kathaki
Goto Top

Logon Script mit einer .reg Datei

Hallo ihr Lieben,

wir haben die letzten Wochen genutzt und sind mit unserem Terminalserver auf Windows Server 2012 R2 umgezogen (endlich) und nach vielen Tassen Kaffee auch solche Probleme wie Zertifikate und co. in den Griff bekommen.

Nun habe ich ein kleines Problem, das hoffentlich keine große Arbeit erfordert:
In unserem Unternehmen wird noch OneNote2010 benutzt. Für Bildschirmaufnahmen verwendet man dort das Kürzel: WIN+S
Windows 2012 belegt dieses Kürzel allerdings mit der Suche. Das heißt, dass man auf dem Terminalserver keine Bildschirmaufnahmen mit OneNote2010 machen kann, da ständig die Windowssuche startet.

Ich habe bereits herausgefunden, dass man mit einem Registry-Eintrag besagtes Kürzel abschalten kann. Diese ist allerdings immer nur für einen Benutzer gültig und greift nicht auf die ganze Maschine:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced - Neue Zeichenfolge: DisabledHotkeys - Wert: S

Ist es möglich eine .reg Datei zu erstellen, die beim (erstmaligen) Anmelden eines Nutzers auf dem Terminal ausgeführt wird und den Eintrag in die Registry schreibt? Ich bin leider ganz und gar nicht fit im scripten und daher als totaler Anfänger zu behandeln face-smile

Technische Daten:
Terminal: Win2012 R2
AD: Win2012 R2
Clients: Win7 und Win10

Beste Grüße
Aki

Content-ID: 331667

Url: https://administrator.de/forum/logon-script-mit-einer-reg-datei-331667.html

Ausgedruckt am: 23.12.2024 um 01:12 Uhr

Kraemer
Lösung Kraemer 09.03.2017 um 08:38:46 Uhr
Goto Top
Moin,

lass doch das Scripten und mache es so.

Gruß
emeriks
emeriks 09.03.2017 um 08:50:52 Uhr
Goto Top
Hi,
entweder so, wie @Kraemer schon schrieb, oder Old School:
  • als Admin am TS anmelden
  • CMD "als Administrator" starten
  • in der CMD
    change user /install
  • Änderung an der Registry im HKCU vornehmen
  • in der CMD
    change user /execute
  • jetzt werden auf diesem TS die aufgezeichneten Änderungen aus dem HKCU des o.g. Admins auf alle anderen Sitzungen bei Anmeldung einmalig übernommen (neue Profile genauso wie vorhandene Profile)

E.
Kathaki
Kathaki 09.03.2017 um 10:01:47 Uhr
Goto Top
Super Vorschlag! Vielen Dank dafür.

Ich habe jetzt eine neue Policy erstellt, dort unter
Benutzerkonfiguration/Einstellungen/Windows-Einstellungen/Registrierung
einen neuen Eintrag eingefügt (Modus auf Erstellen gesetzt)

Wie lege ich allerdings fest auf wen das ganze greifen soll? Habe in der Sicherheitsfilterung "Authentifizierte Benutzer" raus und dafür den Terminalserver rein. Greift die GPO(Benutzerkonfiguration) denn, wenn ich dort nur den Server eintrage?
emeriks
Lösung emeriks 09.03.2017 aktualisiert um 10:06:46 Uhr
Goto Top
Wie lege ich allerdings fest auf wen das ganze greifen soll? Habe in der Sicherheitsfilterung "Authentifizierte Benutzer" raus und dafür den Terminalserver rein. Greift die GPO(Benutzerkonfiguration) denn, wenn ich dort nur den Server eintrage?
Das ist eine Benutzereinstellung und sie soll bestimmt nur für den TS gelten.
Also auf die OU mit dem TS verlinken.
Dann für diesen TS per GPO den GPO Loopbackverarbeitungsmodus auf "zusammenführen" (oder "ersetzen" wenn besser) stellen.
Die GPO mit der Reg-Anpassung für "Authentifizierte Benutzer" gelten lassen.
Kathaki
Kathaki 09.03.2017 um 10:28:49 Uhr
Goto Top
Danke für die Antwort

Ich muss leider mit schamesröte gestehen, dass ich die Schritte nicht nachvollziehen kann face-sad Das tut mir leid.
Würdest du dir die Zeit für eine ausführlichere Antwort nehmen?

Und ich versuche mal meine Schritte und die Umgebung besser zu erklären:
- Der Terminalserver ist in keiner OU
- In der Gruppenrichtlinienverwaltung unter: Gesamtstruktur/Domänen/test.domain eine neue Policy erstellt (Quasi direkt unter Default Domain Policys)
- Diese neue Policy mit Editieren so bearbeitet, dass ich die Einstellungen von oben übernommen habe (also Registry-Eintrag hinzugefügt)
- Editor wieder geschlossen
- In der Gruppenrichtlinienverwaltung die Policy ausgewählt und im rechten Bildschirmbereich unter "Sicherheitsfilterung" die Authentifizierten Benutzer rausgenommen und dafür den Server per Servernamen aufgenommen
emeriks
Lösung emeriks 09.03.2017 aktualisiert um 11:13:17 Uhr
Goto Top
Frage beantworten: Diese Einstellung soll nur gelten, wenn sich die Benutzer am TS anmelden, aber nicht wenn sie sich am PC anmelden?
Korrekt?

Falls ja:
Du musst Dafür sorgen, dass sich die GPO mit den Benutzereinstellungen, welche man zwangsläufig nur auf Benutzer anwenden kann, nur dann gilt, wenn sich der Benutzer am TS anmeldet.
Dies erreicht man mit der Loopback-Verarbeitung. Da Du nicht weißt, was das ist: Nimm Modus "zusammenführen" ("merge")
  • Wenn das Computer-Objekt immer noch im Comntainer "Computers" ist, dann erstelle eine neue OU und verschiebe das Computer-Objekt des TS in diese OU.
  • Erstelle eine neue GPO "Loopback für TS" und verlinke diese mit der OU, in welcher das Computer-Objekt des TS ist. Sicherheitsfilterung für "Authentifizierte Benutzer"
  • diese GPO bearbeiten: Computereinstellungen - Richtlinien - Administrative Vorlagen - System - Gruppenrichtlinie - "Loopbackverarbeitungsmodus ...." --> Aktivieren - Modus "Zusammenführen" ("Merge") --> OK
  • GPO's auf dem TS aktualisieren - mit "GPresult /R" überprüfen, ob der Computer diese GPO angewendet hat.
  • Die GPO mit der Einstellung für die Registry mit der OU des TS(!) verlinken. Alle anderen Verlinkungen dieser GPO entfernen. Sicherheitsfilterung für "Authentifizierte Benutzer"
  • Benutzer am TS anmelden. Mit "GPresult /R" für diesen Benutzer prüfen, ob die Regitry-GPO angewendet wurde.
  • Benutzer am PC anmelden. Mit "GPresult /R" für diesen Benutzer prüfen, ob die Regitry-GPO nicht angewendet wurde.
Kathaki
Kathaki 09.03.2017 um 16:31:44 Uhr
Goto Top
Vielen lieben Dank emeriks! Hat 1-A funktioniert und ist deutlich besser als das, was ich mir vorgestellt hatte!

Beste Grüße
Aki