7
Logon Script mit einer .reg Datei
Hallo ihr Lieben,
wir haben die letzten Wochen genutzt und sind mit unserem Terminalserver auf Windows Server 2012 R2 umgezogen (endlich) und nach vielen Tassen Kaffee auch solche Probleme wie Zertifikate und co. in den Griff bekommen.
Nun habe ich ein kleines Problem, das hoffentlich keine große Arbeit erfordert:
In unserem Unternehmen wird noch OneNote2010 benutzt. Für Bildschirmaufnahmen verwendet man dort das Kürzel: WIN+S
Windows 2012 belegt dieses Kürzel allerdings mit der Suche. Das heißt, dass man auf dem Terminalserver keine Bildschirmaufnahmen mit OneNote2010 machen kann, da ständig die Windowssuche startet.
Ich habe bereits herausgefunden, dass man mit einem Registry-Eintrag besagtes Kürzel abschalten kann. Diese ist allerdings immer nur für einen Benutzer gültig und greift nicht auf die ganze Maschine:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced - Neue Zeichenfolge: DisabledHotkeys - Wert: S
Ist es möglich eine .reg Datei zu erstellen, die beim (erstmaligen) Anmelden eines Nutzers auf dem Terminal ausgeführt wird und den Eintrag in die Registry schreibt? Ich bin leider ganz und gar nicht fit im scripten und daher als totaler Anfänger zu behandeln
Technische Daten:
Terminal: Win2012 R2
AD: Win2012 R2
Clients: Win7 und Win10
Beste Grüße
Aki
wir haben die letzten Wochen genutzt und sind mit unserem Terminalserver auf Windows Server 2012 R2 umgezogen (endlich) und nach vielen Tassen Kaffee auch solche Probleme wie Zertifikate und co. in den Griff bekommen.
Nun habe ich ein kleines Problem, das hoffentlich keine große Arbeit erfordert:
In unserem Unternehmen wird noch OneNote2010 benutzt. Für Bildschirmaufnahmen verwendet man dort das Kürzel: WIN+S
Windows 2012 belegt dieses Kürzel allerdings mit der Suche. Das heißt, dass man auf dem Terminalserver keine Bildschirmaufnahmen mit OneNote2010 machen kann, da ständig die Windowssuche startet.
Ich habe bereits herausgefunden, dass man mit einem Registry-Eintrag besagtes Kürzel abschalten kann. Diese ist allerdings immer nur für einen Benutzer gültig und greift nicht auf die ganze Maschine:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced - Neue Zeichenfolge: DisabledHotkeys - Wert: S
Ist es möglich eine .reg Datei zu erstellen, die beim (erstmaligen) Anmelden eines Nutzers auf dem Terminal ausgeführt wird und den Eintrag in die Registry schreibt? Ich bin leider ganz und gar nicht fit im scripten und daher als totaler Anfänger zu behandeln
Technische Daten:
Terminal: Win2012 R2
AD: Win2012 R2
Clients: Win7 und Win10
Beste Grüße
Aki
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 331667
Url: https://administrator.de/contentid/331667
Printed on: April 25, 2024 at 06:04 o'clock
7 Comments
Latest comment
2
Hi,
entweder so, wie @Kraemer schon schrieb, oder Old School:
E.
entweder so, wie @Kraemer schon schrieb, oder Old School:
- als Admin am TS anmelden
- CMD "als Administrator" starten
- in der CMD
change user /install - Änderung an der Registry im HKCU vornehmen
- in der CMD
change user /execute - jetzt werden auf diesem TS die aufgezeichneten Änderungen aus dem HKCU des o.g. Admins auf alle anderen Sitzungen bei Anmeldung einmalig übernommen (neue Profile genauso wie vorhandene Profile)
E.
2
Super Vorschlag! Vielen Dank dafür.
Ich habe jetzt eine neue Policy erstellt, dort unter einen neuen Eintrag eingefügt (Modus auf Erstellen gesetzt)
Wie lege ich allerdings fest auf wen das ganze greifen soll? Habe in der Sicherheitsfilterung "Authentifizierte Benutzer" raus und dafür den Terminalserver rein. Greift die GPO(Benutzerkonfiguration) denn, wenn ich dort nur den Server eintrage?
Ich habe jetzt eine neue Policy erstellt, dort unter
Benutzerkonfiguration/Einstellungen/Windows-Einstellungen/RegistrierungWie lege ich allerdings fest auf wen das ganze greifen soll? Habe in der Sicherheitsfilterung "Authentifizierte Benutzer" raus und dafür den Terminalserver rein. Greift die GPO(Benutzerkonfiguration) denn, wenn ich dort nur den Server eintrage?
Wie lege ich allerdings fest auf wen das ganze greifen soll? Habe in der Sicherheitsfilterung "Authentifizierte Benutzer" raus und dafür den Terminalserver rein. Greift die GPO(Benutzerkonfiguration) denn, wenn ich dort nur den Server eintrage?
Das ist eine Benutzereinstellung und sie soll bestimmt nur für den TS gelten.Also auf die OU mit dem TS verlinken.
Dann für diesen TS per GPO den GPO Loopbackverarbeitungsmodus auf "zusammenführen" (oder "ersetzen" wenn besser) stellen.
Die GPO mit der Reg-Anpassung für "Authentifizierte Benutzer" gelten lassen.
1
Danke für die Antwort
Ich muss leider mit schamesröte gestehen, dass ich die Schritte nicht nachvollziehen kann
Das tut mir leid.
Würdest du dir die Zeit für eine ausführlichere Antwort nehmen?
Und ich versuche mal meine Schritte und die Umgebung besser zu erklären:
- Der Terminalserver ist in keiner OU
- In der Gruppenrichtlinienverwaltung unter: Gesamtstruktur/Domänen/test.domain eine neue Policy erstellt (Quasi direkt unter Default Domain Policys)
- Diese neue Policy mit Editieren so bearbeitet, dass ich die Einstellungen von oben übernommen habe (also Registry-Eintrag hinzugefügt)
- Editor wieder geschlossen
- In der Gruppenrichtlinienverwaltung die Policy ausgewählt und im rechten Bildschirmbereich unter "Sicherheitsfilterung" die Authentifizierten Benutzer rausgenommen und dafür den Server per Servernamen aufgenommen
Ich muss leider mit schamesröte gestehen, dass ich die Schritte nicht nachvollziehen kann
Das tut mir leid.Würdest du dir die Zeit für eine ausführlichere Antwort nehmen?
Und ich versuche mal meine Schritte und die Umgebung besser zu erklären:
- Der Terminalserver ist in keiner OU
- In der Gruppenrichtlinienverwaltung unter: Gesamtstruktur/Domänen/test.domain eine neue Policy erstellt (Quasi direkt unter Default Domain Policys)
- Diese neue Policy mit Editieren so bearbeitet, dass ich die Einstellungen von oben übernommen habe (also Registry-Eintrag hinzugefügt)
- Editor wieder geschlossen
- In der Gruppenrichtlinienverwaltung die Policy ausgewählt und im rechten Bildschirmbereich unter "Sicherheitsfilterung" die Authentifizierten Benutzer rausgenommen und dafür den Server per Servernamen aufgenommen
Frage beantworten: Diese Einstellung soll nur gelten, wenn sich die Benutzer am TS anmelden, aber nicht wenn sie sich am PC anmelden?
Korrekt?
Falls ja:
Du musst Dafür sorgen, dass sich die GPO mit den Benutzereinstellungen, welche man zwangsläufig nur auf Benutzer anwenden kann, nur dann gilt, wenn sich der Benutzer am TS anmeldet.
Dies erreicht man mit der Loopback-Verarbeitung. Da Du nicht weißt, was das ist: Nimm Modus "zusammenführen" ("merge")
Korrekt?
Falls ja:
Du musst Dafür sorgen, dass sich die GPO mit den Benutzereinstellungen, welche man zwangsläufig nur auf Benutzer anwenden kann, nur dann gilt, wenn sich der Benutzer am TS anmeldet.
Dies erreicht man mit der Loopback-Verarbeitung. Da Du nicht weißt, was das ist: Nimm Modus "zusammenführen" ("merge")
- Wenn das Computer-Objekt immer noch im Comntainer "Computers" ist, dann erstelle eine neue OU und verschiebe das Computer-Objekt des TS in diese OU.
- Erstelle eine neue GPO "Loopback für TS" und verlinke diese mit der OU, in welcher das Computer-Objekt des TS ist. Sicherheitsfilterung für "Authentifizierte Benutzer"
- diese GPO bearbeiten: Computereinstellungen - Richtlinien - Administrative Vorlagen - System - Gruppenrichtlinie - "Loopbackverarbeitungsmodus ...." --> Aktivieren - Modus "Zusammenführen" ("Merge") --> OK
- GPO's auf dem TS aktualisieren - mit "GPresult /R" überprüfen, ob der Computer diese GPO angewendet hat.
- Die GPO mit der Einstellung für die Registry mit der OU des TS(!) verlinken. Alle anderen Verlinkungen dieser GPO entfernen. Sicherheitsfilterung für "Authentifizierte Benutzer"
- Benutzer am TS anmelden. Mit "GPresult /R" für diesen Benutzer prüfen, ob die Regitry-GPO angewendet wurde.
- Benutzer am PC anmelden. Mit "GPresult /R" für diesen Benutzer prüfen, ob die Regitry-GPO nicht angewendet wurde.
1
Vielen lieben Dank emeriks! Hat 1-A funktioniert und ist deutlich besser als das, was ich mir vorgestellt hatte!
Beste Grüße
Aki
Beste Grüße
Aki
