GPO-Anmeldescript - Abarbeitungsposition im Anmeldevorgang
Hallo zusammen,
ich möchte per Anmeldescript etwas ins Benutzerprofil schreiben lassen. Wenn ich mich aber auf einem mit Wächterkarte oder -software geschützten Computer anmelde, wird das Benutzerprofil ja erst mal aus dem DefaultProfile neu generiert. Weiß jemand, ob das unter Windows 7 / Windows 10 vor oder nach dem Ausführen von in den Gruppenrichtlinien definierten Anmeldescripten passiert?
Danke im Voraus,
Sarek \\//_
ich möchte per Anmeldescript etwas ins Benutzerprofil schreiben lassen. Wenn ich mich aber auf einem mit Wächterkarte oder -software geschützten Computer anmelde, wird das Benutzerprofil ja erst mal aus dem DefaultProfile neu generiert. Weiß jemand, ob das unter Windows 7 / Windows 10 vor oder nach dem Ausführen von in den Gruppenrichtlinien definierten Anmeldescripten passiert?
Danke im Voraus,
Sarek \\//_
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 351786
Url: https://administrator.de/forum/gpo-anmeldescript-abarbeitungsposition-im-anmeldevorgang-351786.html
Ausgedruckt am: 31.03.2025 um 14:03 Uhr
11 Kommentare
Neuester Kommentar

Ja
https://support.microsoft.com/de-de/help/2895815/logon-scripts-do-not-ru ...
https://support.microsoft.com/de-de/help/2895815/logon-scripts-do-not-ru ...
Computerkonfiguration\Administrative Vorlagen\system\gruppenrichtlinie
Der Standardwert für die Richtlinie "Logon-Skript Verzögerung konfigurieren" ist Nicht konfiguriert. Jedoch ist das Standardverhalten des Gruppenrichtlinien-Clients warten Sie fünf Minuten, bevor die Anmeldeskripts ausgeführt wird.

Zitat von @SarekHL:
Ich glaube, wir müssen noch mal über "verständlich" sprechen. Aber wenn ich es richtig verstanden habe, ist der Ablauf nach dem eigentlichen Anmelden (Eingabe von Benutzername und Passwort) da doch recht verkürzt dargestellt. Details wie
Vor jeglichem Anmelden, denn ohne Profil keine Anmeldung. D. h. wenn du nach dem Eingeben der Userdaten Enter drückst wird überprüft ob für den User ein Profil besteht oder nicht, wenn nicht angelegt und erst wenn dieser Vorgang beendet ist wird der User eingeloggt.Ich glaube, wir müssen noch mal über "verständlich" sprechen. Aber wenn ich es richtig verstanden habe, ist der Ablauf nach dem eigentlichen Anmelden (Eingabe von Benutzername und Passwort) da doch recht verkürzt dargestellt. Details wie
- wann wird das Benutzerprofil generiert, wenn es noch nicht besteht?
* wann wird das direkt im AD-Benutzerkonto eingetragene Startscript abgearbeitet?
Startskripte werden gestartet sobald alle Computersettings der GPO angewendet wurden.- wann wird das Home-Laufwerk auf den im AD-Benutzerkonto eingetragenen Laufwerksbuchstaben gemappt?
- wann wird das Startscript aus der Gruppenrichtlinie abgearbeitet?
* wann werden Dateien gepatcht, die in den GPP eingetragen sind?
GPPs werden erst ziemlich spät beim Anmeldeprozess verarbeitet.* Gibt es Unterschiede ob das in der Default Domain Policy oder in einer GPO der aktuellen OU steht?
Ja, die Reihenfolge der Abarbeitung der Gruppenrichtlinien kannst du in der Prioritätenliste der GPMC nachsehen!https://emeneye.wordpress.com/2016/02/16/group-policy-order-of-precedenc ...
fehlen da leider. Das finde ich aber wichtig, um abzuschätzen, ob ein geplantes Verfahren funktioniert oder nicht. Ich kann ja z.B. nicht in einem Script auf den Laufwerksbuchstaben des Home-Verzeichnisses zugreifen, wenn der Laufwerksbuchstabe erst nach dem Abarbeiten des Scripts gemappt wird.
Die exakte Reihenfolge ist wenn mein sein Skript zuverlässig auslegt egal.Deswegen macht man als vernünftiger Admin immer eine Abfrage ob ein Pfad existiert oder nicht und wartet dementsprechend einen max. Zeitraum im Script bis dieses verfügbar ist, erst dann macht es weiter. Darauf verlassen das ein Laufwerk zu einem bestimmten Zeitpunkt existiert sollte man sich niemals!!!

Zitat von @SarekHL:
Gmeint sind hier natürlich jeweils Anmeldescripte. Und zumindest das in der GPO wird ja laut dem, was DerWoWusste sagte, nicht direkt nach den Computersettings, sondern erst sehr spät, nach dem Aufbau des Desktops, ausgeführt. Gilt das auch für das Anmeldescript, welches man direkt im AD-Benutzerkonto angibt (unter dem Profilpfad)? Oder kommt das früher dran?
Das Anmeldescript wird, wenn die Verzögerung auf 0 gestellt wurde, erst ausgeführt wenn alle User-Settings welche in den GPOs angewendet wurden ausgeführt, genau so wie bei den Computersettings welche ausgeführt werden wenn alle Computersettings angewendet wurden.Gmeint sind hier natürlich jeweils Anmeldescripte. Und zumindest das in der GPO wird ja laut dem, was DerWoWusste sagte, nicht direkt nach den Computersettings, sondern erst sehr spät, nach dem Aufbau des Desktops, ausgeführt. Gilt das auch für das Anmeldescript, welches man direkt im AD-Benutzerkonto angibt (unter dem Profilpfad)? Oder kommt das früher dran?
Und wann wird nun in der Reihenfolge das Home-Laufwerk auf den im AD-Benutzerkonto eingetragenen Laufwerksbuchstaben gemappt? Auch wenn man natürlich eine DirExist-Abfrage macht, ist das trotzdem eine nützliche Information ;)
Kann ich gerade nicht sagen, aber mit ein bisschen Spielen mit Procmon oder einem Skript welches dir diese Info loggt, kannst du das auch selber einfach rausfinden.