GPO wird ausgerollt.
Vielen Dank nochmal für die schnelle Hilfe.
Gruß
danke für die Hilfe. Ich hab jetzt noch einmal wegen der Vererbung geschaut. Bei der EDV-Test-OU ist die Vererbung deaktiviert.
Ich habe jetzt die Gruppenrichtlinie in eine höhere OU verknüpft, die die Vererbung auch an hat.
Jetzt funktioniert alles und die GPO wird ausgerollt.
Vielen Dank nochmal für die schnelle Hilfe.
Gruß
Jene GPO, welche direkt mit einer OU verlinkt sind, werden in jedem Fall angewendet, sofern Filter passt. Auch wenn an dieser OU die Vererbung deaktiviert ist.
Wenn die Vererbung deaktiviert ist, dann bedeutet das nur, dass nicht-erzwungene GPO welche an übergeordnete Containern verlinkt sind, nicht übernommen werden.
Wenn die Vererbung deaktiviert ist, dann bedeutet das nur, dass nicht-erzwungene GPO welche an übergeordnete Containern verlinkt sind, nicht übernommen werden.
