GPO-Anmeldescript - Abarbeitungsposition im Anmeldevorgang
Hallo zusammen,
ich möchte per Anmeldescript etwas ins Benutzerprofil schreiben lassen. Wenn ich mich aber auf einem mit Wächterkarte oder -software geschützten Computer anmelde, wird das Benutzerprofil ja erst mal aus dem DefaultProfile neu generiert. Weiß jemand, ob das unter Windows 7 / Windows 10 vor oder nach dem Ausführen von in den Gruppenrichtlinien definierten Anmeldescripten passiert?
Danke im Voraus,
Sarek \\//_
ich möchte per Anmeldescript etwas ins Benutzerprofil schreiben lassen. Wenn ich mich aber auf einem mit Wächterkarte oder -software geschützten Computer anmelde, wird das Benutzerprofil ja erst mal aus dem DefaultProfile neu generiert. Weiß jemand, ob das unter Windows 7 / Windows 10 vor oder nach dem Ausführen von in den Gruppenrichtlinien definierten Anmeldescripten passiert?
Danke im Voraus,
Sarek \\//_
11 Antworten
- LÖSUNG DerWoWusste schreibt am 14.10.2017 um 11:11:08 Uhr
- LÖSUNG SarekHL schreibt am 14.10.2017 um 12:26:14 Uhr
- LÖSUNG 134464 schreibt am 14.10.2017 um 12:34:52 Uhr
- LÖSUNG SarekHL schreibt am 14.10.2017 um 12:45:06 Uhr
- LÖSUNG DerWoWusste schreibt am 14.10.2017 um 12:52:58 Uhr
- LÖSUNG SarekHL schreibt am 14.10.2017 um 12:45:06 Uhr
- LÖSUNG 134464 schreibt am 14.10.2017 um 12:34:52 Uhr
- LÖSUNG SarekHL schreibt am 15.10.2017 um 07:47:21 Uhr
- LÖSUNG 134464 schreibt am 15.10.2017 um 10:13:39 Uhr
- LÖSUNG SarekHL schreibt am 15.10.2017 um 10:34:23 Uhr
- LÖSUNG 134464 schreibt am 15.10.2017 um 10:52:56 Uhr
- LÖSUNG SarekHL schreibt am 15.10.2017 um 11:07:35 Uhr
- LÖSUNG 134464 schreibt am 16.10.2017 um 10:07:21 Uhr
- LÖSUNG SarekHL schreibt am 15.10.2017 um 11:07:35 Uhr
- LÖSUNG 134464 schreibt am 15.10.2017 um 10:52:56 Uhr
- LÖSUNG SarekHL schreibt am 15.10.2017 um 10:34:23 Uhr
- LÖSUNG 134464 schreibt am 15.10.2017 um 10:13:39 Uhr
- LÖSUNG SarekHL schreibt am 14.10.2017 um 12:26:14 Uhr
LÖSUNG 14.10.2017 um 11:11 Uhr
LÖSUNG 14.10.2017 um 12:26 Uhr
LÖSUNG 14.10.2017, aktualisiert um 12:36 Uhr
Ja
https://support.microsoft.com/de-de/help/2895815/logon-scripts-do-not-ru ...
https://support.microsoft.com/de-de/help/2895815/logon-scripts-do-not-ru ...
Computerkonfiguration\Administrative Vorlagen\system\gruppenrichtlinie
Der Standardwert für die Richtlinie "Logon-Skript Verzögerung konfigurieren" ist Nicht konfiguriert. Jedoch ist das Standardverhalten des Gruppenrichtlinien-Clients warten Sie fünf Minuten, bevor die Anmeldeskripts ausgeführt wird.
LÖSUNG 14.10.2017 um 12:45 Uhr
LÖSUNG 14.10.2017, aktualisiert um 12:53 Uhr
LÖSUNG 15.10.2017 um 07:47 Uhr
Zitat von DerWoWusste:
Das Profil wird vor der Anmeldung aus dem Defaultprofil generiert und das Anmeldeskript läuft erst mit dem Erreichen des Desktops los
Das Profil wird vor der Anmeldung aus dem Defaultprofil generiert und das Anmeldeskript läuft erst mit dem Erreichen des Desktops los
Wie schaut es eigentlich mit dem Patchen von Dateien mit benutzerspezifischen Group Policy Preferences aus? Läuft das schon, bevor der Desktop erreicht wird?
Gibt es dazu eigentlich eine verständliche Info, was beim Startvorgang in welcher Reihenfolge abläuft?
LÖSUNG 15.10.2017 um 10:13 Uhr
LÖSUNG 15.10.2017, aktualisiert um 10:40 Uhr
Ich glaube, wir müssen noch mal über "verständlich" sprechen. Aber wenn ich es richtig verstanden habe, ist der Ablauf nach dem eigentlichen Anmelden (Eingabe von Benutzername und Passwort) da doch recht verkürzt dargestellt. Details wie
- wann wird das Benutzerprofil generiert, wenn es noch nicht besteht?
- wann wird das direkt im AD-Benutzerkonto eingetragene Startscript abgearbeitet?
- wann wird das Home-Laufwerk auf den im AD-Benutzerkonto eingetragenen Laufwerksbuchstaben gemappt?
- wann wird das Startscript aus der Gruppenrichtlinie abgearbeitet?
- wann werden Dateien gepatcht, die in den GPP eingetragen sind?
- Gibt es Unterschiede ob das in der Default Domain Policy oder in einer GPO der aktuellen OU steht?
fehlen da leider. Das finde ich aber wichtig, um abzuschätzen, ob ein geplantes Verfahren funktioniert oder nicht. Ich kann ja z.B. nicht in einem Script auf den Laufwerksbuchstaben des Home-Verzeichnisses zugreifen, wenn der Laufwerksbuchstabe erst nach dem Abarbeiten des Scripts gemappt wird.
LÖSUNG 15.10.2017, aktualisiert um 10:55 Uhr
Zitat von SarekHL:
Ich glaube, wir müssen noch mal über "verständlich" sprechen. Aber wenn ich es richtig verstanden habe, ist der Ablauf nach dem eigentlichen Anmelden (Eingabe von Benutzername und Passwort) da doch recht verkürzt dargestellt. Details wie
Vor jeglichem Anmelden, denn ohne Profil keine Anmeldung. D. h. wenn du nach dem Eingeben der Userdaten Enter drückst wird überprüft ob für den User ein Profil besteht oder nicht, wenn nicht angelegt und erst wenn dieser Vorgang beendet ist wird der User eingeloggt.Ich glaube, wir müssen noch mal über "verständlich" sprechen. Aber wenn ich es richtig verstanden habe, ist der Ablauf nach dem eigentlichen Anmelden (Eingabe von Benutzername und Passwort) da doch recht verkürzt dargestellt. Details wie
- wann wird das Benutzerprofil generiert, wenn es noch nicht besteht?
* wann wird das direkt im AD-Benutzerkonto eingetragene Startscript abgearbeitet?
Startskripte werden gestartet sobald alle Computersettings der GPO angewendet wurden.- wann wird das Home-Laufwerk auf den im AD-Benutzerkonto eingetragenen Laufwerksbuchstaben gemappt?
- wann wird das Startscript aus der Gruppenrichtlinie abgearbeitet?
* wann werden Dateien gepatcht, die in den GPP eingetragen sind?
GPPs werden erst ziemlich spät beim Anmeldeprozess verarbeitet.* Gibt es Unterschiede ob das in der Default Domain Policy oder in einer GPO der aktuellen OU steht?
Ja, die Reihenfolge der Abarbeitung der Gruppenrichtlinien kannst du in der Prioritätenliste der GPMC nachsehen!https://emeneye.wordpress.com/2016/02/16/group-policy-order-of-precedenc ...
fehlen da leider. Das finde ich aber wichtig, um abzuschätzen, ob ein geplantes Verfahren funktioniert oder nicht. Ich kann ja z.B. nicht in einem Script auf den Laufwerksbuchstaben des Home-Verzeichnisses zugreifen, wenn der Laufwerksbuchstabe erst nach dem Abarbeiten des Scripts gemappt wird.
Die exakte Reihenfolge ist wenn mein sein Skript zuverlässig auslegt egal.Deswegen macht man als vernünftiger Admin immer eine Abfrage ob ein Pfad existiert oder nicht und wartet dementsprechend einen max. Zeitraum im Script bis dieses verfügbar ist, erst dann macht es weiter. Darauf verlassen das ein Laufwerk zu einem bestimmten Zeitpunkt existiert sollte man sich niemals!!!
LÖSUNG 15.10.2017 um 11:07 Uhr
Zitat von 134464:
* wann wird das direkt im AD-Benutzerkonto eingetragene Startscript abgearbeitet?
Startskripte werden gestartet sobald alle Computersettings der GPO angewendet wurden.- wann wird das Startscript aus der Gruppenrichtlinie abgearbeitet?
Gmeint sind hier natürlich jeweils Anmeldescripte. Und zumindest das in der GPO wird ja laut dem, was DerWoWusste sagte, nicht direkt nach den Computersettings, sondern erst sehr spät, nach dem Aufbau des Desktops, ausgeführt. Gilt das auch für das Anmeldescript, welches man direkt im AD-Benutzerkonto angibt (unter dem Profilpfad)? Oder kommt das früher dran?
Und wann wird nun in der Reihenfolge das Home-Laufwerk auf den im AD-Benutzerkonto eingetragenen Laufwerksbuchstaben gemappt? Auch wenn man natürlich eine DirExist-Abfrage macht, ist das trotzdem eine nützliche Information ;)
LÖSUNG 16.10.2017, aktualisiert um 10:07 Uhr
Zitat von SarekHL:
Gmeint sind hier natürlich jeweils Anmeldescripte. Und zumindest das in der GPO wird ja laut dem, was DerWoWusste sagte, nicht direkt nach den Computersettings, sondern erst sehr spät, nach dem Aufbau des Desktops, ausgeführt. Gilt das auch für das Anmeldescript, welches man direkt im AD-Benutzerkonto angibt (unter dem Profilpfad)? Oder kommt das früher dran?
Das Anmeldescript wird, wenn die Verzögerung auf 0 gestellt wurde, erst ausgeführt wenn alle User-Settings welche in den GPOs angewendet wurden ausgeführt, genau so wie bei den Computersettings welche ausgeführt werden wenn alle Computersettings angewendet wurden.Gmeint sind hier natürlich jeweils Anmeldescripte. Und zumindest das in der GPO wird ja laut dem, was DerWoWusste sagte, nicht direkt nach den Computersettings, sondern erst sehr spät, nach dem Aufbau des Desktops, ausgeführt. Gilt das auch für das Anmeldescript, welches man direkt im AD-Benutzerkonto angibt (unter dem Profilpfad)? Oder kommt das früher dran?
Und wann wird nun in der Reihenfolge das Home-Laufwerk auf den im AD-Benutzerkonto eingetragenen Laufwerksbuchstaben gemappt? Auch wenn man natürlich eine DirExist-Abfrage macht, ist das trotzdem eine nützliche Information ;)
Kann ich gerade nicht sagen, aber mit ein bisschen Spielen mit Procmon oder einem Skript welches dir diese Info loggt, kannst du das auch selber einfach rausfinden.