6
PowerShell Execution Policy per GPO festlegen
Hallo zusammen,
ich habe ein kleines Problem mit einer GPO.
Ich möchte ein PowerShell-Skript bei der Benutzeranmeldung ausführen, welche eine System-DSN anlegt.
Das PowerShell-Skript an sich funktioniert soweit.
Nur sind die Clients ja standardmäßig so eingestellt, dass keine PowerShell-Skripts ausgeführt werden dürfen.
Wenn ich am Client selbst über die Powershell ISE mittels "set execution-policy" das entsprechend anpasse, startet das Skript auch bei der Benutzeranmeldung und legt die DSN an.
Nun zum eigentlichen Problem:
ich hab nun in etlichen Foren bereits Beiträge gefunden, wie man das per GPO anpasst, dass PowerShell-Skripts ausgeführt werden dürfen.
Ich such nun schon die ganze Zeit nach folgendem Punkt im Gruppenrichtlinien-Editor auf unserem DomainController, aber ich find den nicht...
Laut diversen Foren- und Blog-Einträgen soll das bei Computerkonfiguration, sowie Benutzerkonfiguration unter folgenden Pfaden zu finden sein:
Richtlinien --> Administrative Vorlagen --> Windows-Komponenten --> Windows PowerShell
Diesen Punkt gibts aber bei uns am DomainController nicht, auf meinem Windows 10 Client ist er aber da.
Muss ich da was separates aktivieren am Server?
Server: Windows Server 2012 R2
Client: Windows 10 Pro - v1803
Bitte um Hilfe.
Gruß
Schmoiz
ich habe ein kleines Problem mit einer GPO.
Ich möchte ein PowerShell-Skript bei der Benutzeranmeldung ausführen, welche eine System-DSN anlegt.
Das PowerShell-Skript an sich funktioniert soweit.
Nur sind die Clients ja standardmäßig so eingestellt, dass keine PowerShell-Skripts ausgeführt werden dürfen.
Wenn ich am Client selbst über die Powershell ISE mittels "set execution-policy" das entsprechend anpasse, startet das Skript auch bei der Benutzeranmeldung und legt die DSN an.
Nun zum eigentlichen Problem:
ich hab nun in etlichen Foren bereits Beiträge gefunden, wie man das per GPO anpasst, dass PowerShell-Skripts ausgeführt werden dürfen.
Ich such nun schon die ganze Zeit nach folgendem Punkt im Gruppenrichtlinien-Editor auf unserem DomainController, aber ich find den nicht...
Laut diversen Foren- und Blog-Einträgen soll das bei Computerkonfiguration, sowie Benutzerkonfiguration unter folgenden Pfaden zu finden sein:
Richtlinien --> Administrative Vorlagen --> Windows-Komponenten --> Windows PowerShell
Diesen Punkt gibts aber bei uns am DomainController nicht, auf meinem Windows 10 Client ist er aber da.
Muss ich da was separates aktivieren am Server?
Server: Windows Server 2012 R2
Client: Windows 10 Pro - v1803
Bitte um Hilfe.
Gruß
Schmoiz
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 426302
Url: https://administrator.de/contentid/426302
Printed on: April 27, 2024 at 01:04 o'clock
6 Comments
Latest comment
Hi,
hast Du nur einen DC?
Falls ja:
Ersetze die ADMX-Dateien
Wenn mehrere DC, dann für alle ausführen oder über die Einführung eines Central Store nachdenken.
E.
hast Du nur einen DC?
Falls ja:
Ersetze die ADMX-Dateien
xcopy \\win10-computer\c$\Windows\PolicyDefinitions \\domaincontroller\c$\Windows\PolicyDefinitions /S /E /DWenn mehrere DC, dann für alle ausführen oder über die Einführung eines Central Store nachdenken.
E.
Moin,
Wie bindest Du das Skript ein? Powershell-Skripts, die per GPO zuugewiesen werden, laufen immer auch ohne Änderungen an der Execution Policy.
Das solltest Du lassen, da dann der User alle Skripte ausführen darf. Das ist nicht gut.
Richte einen serverseitigen Speicherort für die GPOs ein. Siehe der Link Central Store von @emeriks.
hth
Erik
Zitat von @Schmoiz:
Hallo zusammen,
ich habe ein kleines Problem mit einer GPO.
Ich möchte ein PowerShell-Skript bei der Benutzeranmeldung ausführen, welche eine System-DSN anlegt.
Hallo zusammen,
ich habe ein kleines Problem mit einer GPO.
Ich möchte ein PowerShell-Skript bei der Benutzeranmeldung ausführen, welche eine System-DSN anlegt.
Wie bindest Du das Skript ein? Powershell-Skripts, die per GPO zuugewiesen werden, laufen immer auch ohne Änderungen an der Execution Policy.
Wenn ich am Client selbst über die Powershell ISE mittels "set execution-policy" das entsprechend anpasse, startet das Skript auch bei der Benutzeranmeldung und legt die DSN an.
Das solltest Du lassen, da dann der User alle Skripte ausführen darf. Das ist nicht gut.
Muss ich da was separates aktivieren am Server?
Richte einen serverseitigen Speicherort für die GPOs ein. Siehe der Link Central Store von @emeriks.
hth
Erik
Was etwas seltsam ist: diese Policy gibt es ja seit 10 Jahren. Auf unserem 2012 R2 ist sie drauf, ohne Modifikation der ADMX.
Zitat von @DerWoWusste:
Was etwas seltsam ist: diese Policy gibt es ja seit 10 Jahren. Auf unserem 2012 R2 ist sie drauf, ohne Modifikation der ADMX.
Was etwas seltsam ist: diese Policy gibt es ja seit 10 Jahren. Auf unserem 2012 R2 ist sie drauf, ohne Modifikation der ADMX.
Stimmt, bei mir auch und sogar in beiden Abteilungen (Computer und Benutzer).
Zitat von @emeriks:
Wenn mehrere DC, dann für alle ausführen oder über die Einführung eines Central Store nachdenken.
Wenn mehrere DC, dann für alle ausführen oder über die Einführung eines Central Store nachdenken.
Wir haben zwei DC's und so wie ich das sehen kann, haben wir schon einen Central-Store. Die neuen Policies haben nur noch eine Größe ca. 500 Byte
Kann ich die Policy-Definition einfach rüber kopieren, ohne dass ich da was kaputt mache (wg. Domain-LVL, Win10 - WinServer2012R2, usw.)?!
Zitat von @erikro:
Wie bindest Du das Skript ein? Powershell-Skripts, die per GPO zuugewiesen werden, laufen immer auch ohne Änderungen an der Execution Policy.
Wie bindest Du das Skript ein? Powershell-Skripts, die per GPO zuugewiesen werden, laufen immer auch ohne Änderungen an der Execution Policy.
Hier hab ich im GP-Editor unter "Benutzerkonfiguration --> Richtlinien --> Windows-Einstellungen --> Skripts --> Anmelden" unter PowerShell-Skripts mein Skript eingefügt.
Die GPO greift bei denjenigen die die DSN bekommen sollen.
Ist da dran etwas falsch?
Bei mir lokal am Notebook greift die GPO, da ich dort eben die Execution-Policy testweise geändert hatte.
Zitat von @Schmoiz:
Hier hab ich im GP-Editor unter "Benutzerkonfiguration --> Richtlinien --> Windows-Einstellungen --> Skripts --> Anmelden" unter PowerShell-Skripts mein Skript eingefügt.
Hier hab ich im GP-Editor unter "Benutzerkonfiguration --> Richtlinien --> Windows-Einstellungen --> Skripts --> Anmelden" unter PowerShell-Skripts mein Skript eingefügt.
Ja, da gehört es hin und sollte dann auch ohne Änderungen an der Execution Policy laufen.