gelöst Domainübergreifendes netlogon script ausführen

Mitglied: Lukas4580

Lukas4580 (Level 1) - Jetzt verbinden

27.03.2017 um 14:12 Uhr, 2417 Aufrufe, 8 Kommentare

Hallo zusammen,

hoffentlich kann mir hier jemand Helfen.

Ich suche eine Möglichkeit wie ich Domainübergreifend ein Login Script ausführen kann.

Zur Eklärung wir haben die Domain "alt" und die Domain "neu". Die Server sind in der Domain neu und die User in der Domain alt. Und wenn sich die User an der Domain neu anmelden zieht das Login Script was im AD von alt dem User zugeordnet ist (Profile -> Logon script).

Die User sind in die Domain neu mit Hilfe von Quest Migration "hoch syncronisiert" dabei wird die SID geändert (der Anmeldenamen der User ändert sich) und der User bleibt deaktiviert in der Domain neu.
Ich hab schon probiert die Scripts (einfache Batchdatei) in das sysvol der Domain neu zu kopieren. Hat leider nix gebracht.

Jemand von euch ne Idee wie ich das lösen könnte?

Danke!


Gruß

Lukas
Mitglied: Dani
27.03.2017 um 15:07 Uhr
Hallo Lukas,
Ich hab schon probiert die Scripts (einfache Batchdatei) in das sysvol der Domain neu zu kopieren. Hat leider nix gebracht.
das ist kein technisches Problem, sondern organisatorisch - meine Meinung. Das Verhalten ist völlig normal... was möchtest du eigentlich erreichen?


Gruß,
Dani
Bitte warten ..
Mitglied: emeriks
27.03.2017, aktualisiert um 15:39 Uhr
Hi,
das Loginscript, welches direkt am Benutzerobjekt eingetragen ist, muss immer im Netlogon der Domäne des Benutzers liegen, wenn es ohne Pfad angegeben wird. Wenn es mit vollständigen Pfad angegen ist, dann kann es meines Wissens auch woanders liegen.

Also am Benutzerobjekt in der alten Domäne den Scriptpfad vollständig eingeben.

Oder im Netlogon der neuen Domäne einen Symbolic Link für dieses Script erstellen (z.B. mit Bordmittel MKLINK), welcher auch das alte Script verweist. Sowas habe ich aber nich nie probiert.

Oder das Script beim User raus und statt dessen per GPO-Loginscript ausführen.

E.
Bitte warten ..
Mitglied: Lukas4580
27.03.2017 um 16:43 Uhr
Zitat von Dani:

Hallo Lukas,
Ich hab schon probiert die Scripts (einfache Batchdatei) in das sysvol der Domain neu zu kopieren. Hat leider nix gebracht.
das ist kein technisches Problem, sondern organisatorisch - meine Meinung. Das Verhalten ist völlig normal... was möchtest du eigentlich erreichen?


Gruß,
Dani

Es geht drum das die User in der alten Domain noch Netzwerkfreigaben per Login Batch bekommen net use X: \\nas1.altedomain.local\freigabe
aber da sie sich an einem Server server1.neuedomain.local anmelden müsste meines Verständnis nach die Policy aus neuedomain/sysvol... und nicht altedomain/sysvol... ziehen.
Bitte warten ..
Mitglied: Lukas4580
27.03.2017 um 16:49 Uhr
Zitat von emeriks:

Hi,
das Loginscript, welches direkt am Benutzerobjekt eingetragen ist, muss immer im Netlogon der Domäne des Benutzers liegen, wenn es ohne Pfad angegeben wird. Wenn es mit vollständigen Pfad angegen ist, dann kann es meines Wissens auch woanders liegen.

Also am Benutzerobjekt in der alten Domäne den Scriptpfad vollständig eingeben.

Oder im Netlogon der neuen Domäne einen Symbolic Link für dieses Script erstellen (z.B. mit Bordmittel MKLINK), welcher auch das alte Script verweist. Sowas habe ich aber nich nie probiert.

Oder das Script beim User raus und statt dessen per GPO-Loginscript ausführen.

E.

Per GPO wärs einfacher die könnte ich fix ändern oder neu anlegen. Das mit dem Symbolic Link hört sich interesant an oder kann ich das irgendwie scripten das eben nicht neuedomain/sysvol... abgefragt wird sondern altedomain/sysvol... also ohne jeden User händisch zu ändern.
Bitte warten ..
Mitglied: emeriks
27.03.2017 um 17:09 Uhr
Es hapert schon mal an der Sprache/den Begriffen ...

Es geht drum das die User in der alten Domain noch Netzwerkfreigaben per Login Batch bekommen net use X: \\nas1.altedomain.local\freigabe
In der neuen Domäne dann wie?

aber da sie sich an einem Server server1.neuedomain.local anmelden müsste meines Verständnis nach die Policy aus neuedomain/sysvol... und nicht altedomain/sysvol... ziehen.
Am Server anmelden? Ich denke Domäne?

Die User sind in die Domain neu mit Hilfe von Quest Migration "hoch syncronisiert"
Was heißt das eigentlich? Warum, und wie, und wie lange noch? Wer hat das eigerichtet? Was sagt diese Person/Firma dazu? Diese muss doch einen Plan gehabt haben?!
Bitte warten ..
Mitglied: Lukas4580
28.03.2017 um 07:56 Uhr
Sorry, ist bisschen kompliziert und auch die umgangssprachlichen Begrifflichkeiten in richtige Fachsprache zu übersetzen ist manchmal schwer, ich hab auch lange gebraucht da halbwegs mit klar zu kommen.
Wir haben 3 Domains aus denen mal eine werden soll. Also quasi 2 alte die zu einer neuen wird. Trust besteht.
Alle neu erstellten Server kommen auch in die neue Domain somit auch die neue XenDesktop Umgebung.

Eine der alten Domains hat ihren CIFS Daten Umzug schon hinter sich bei einer steht er noch aus und ausgerechnet diese Domain mit den alten Struktur soll als erstes mit XenDesktop arbeiten. Aber um die User nicht zu arg zu verwirren sollen sie sich noch mit ihrer bissherigen Anmeldung arbeiten. (Wollte die GL so)
In der neuen Struktur werden die Laufwerke dann per GPO verbunden und es sind auch wesentlich weniger und vor allem einheitlich. Aber der Umzug der Daten aus Domain alt1 dauert noch weil alles so wild durcheinander ist (selbst die Home Folder haben eine eigene Freigabe auf der Netapp).

Die Migration durch Quest war im wesentlichen wegen der Exchange Postfächer da diese auch schon in der neuen Domain sind.

Soweit funktioniert auch eigentlich alles bis eben das Login Script und dafür muss ich die nächsten Tage eine Lösung finden da ich bis ende Q1 fertig sein soll.
Bitte warten ..
Mitglied: emeriks
LÖSUNG 28.03.2017 um 08:33 Uhr
OK. Die Anwender melden sich also am TS, welcher zur neuen Domäne (neue Gesamtstruktur/Forest) gehört, mit ihren Konten aus einer der alten Domänen (alte Gesamtstruktur/Forest) an. Habe ich das so richtig verstanden?

Falls ja, dann liegt es wohlmöglich daran:
Standardmäßig ist die Ausführung von gesamtstrukturübergreifenden Benutzer-Loginscripten nicht erlaubt.

Bsp:
Forest: Forest_F1
Domain: Domain_F1_D1
User: Domain_F1_D1\User1

Forest: Forest_F2
Domain: Domain_F2_D1
Computer: Domain_F2_D1\Computer1

Wenn sich Domain_F1_D1\User1 an Domain_F2_D1\Computer1 anmeldet, dann ist die Ausführung des am Benutzerobjekt Domain_F1_D1\User1 eingetragenen Loginscripts nicht erlaubt. Standardmäßig. Weil verschiedene Forest.

Lösung:
GPO für das Computerobjekt des TS wirken lassen.
Computereinstellungen - Richtlinien - System - Gruppenrichtlinien - Gesamtstrukturübergreifende Benutzerrichtlinien und servergespeicherte Benutzerprofile zulassen
(Hier steht zwar nur was von Richtlinien und Profilen, aber dahinter verbirgt sich auch das mit dem Benutzer-Loginscripten.)

GPO's auf dem TS aktualisieren (gpupdate)
Kontrollieren, ob GPO angewendet wurde (gpresult /r)
Benutzer neu anmelden --> jetzt sollte das Script ausgeführt werden.



E.
Bitte warten ..
Mitglied: Lukas4580
29.03.2017 um 07:38 Uhr
Dankeschön!

Diese Policy hab ich auch schon probiert hat aber leider nicht geholfen und ist auch eher kontraproduktiv da wir in der alten Domain User Policys für Drucker haben die nicht ziehen sollen.

Nach langer Diskusion und Beratung durch den Konsultant sind wir jetzt aber zu dem Entschluss gekommen die User sich mit den Konten der neuen Domain anmelden zu lassen. Neue Umgebung, neuer Login lies sich dann doch halbwegs überzeugend Verkaufen und früher oder später kommt es eh auf die User zu. Somit haben wir das Problem nicht mehr. Einfach die Batch Files von DomAlt\Netlogon nach DomNeu\Netlogon kopiert und siehe da es werden die gewünschten Lauwerke gemappt. Und auch gelegentliche Outlook <-> Exchange Probleme z.B. mit Kalender Berechtigung sind dadurch erschlagen da diese Multidomainumgebungskombination auch hier Probleme gemacht hat.

Trotzdem Vielen Dank!
Bitte warten ..
Heiß diskutierte Inhalte
Ubuntu
HAProxy-Wi: Installation des Pakets geht nicht - ich hätte keine enabled Repos
itnirvanaQuestionUbuntu27 Comments

Hallo, von der Seite möchte ich gerne HAProxy-Wi installieren ich führe das hier aus Dann kommt -> There ar ...

Multimedia
Fernseher im Empfang GEMA-pflichtig?
CaptainDuskyQuestionMultimedia26 Comments

Guten Tag, wenn ich in einer Firma einen Fernseher im Empfang betreibe, dort aber nur Nachrichten laufen lasse, ist ...

Windows Server
PowerShell Script für MailVersand mit Anhang
solved klausk94QuestionWindows Server20 Comments

Hallo Zusammen, ich bin aktuell etwas am verzweifeln an einem PS Script für den Emailversand Das Script funktioniert, jedoch ...

LAN, WAN, Wireless
RJ45 Buchsen Verbindung
solved DennisAdm1nQuestionLAN, WAN, Wireless19 Comments

Ich habe als Aufgabe bekommen die LAN-Verbindung in einem Haus zu fixen, dabei ist mir aufgefallen, dass der RJ45-Stecker ...

Windows 10
Windows 7 zu Windows 10 weiterhin kostenlos möglich?
solved CubeHDQuestionWindows 1018 Comments

Guten Abend, ist es möglich einen vorhandenen Windows 7 Key für Windows 10 zu verwenden? Kennt ihr vielleicht andere ...

Batch & Shell
Frage zu batch (cmd ) - Drag und Drop - Bearbeitung bei nicht geschlossenem DOS Fenster
solved AN34MemQuestionBatch & Shell17 Comments

Hallo. Vielleicht mag meine Frage etwas seltsam sein, jedoch möchte ich gerne wissen wie das umzusetzen ist: Angenommen man ...

Ähnliche Inhalte
Microsoft

ATLAS-Ausfuhr - Internetausfuhranmeldung Plus (IAA-Plus)

FischerICTFrageMicrosoft6 Kommentare

Guten Abend -all, ich suche für einen Kungen ein kleines Anwendungsprogramm "Softwarelösung" die die Schnittstelle zu ATLAS aufweist Derzeit ...

Windows 7

Netlogon-Script wird an einem Arbeitsplatz des öfteren nicht ausgeführt

gelöst KMP1988FrageWindows 75 Kommentare

Servus zusammen, ab und zu wird bei einem Windows7-PC das Netlogonscript (in einer Server 2008R2 Domäne) nicht ausgeführt. Meistens ...

Windows Server

Schreibrechte im Netlogon

uridium69FrageWindows Server5 Kommentare

Hallo zusammen Ich sehe gerade das auf dem Netlogon \\domäne\netlogon jeder schreiben und löschen kann, sollte das nicht auf ...

Windows Server

Berechtigung für Netlogon ändern

redhorseFrageWindows Server4 Kommentare

Hallo, durch die Delegierung von Berechtigungen für die Administration des ActiveDirectorys haben wir bewirkt, dass keine administratoren für das ...

Windows Netzwerk

Server 2016 NETLOGON Fehler

gelöst Philbo69FrageWindows Netzwerk7 Kommentare

Hallo zusammen, ich habe ein Problem mit einem Windows Server 2016 Std. Seit einigen Wochen ist das Netzwerk sehr ...

Windows Server

Replizierung Netlogon funktioniert nicht

gelöst miichiii9FrageWindows Server24 Kommentare

Guten Abend Ich habe einen Domain Controller hier die Daten: SRV-DC03 Windows Server 2012 Std. Nun habe ich einen ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT