GPO-Anmeldescript - Abarbeitungsposition im Anmeldevorgang

Mitglied: SarekHL

SarekHL (Level 3) - Jetzt verbinden

14.10.2017 um 06:03 Uhr, 3278 Aufrufe, 11 Kommentare

Hallo zusammen,

ich möchte per Anmeldescript etwas ins Benutzerprofil schreiben lassen. Wenn ich mich aber auf einem mit Wächterkarte oder -software geschützten Computer anmelde, wird das Benutzerprofil ja erst mal aus dem DefaultProfile neu generiert. Weiß jemand, ob das unter Windows 7 / Windows 10 vor oder nach dem Ausführen von in den Gruppenrichtlinien definierten Anmeldescripten passiert?

Danke im Voraus,
Sarek \\//_
Mitglied: DerWoWusste
14.10.2017 um 11:11 Uhr
Hi.

Das Profil wird vor der Anmeldung aus dem Defaultprofil generiert und das Anmeldeskript läuft erst mit dem Erreichen des Desktops los und wird bei Win10 per default sogar noch um 5 Minuten verzögert.
Bitte warten ..
Mitglied: SarekHL
14.10.2017 um 12:26 Uhr
Zitat von DerWoWusste:

Das Profil wird vor der Anmeldung aus dem Defaultprofil generiert

gut ..

und das Anmeldeskript läuft erst mit dem Erreichen des Desktops los und wird bei Win10 per default sogar noch um 5 Minuten verzögert.

schlecht. Kann man das ändern (GPO)?
Bitte warten ..
Mitglied: 134464
134464 (Level 2)
14.10.2017, aktualisiert um 12:36 Uhr
Ja
https://support.microsoft.com/de-de/help/2895815/logon-scripts-do-not-ru ...
Bitte warten ..
Mitglied: SarekHL
14.10.2017 um 12:45 Uhr
Zitat von 134464:

Ja

Danke! Hat jemand eine Ahnung, welchen Sinn diese Verzögerung machen soll, dass man sie als Standard gesetzt hat?
Bitte warten ..
Mitglied: DerWoWusste
14.10.2017, aktualisiert um 12:53 Uhr
Da manche Admins dazu neigen, riesige Dinge mit dem Anmeldeskript tun zu lassen, führt das bei Systemen, die festplattentechnisch schwach unterwegs sind, oft zu Verzögerungen beim Aufbau des Desktops/ bei der Erlangung der Arbeitsfähigkeit. Also hat MS das Skript nach hinten verlegt.
Bitte warten ..
Mitglied: SarekHL
15.10.2017 um 07:47 Uhr
Zitat von DerWoWusste:

Das Profil wird vor der Anmeldung aus dem Defaultprofil generiert und das Anmeldeskript läuft erst mit dem Erreichen des Desktops los

Wie schaut es eigentlich mit dem Patchen von Dateien mit benutzerspezifischen Group Policy Preferences aus? Läuft das schon, bevor der Desktop erreicht wird?

Gibt es dazu eigentlich eine verständliche Info, was beim Startvorgang in welcher Reihenfolge abläuft?
Bitte warten ..
Mitglied: SarekHL
15.10.2017, aktualisiert um 10:40 Uhr

Ich glaube, wir müssen noch mal über "verständlich" sprechen. Aber wenn ich es richtig verstanden habe, ist der Ablauf nach dem eigentlichen Anmelden (Eingabe von Benutzername und Passwort) da doch recht verkürzt dargestellt. Details wie
  • wann wird das Benutzerprofil generiert, wenn es noch nicht besteht?
  • wann wird das direkt im AD-Benutzerkonto eingetragene Startscript abgearbeitet?
  • wann wird das Home-Laufwerk auf den im AD-Benutzerkonto eingetragenen Laufwerksbuchstaben gemappt?
  • wann wird das Startscript aus der Gruppenrichtlinie abgearbeitet?
  • wann werden Dateien gepatcht, die in den GPP eingetragen sind?
  • Gibt es Unterschiede ob das in der Default Domain Policy oder in einer GPO der aktuellen OU steht?

fehlen da leider. Das finde ich aber wichtig, um abzuschätzen, ob ein geplantes Verfahren funktioniert oder nicht. Ich kann ja z.B. nicht in einem Script auf den Laufwerksbuchstaben des Home-Verzeichnisses zugreifen, wenn der Laufwerksbuchstabe erst nach dem Abarbeiten des Scripts gemappt wird.
Bitte warten ..
Mitglied: 134464
134464 (Level 2)
15.10.2017, aktualisiert um 10:55 Uhr
Zitat von SarekHL:
Ich glaube, wir müssen noch mal über "verständlich" sprechen. Aber wenn ich es richtig verstanden habe, ist der Ablauf nach dem eigentlichen Anmelden (Eingabe von Benutzername und Passwort) da doch recht verkürzt dargestellt. Details wie
  • wann wird das Benutzerprofil generiert, wenn es noch nicht besteht?
Vor jeglichem Anmelden, denn ohne Profil keine Anmeldung. D. h. wenn du nach dem Eingeben der Userdaten Enter drückst wird überprüft ob für den User ein Profil besteht oder nicht, wenn nicht angelegt und erst wenn dieser Vorgang beendet ist wird der User eingeloggt.
* wann wird das direkt im AD-Benutzerkonto eingetragene Startscript abgearbeitet?
  • wann wird das Home-Laufwerk auf den im AD-Benutzerkonto eingetragenen Laufwerksbuchstaben gemappt?
  • wann wird das Startscript aus der Gruppenrichtlinie abgearbeitet?
Startskripte werden gestartet sobald alle Computersettings der GPO angewendet wurden.
* wann werden Dateien gepatcht, die in den GPP eingetragen sind?
GPPs werden erst ziemlich spät beim Anmeldeprozess verarbeitet.
* Gibt es Unterschiede ob das in der Default Domain Policy oder in einer GPO der aktuellen OU steht?
Ja, die Reihenfolge der Abarbeitung der Gruppenrichtlinien kannst du in der Prioritätenliste der GPMC nachsehen!
https://emeneye.wordpress.com/2016/02/16/group-policy-order-of-precedenc ...

fehlen da leider. Das finde ich aber wichtig, um abzuschätzen, ob ein geplantes Verfahren funktioniert oder nicht. Ich kann ja z.B. nicht in einem Script auf den Laufwerksbuchstaben des Home-Verzeichnisses zugreifen, wenn der Laufwerksbuchstabe erst nach dem Abarbeiten des Scripts gemappt wird.
Die exakte Reihenfolge ist wenn mein sein Skript zuverlässig auslegt egal.
Deswegen macht man als vernünftiger Admin immer eine Abfrage ob ein Pfad existiert oder nicht und wartet dementsprechend einen max. Zeitraum im Script bis dieses verfügbar ist, erst dann macht es weiter. Darauf verlassen das ein Laufwerk zu einem bestimmten Zeitpunkt existiert sollte man sich niemals!!!
Bitte warten ..
Mitglied: SarekHL
15.10.2017 um 11:07 Uhr
Zitat von 134464:

* wann wird das direkt im AD-Benutzerkonto eingetragene Startscript abgearbeitet?
  • wann wird das Startscript aus der Gruppenrichtlinie abgearbeitet?
Startskripte werden gestartet sobald alle Computersettings der GPO angewendet wurden.

Gmeint sind hier natürlich jeweils Anmeldescripte. Und zumindest das in der GPO wird ja laut dem, was DerWoWusste sagte, nicht direkt nach den Computersettings, sondern erst sehr spät, nach dem Aufbau des Desktops, ausgeführt. Gilt das auch für das Anmeldescript, welches man direkt im AD-Benutzerkonto angibt (unter dem Profilpfad)? Oder kommt das früher dran?

Und wann wird nun in der Reihenfolge das Home-Laufwerk auf den im AD-Benutzerkonto eingetragenen Laufwerksbuchstaben gemappt? Auch wenn man natürlich eine DirExist-Abfrage macht, ist das trotzdem eine nützliche Information ;)
Bitte warten ..
Mitglied: 134464
134464 (Level 2)
16.10.2017, aktualisiert um 10:07 Uhr
Zitat von SarekHL:
Gmeint sind hier natürlich jeweils Anmeldescripte. Und zumindest das in der GPO wird ja laut dem, was DerWoWusste sagte, nicht direkt nach den Computersettings, sondern erst sehr spät, nach dem Aufbau des Desktops, ausgeführt. Gilt das auch für das Anmeldescript, welches man direkt im AD-Benutzerkonto angibt (unter dem Profilpfad)? Oder kommt das früher dran?
Das Anmeldescript wird, wenn die Verzögerung auf 0 gestellt wurde, erst ausgeführt wenn alle User-Settings welche in den GPOs angewendet wurden ausgeführt, genau so wie bei den Computersettings welche ausgeführt werden wenn alle Computersettings angewendet wurden.
Und wann wird nun in der Reihenfolge das Home-Laufwerk auf den im AD-Benutzerkonto eingetragenen Laufwerksbuchstaben gemappt? Auch wenn man natürlich eine DirExist-Abfrage macht, ist das trotzdem eine nützliche Information ;)
Kann ich gerade nicht sagen, aber mit ein bisschen Spielen mit Procmon oder einem Skript welches dir diese Info loggt, kannst du das auch selber einfach rausfinden.
Bitte warten ..
Heiß diskutierte Inhalte
Wünsch Dir was
Das ist ja nicht auszuhalten, dass ich für jeden googlen soll
NordicMikeVor 17 StundenAllgemeinWünsch Dir was22 Kommentare

Ich beantrage, dass bei jeder Beitragserstellung eine Checkbox angeklickt werden muss, mit dem Text: Ja, ich habe bereits danach gegoogelt. Ansonsten soll der "Senden" ...

Rechtliche Fragen
Adobe Flash erneut aktivieren, IT-Sicherheit + Datenschutz
anteNopeVor 1 TagFrageRechtliche Fragen14 Kommentare

Hallo zusammen, ich weiß es ist noch nicht Freitag aber mir ist hier gerade die Kinnlade bis in den Keller gefallen. Opel (ja der ...

Windows 10
Wie kann ich mehrere PCs gleich aufsetzten (mit User)
dressaVor 1 TagFrageWindows 1010 Kommentare

Hallo miteinander. Wie kann ich mehrere PCs (über 200) gleich aufsetzten. Ich habe etwa 4 Modele die sich nur von der Baugeneration unterscheiden. Also ...

Flatrates
Mobilfunktarife für die Firma (günstig)
gelöst ingo1988Vor 1 TagFrageFlatrates13 Kommentare

Hallo, kann mir jemand weiterhelfen im Bezug auf Mobilfunktarife für Unternehmen? Ich suche nämlich günstige Angebote im Telekom oder Vodafone Netz, ähnlich wie Lidl ...

Microsoft
Wie verteilt Ihr Software im AD auf die Clients? GPO?
Der-PhilVor 1 TagFrageMicrosoft14 Kommentare

Hallo! Die Kernfrage steht eigentlich schon im Titel: Wie verteilt ihr Software und haltet sie aktuell auf den Clients? Bislang mache ich das alles ...

Hardware
Homelab - Gebrauchte Server Hardware?
gelöst kernl33Vor 19 StundenFrageHardware16 Kommentare

Hallo zusammen, ich plane mir für mein Homelab einen 19 Zoll Server (2-4HE) anzulegen, es soll ein Hypervisor mit diversen VMs laufen. Hier zu ...

Cloud-Dienste
Server über zwei WAN Leitungen mit Load Balancing verfügbar machen
tobitobsnVor 1 TagFrageCloud-Dienste13 Kommentare

Moin zusammen, ich plane, einen Server im WAN über zwei Leitungen (Kabel und DSL) zwecks Ausfallsicherheit und Load Balancing verfügbar zu machen. Es sind ...

Festplatten, SSD, Raid
SATA Treiber für HP
ben1300Vor 12 StundenFrageFestplatten, SSD, Raid15 Kommentare

Hallo zusammen, ich habe einen PC von HP (Seriennummer: CZC3475D5D) Wollte hier Windows 7 Prof. installieren - es fehlt der SATA Treiber Leider kann ...