Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Logon-Skript Powershell über GPO funktioniert nicht

Mitglied: Lauchheimer

Lauchheimer (Level 1) - Jetzt verbinden

18.03.2019 um 14:35 Uhr, 999 Aufrufe, 17 Kommentare

Tag Leute,

Um bei Win 10 Pro den App-Store und unerwünschte Apps zu entfernen, habe ich eine Powershell-Datei erzeugt, die ich gerne als Logon-Skript verwenden würde.
Diese habe ich über eine GPO zum Test einem User zugewiesen. Unser Server läuft mit Win Server 2012.

Ich habe im GPO-Editor eine RIchtlinie erzeugt und bei Benutzerkonfiguration das Power-Shell-Skript bei Anmelden zugewiesen.
Bei Sicherheitsfilterung habe ich den entsprechenden User ausgewählt.
Wenn ich mich nun mit dem User am Client anmelde passiert garnichts.

Mit dem Administrator-Konto habe ich die Powershell manuell gestartet. Das hat soweit gepasst.


Warum wird das Skript bei der Anmeldung des Users nicht gestartet?

Gruß Martin
Mitglied: 138810
18.03.2019, aktualisiert um 14:47 Uhr
Wenn ich mich nun mit dem User am Client anmelde passiert garnichts.
ist ja auch logisch, "Logon" Skripte werden mit den Rechten des angemeldeten Users gestartet und mit diesen Credentials kannst du keine System-Apps entfernen, dazu muss die Shell elevated laufen und das tut sie wenn du stattdessen mit einem Startskript arbeitest, das läuft als NT AUTORITÄT\SYSTEM. Dazu musst du dann stattdessen die GPO auf die Computer filtern und das Skript als Startskript definieren.
Bitte warten ..
Mitglied: erikro
18.03.2019 um 14:39 Uhr
Moin,

wie sieht denn das Skript aus? Sowas habe ich hier auch und das läuft wie Schmitz' Katze.

Liebe Grüße

Erik
Bitte warten ..
Mitglied: Pjordorf
18.03.2019 um 14:45 Uhr
Hallo,

Zitat von Lauchheimer:
Warum wird das Skript bei der Anmeldung des Users nicht gestartet?
Das Skript wird gestartet aber da die rechte nicht passen passiert nichts
Das Skript wird gar nicht erst gestartet
Bau ein Pause ein, dann siehst du ob das Skript gestartet wird oder nicht.

Gruß,
Peter
Bitte warten ..
Mitglied: Peace-D
18.03.2019 um 14:45 Uhr
Wird wohl zum einen an den Rechten liegen, wie freesolo schon erwähnt hat und zum anderen kann es auch sein, dass du den Rechner ebenfalls in der Sicherheitsfilterung angeben musst. Ich hatte nämlich auch schon öfter dein Problem, nur umgekehrt (sprich, GPO mit Computereinstellungen und ich musste auch den User angeben).
Bitte warten ..
Mitglied: erikro
18.03.2019 um 14:49 Uhr
Moin,

Zitat von 138810:

Wenn ich mich nun mit dem User am Client anmelde passiert garnichts.
ist ja auch logisch, "Logon" Skripte werden mit den Rechten des angemeldeten Users gestartet und mit diesen Credentials kannst du keine System-Apps entfernen, dazu muss die Shell elevated laufen und das tut sie wenn du stattdessen mit einem Startskript arbeitest, das läuft als NT AUTORITÄT\SYSTEM.

Bei mir funktioniert das wunderbar unter dem User, die userabhängigen Apps zu eliminieren (remove-appxpackage). Das muss auch so sein, da die ja bei jedem neuen User wieder aus dem Image reingeschmiert werden. Ich hasse Windows 10.

Liebe Grüße

Erik
Bitte warten ..
Mitglied: 138810
18.03.2019, aktualisiert um 14:57 Uhr
Zitat von erikro:

Moin,

Zitat von 138810:

Wenn ich mich nun mit dem User am Client anmelde passiert garnichts.
ist ja auch logisch, "Logon" Skripte werden mit den Rechten des angemeldeten Users gestartet und mit diesen Credentials kannst du keine System-Apps entfernen, dazu muss die Shell elevated laufen und das tut sie wenn du stattdessen mit einem Startskript arbeitest, das läuft als NT AUTORITÄT\SYSTEM.

Bei mir funktioniert das wunderbar unter dem User, die userabhängigen Apps zu eliminieren (remove-appxpackage). Das muss auch so sein, da die ja bei jedem neuen User wieder aus dem Image reingeschmiert werden. Ich hasse Windows 10.

Les den Text noch mal genau ... Besonders das Wort "System"
ja bei jedem neuen User wieder aus dem Image reingeschmiert
Deshalb entfernt man solche Apps direkt im Provisioning(Remove-AppxProvisionedPackage) des Images, dann passiert sowas auch nicht!
Bitte warten ..
Mitglied: erikro
18.03.2019 um 15:05 Uhr
Moin,

Zitat von 138810:
Les den Text noch mal genau ... Besonders das Wort "System"

Da hast Du recht. Aber ich habe den TO anders verstanden.

ja bei jedem neuen User wieder aus dem Image reingeschmiert
Deshalb entfernt man solche Apps direkt im Provisioning(Remove-AppxProvisionedPackage) des Images, dann passiert sowas auch nicht!

Cool, danke. Früher ging das ja mit remove-appxpackage -AllUsers. Aber das funktioniert ja leider nicht mehr. Gehen beim Parameter PackageName Wildcards oder regex? Oder muss ich jedes einzeln wegskripten?

Liebe Grüße

Erik
Bitte warten ..
Mitglied: 138810
18.03.2019, aktualisiert um 15:31 Uhr
Zitat von erikro:
Cool, danke. Früher ging das ja mit remove-appxpackage -AllUsers.
Das ist was komplett anderes. Wenn man eine App aus dem Provisioning entfernt landet diese bei neu angelegten Profilen auch nicht mehr im Profil. Das AllUsers bei deinem Befehl hier bedeutet entferne die App bei allen Usern aus den Profilen aber nicht aus dem Provisioning, d.h. also wenn du nur AllUsers benutzt landet die App trotzdem wieder bei neu angelegten Userprofilen weil sie eben auch noch im Provisioning-Bereich liegt.

Aber das funktioniert ja leider nicht mehr. Gehen beim Parameter PackageName Wildcards oder regex? Oder muss ich jedes einzeln wegskripten?
Also das kannst du ja hier nachlesen:
https://docs.microsoft.com/en-us/powershell/module/dism/remove-appxprovi ...
-- > ;Accept wildcard characters: False

Alle Apps solltest du aber nicht aus dem Provisioning entfernen, denn ein paar davon sind für das System nötig!
Bitte warten ..
Mitglied: erikro
18.03.2019 um 15:38 Uhr
Zitat von 138810:

Zitat von erikro:
Cool, danke. Früher ging das ja mit remove-appxpackage -AllUsers.
Das ist was komplett anderes. Wenn man eine App aus dem Provisioning entfernt landet diese bei neu angelegten Profilen auch nicht mehr im Profil. Das AllUsers bei deinem Befehl hier bedeutet entferne die App bei allen Usern aus den Profilen aber nicht aus dem Provisioning, d.h. also wenn du nur AllUsers benutzt landet die App trotzdem wieder bei neu angelegten Userprofilen weil sie eben auch noch im Provisioning-Bereich liegt.

Das -AllUsers funktioniert ja leider sowieso nicht mehr.


Aber das funktioniert ja leider nicht mehr. Gehen beim Parameter PackageName Wildcards oder regex? Oder muss ich jedes einzeln wegskripten?
Also das kannst du ja hier nachlesen:
https://docs.microsoft.com/en-us/powershell/module/dism/remove-appxprovi ...
-- > ;Accept wildcard characters: False

Jo, schon gemacht. Danke Dir nochmal.
Bitte warten ..
Mitglied: 138810
18.03.2019, aktualisiert um 15:46 Uhr
Das -AllUsers funktioniert ja leider sowieso nicht mehr.
Das kommt darauf an was du da in den Parameter hinein interpretierst.
-AllUsers
Indicates that this cmdlet lists app packages for all user accounts on the computer. To use this
parameter, you must run the command by using administrator permissions.
Der Parameter an sich funktioniert so wie vorgesehen.

Jo, schon gemacht. Danke Dir nochmal.
Keine Ursache.
Bitte warten ..
Mitglied: erikro
18.03.2019 um 15:49 Uhr
Zitat von 138810:

Das -AllUsers funktioniert ja leider sowieso nicht mehr.
Das kommt darauf an was du da in den Parameter hinein interpretierst.
-AllUsers
Indicates that this cmdlet lists app packages for all user accounts on the computer. To use this
parameter, you must run the command by using administrator permissions.
Der Parameter an sich funktioniert so wie vorgesehen.

Ja, eigentlich. Aber: "Wenn Sie die App nicht nur für einen Nutzer deinstallieren wollen, müssen Sie einfach "-AllUsers" ergänzen, also Get-AppxPackage -AllUsers *Programmname* | RemoveAppxPackage eingeben. Unter manchen neueren Windows-Version funktioniert die Eingabe von "-AllUsers" allerdings nicht mehr." (https://www.heise.de/tipps-tricks/Windows-10-Vorinstallierte-Apps-deinst ...). Die Erfahrung habe ich leider gemacht, dass ab einem bestimmten Update von Windows 10 mein Aufräumskript nicht mehr funktionierte.
Bitte warten ..
Mitglied: Lauchheimer
29.03.2019 um 16:06 Uhr
Tag Leute,

Ich habe ganz einfaches Skript erstellt, das den Text "Hallo ausgibt" und danach Pause.

Wenn ich mich jedoch am Client anmelde passiert nicht. Wenn ich das Skript manuell ausführe funktioniert alles.
Ich habe eine GPO erstellt, das Skript im Sysvol abgelegt und einen Testuser zugewiesen.

Was habe ich vergessen?
Woran kann das liegen?

Gruß Martin
Bitte warten ..
Mitglied: Pjordorf
29.03.2019 um 16:35 Uhr
Hallo,

Zitat von Lauchheimer:
Wenn ich mich jedoch am Client anmelde passiert nicht.
Dann hast du was falsch gemacht, falsch eingestellt das z.B. deine GPO nicht greift und ausgeführt wird usw. Anstelle deiner Textbox mit "Halo augibt" reicht ein Pause in einer CMD.Passen die Rechte,was sagt das Ereignissprotokoll, Was sagt es wenn du klärst ob die GPO überhaupt geladen und ausgeführt werden soll?
https://www.security-insider.de/fehler-beim-einsatz-von-gruppenrichtlini ...
https://www.windowspro.de/tool/group-policy-log-view-fehler-bei-gpo-ausf ...
https://www.faq-o-matic.net/2013/03/18/der-grose-group-policy-troublesho ...
https://www.tecchannel.de/a/windows-praxis-gruppenrichtlinien-ueberpruef ...
Schau auch wie deine Einstellungen sind.

Was habe ich vergessen?
Uns wichtiges zu nennen. Wir können jetzt nur Raten, und das macht keinen Spass.

Gruß,
Peter
Bitte warten ..
Mitglied: 138810
29.03.2019, aktualisiert um 17:22 Uhr
Zitat von Lauchheimer:

Tag Leute,

Ich habe ganz einfaches Skript erstellt, das den Text "Hallo ausgibt" und danach Pause.

Wenn ich mich jedoch am Client anmelde passiert nicht. Wenn ich das Skript manuell ausführe funktioniert alles.
Vollkommen normal, denn Startskripte werden vor der Anmeldung ausgeführt und das unsichtbar für den User!!
Es gibt eine GPO die diese sichtbar macht, das sollte man aber nur zu Debugzwecken nutzen.

Außerdem muss dem Computerkonto Zugriff auf den Skriptordner gegeben werden nicht einem Userkonto, denn Startscripte laufen wie schon gesagt im Kontext des Computers nicht des Users!

Du solltest dich dringend diesbezüglich weiterbilden .
Bitte warten ..
Mitglied: Lauchheimer
30.03.2019 um 09:03 Uhr
Zitat von 138810:

Vollkommen normal, denn Startskripte werden vor der Anmeldung ausgeführt und das unsichtbar für den User!!
Es gibt eine GPO die diese sichtbar macht, das sollte man aber nur zu Debugzwecken nutzen.

Außerdem muss dem Computerkonto Zugriff auf den Skriptordner gegeben werden nicht einem Userkonto, denn Startscripte laufen wie schon gesagt im Kontext des Computers nicht des Users!

Du solltest dich dringend diesbezüglich weiterbilden .

Hier liegt ein Missverständnis vor.
Ich habe ein Logon-Skrpit erstellt, Kein Start-Skript.

Außerdem habe ich am Client "Anweisungen in Anmeldeskripts während der Ausführung anzeigen" aktiviert.

GPResult kat keine Fehler angezeigt. Jedoch erscheint die Warnmeldung: "Eine schnelle Verbindung wurde entdeckt.
Ich kann allerdings keinen Eintrag bezüglich des Anmelde-Skripts finden.


Hat jemand noch eine Idee was fehlen könnte?

Gruß Martin
Bitte warten ..
Mitglied: 138810
LÖSUNG 30.03.2019, aktualisiert um 09:15 Uhr
Jepp, deine GPO zieht nicht.
Bitte lese auch diesen wichtigen Hinweis:
https://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfun ...
Seit einiger Zeit muss nämlich das Computerobjekt ebenfalls Lese-Rechte auf die GPO bekommen! Ist das nicht der Fall wird die GPO auch nicht beim User angewendet.
Die typischen GPO Anfängerfehler halt.
Bitte warten ..
Mitglied: Lauchheimer
30.03.2019 um 09:33 Uhr
Dankschön. Das war die Lösung.

Ich hatte nur einen User zugewiesen, jedoch keine PC.

Gruß Martin
Bitte warten ..
Ähnliche Inhalte
Microsoft

PowerShell Logon-Skript über Gruppenrichtlinie

gelöst Frage von newit1Microsoft3 Kommentare

Hallo zusammen, ich habe ein PowerShell Skript über eine Gruppenrichtlinie bei der "Benutzer-Konfiguration" zum Anmelden eingebunden. Das Skript selbst ...

Exchange Server

GPO - Logon-Skript wird nicht ausgeführt

Frage von Der-PhilExchange Server4 Kommentare

Hallo! Seit heute werden meine Logon-Skripte, die ich über GPOs festlege nicht mehr gestartet. AD-Domaincontroller laufen unter Windows 2012 ...

Batch & Shell

Powershell - Skript funktioniert nicht

Frage von Neuling26Batch & Shell10 Kommentare

Hallo zusammen, ich möchte folgenden Powershell Befehl ausführen: Aus einer Textdatei, in der mehrere Server mit FQDN Namen eingetragen ...

KiXtart

Aufgemotztes Logon Skript Vorschläge

Frage von AvaatarKiXtart2 Kommentare

Hallo zusammen, ich möchte unser in die Jahre gekommenes Logon Skript ablösen. Das Skript macht nichts besonders schweres, es ...

Neue Wissensbeiträge
Sicherheit
Störung bei Telematikinfrasturktur GEMATIK
Information von lcer00 vor 3 StundenSicherheit

Am 27. Mai 2020 ist es offenbar zu einer Fehlkonfiguration in der Zentralen Telematikinfrastruktur gekommen. Nähreres dazu findet sich ...

Informationsdienste

Trump vs Twitter - Angriff auf die Meinungsfreiheit?

Information von Frank vor 1 TagInformationsdienste3 Kommentare

Trump nutzt Twitter rege. Nach Hinweisen auf Falschbehauptungen drohte er dem Dienst. Was das bedeutet und die Konsequenzen dazu ...

Viren und Trojaner

Trendmicro Treiber erkennt Treibertestumgebung und verhält sich dann anders

Information von DerWoWusste vor 1 TagViren und Trojaner

Wenn das stimmen sollte, haben wir einen dem Abgasskandal ähnlichen Fall.

Webbrowser
Mozilla Firefox 77 verfügbar
Information von Frank vor 1 TagWebbrowser

Mozilla hat Firefox Version 77 freigegeben. Neben Verbesserungen an "Pocket", einigen Sicherheitsupdates, einer bessere Übersicht für TLS-Zertifikate, wurde der ...

Heiß diskutierte Inhalte
Sicherheits-Tools
Passwortmanager DGSVO (Deutscher Anbieter - Hoster)
Frage von SoccerdeluxSicherheits-Tools35 Kommentare

Hallo zuammen, ich arbeite für meine Kunden auf unterschiedlichen Geräten / Notebooks. Ich ärgere mich jedesmal, das ich mein ...

Netzwerkgrundlagen
VPN Verbindung zwischen Cisco RV180 und Cisco RV340
Frage von dodo-rNetzwerkgrundlagen19 Kommentare

Hallo! Ich habe folgende Situation: Zwei Wohnungen - in der ersten Wohnung befindet sich ein NAS das an einem ...

Batch & Shell
Ip-Adresse-Konfiguration speichern zur Wiederherstellung
gelöst Frage von alex1991Batch & Shell19 Kommentare

Hallo, ich bin eigentlich nicht in der IT-Abteilung, aber als Programmierer bin ich noch am nächsten dran. Deshalb wurde ...

SAN, NAS, DAS
QNAP NAS - CIFS - Berechtigungen
Frage von emeriksSAN, NAS, DAS17 Kommentare

Hi, ich habe hier ein QNAP NAS bei welchem beim Zugriff mit Windows auf die Freigaben "Jeder - Vollzugriff" ...