15
Scheduled shutdown GPO
Liebe Administratoren,
Ich habe vor alle Rechner im Unternehmen Täglich, Zeitgesteuert und falls zu diesem Zeitpunkt der Computer bereits 30min Idle ist herunterzufahren.
Folgende Punkte sind mir dabei wichtig bzw. zu beachten:
• User haben keine Adminrechte.
• Es sollten einzelne Rechner (Computerobjekte) von der GPO ausgenommen werden können. Ob über Security filtering oder auf OU Ebene ist mir dabei egal.
• Server 2016 mit Windows 10+7 Clients
Meine Idee war eine scheduled task mit schutdown -f -s -t 120 anzulegen und zeitgesteuert auszuführen. Diese wird dann mittels einer computerpolicy verteilt. Ausgeführt wird das Ganze mit %logondomain%\%logonuser% oder SYSTEM.
Der Task sollte soweit ich weis in der Aufgabenplanung auf den Lokalen Rechnern erscheinen – tut Sie aber nicht.
Ich habe langsam einen Knoten im Hirn und denke die Lösung kann nicht so kompliziert sein.
Vielleicht kann mir hier jemand den entscheidenden Tipp geben.
Gerne auch über ein Script oder eine andere Lösung.
Danke!
Ich habe vor alle Rechner im Unternehmen Täglich, Zeitgesteuert und falls zu diesem Zeitpunkt der Computer bereits 30min Idle ist herunterzufahren.
Folgende Punkte sind mir dabei wichtig bzw. zu beachten:
• User haben keine Adminrechte.
• Es sollten einzelne Rechner (Computerobjekte) von der GPO ausgenommen werden können. Ob über Security filtering oder auf OU Ebene ist mir dabei egal.
• Server 2016 mit Windows 10+7 Clients
Meine Idee war eine scheduled task mit schutdown -f -s -t 120 anzulegen und zeitgesteuert auszuführen. Diese wird dann mittels einer computerpolicy verteilt. Ausgeführt wird das Ganze mit %logondomain%\%logonuser% oder SYSTEM.
Der Task sollte soweit ich weis in der Aufgabenplanung auf den Lokalen Rechnern erscheinen – tut Sie aber nicht.
Ich habe langsam einen Knoten im Hirn und denke die Lösung kann nicht so kompliziert sein.
Vielleicht kann mir hier jemand den entscheidenden Tipp geben.
Gerne auch über ein Script oder eine andere Lösung.
Danke!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 372444
Url: https://administrator.de/contentid/372444
Ausgedruckt am: 22.11.2024 um 17:11 Uhr
15 Kommentare
Neuester Kommentar
Hi,
d.h. Deine Frage ist: Warum wird die Aufgabe nicht erstellt?"
Wird denn die GPO überhaupt angewendet? Hast Du das mit "gpresult" überprüft?
Wenn nein, dann ist es klar, dass die Aufgabe nicht erstellt wird. Dann kannst Du alles andere erstmal vergessen und Dich nur darauf konzentrieren, warum diese GPO nicht angewendet wird und dies lösen.
Wenn die GPO (dann) angewendet wird aber die Aufgabe immer noch nicht erstellt wird, dann machst Du dort weiter. Hier sollte man als erstes in den Eventlogs nachschauen. Man kann extra Logfiles für die GPP's aktivieren.
usw. usw.
Schritt für Schritt
E.
d.h. Deine Frage ist: Warum wird die Aufgabe nicht erstellt?"
Wird denn die GPO überhaupt angewendet? Hast Du das mit "gpresult" überprüft?
Wenn nein, dann ist es klar, dass die Aufgabe nicht erstellt wird. Dann kannst Du alles andere erstmal vergessen und Dich nur darauf konzentrieren, warum diese GPO nicht angewendet wird und dies lösen.
Wenn die GPO (dann) angewendet wird aber die Aufgabe immer noch nicht erstellt wird, dann machst Du dort weiter. Hier sollte man als erstes in den Eventlogs nachschauen. Man kann extra Logfiles für die GPP's aktivieren.
usw. usw.
Schritt für Schritt
E.
Hallo,
Dnake für die Antwort!
Ja, die GPO wird angewendet.
Es geht mir auch weniger darum was an meiner GPO falsch ist
Sondern Ich suche eher nach einer Möglichkeit oder einen Denkanstoß wie meine Anforderungen umzusetzen wäre.
Gehen wir davon aus Ich hätte noch keine GPO und würde gerne folgende Punkte in einer neuen verpacken:
- Automatisches Herunterfahren um 19:00, außer ein User arbeitet noch und das Täglich.
- Ausnahme einzelner Computer (Computerobjekte im AD) aus der GPO.
- Clients Win7/10x64 ohne Admin Rechte
wie würdet Ihr das angehen?
Dnake für die Antwort!
Ja, die GPO wird angewendet.
Es geht mir auch weniger darum was an meiner GPO falsch ist
Sondern Ich suche eher nach einer Möglichkeit oder einen Denkanstoß wie meine Anforderungen umzusetzen wäre.
Gehen wir davon aus Ich hätte noch keine GPO und würde gerne folgende Punkte in einer neuen verpacken:
- Automatisches Herunterfahren um 19:00, außer ein User arbeitet noch und das Täglich.
- Ausnahme einzelner Computer (Computerobjekte im AD) aus der GPO.
- Clients Win7/10x64 ohne Admin Rechte
wie würdet Ihr das angehen?
Hallo Wombat
In der Theorie so:
Wie wärs, wenn du das mal zuerst inklusive recherchieren, probierst... danach wenn konkrete Fragen auftauchen, wieder posten.
LG
KMUlife
In der Theorie so:
- Geplanter Task per GPO aursollen welcher immer 19:00 startet
- Ausnahmen in Gruppenrichtlinie definieren
- Task per z.B. SYSTEM-User ausführen
Wie wärs, wenn du das mal zuerst inklusive recherchieren, probierst... danach wenn konkrete Fragen auftauchen, wieder posten.
LG
KMUlife
Hallo,
Wir hatten mal Aehnliches. War ein geplanter Task der um 21:00 startete und ein Eigenbau-Programm (per AutoIT gebaut) aufrief welches pruefte ob bestimmte Programme (in unserem Fall proquota.exe, sdjexec.exe und sxpeng32.exe) liefen, wenn nicht wurde der Rechner herunter gefahren.
Ackere Dich mal durch bei den Geplanten Aufgaben und dem Trigger "On Idle". Vielleicht reicht das ja fuer Dich.
Ansonsten musst Du einen Weg finden, wie Du erfaehrst ob der Benutzer arbeitet oder halt einfach nur angemeldet ist. Stichwort ist auch hier "idle". Dann wenn "idle" halt PC runter fahren.
Eine niedliche Vielleicht-Loesung mit AutoIt ist hier.
https://community.spiceworks.com/topic/440560-auto-logoff
Angepasst (Zeile 15) fuer herunterfahren anstatt abmelden:
Geht garantiert auch mit Powershell oder anderen Mitteln.
BFF
außer ein User arbeitet noch und das Täglich.
Wir hatten mal Aehnliches. War ein geplanter Task der um 21:00 startete und ein Eigenbau-Programm (per AutoIT gebaut) aufrief welches pruefte ob bestimmte Programme (in unserem Fall proquota.exe, sdjexec.exe und sxpeng32.exe) liefen, wenn nicht wurde der Rechner herunter gefahren.
Ackere Dich mal durch bei den Geplanten Aufgaben und dem Trigger "On Idle". Vielleicht reicht das ja fuer Dich.
Ansonsten musst Du einen Weg finden, wie Du erfaehrst ob der Benutzer arbeitet oder halt einfach nur angemeldet ist. Stichwort ist auch hier "idle". Dann wenn "idle" halt PC runter fahren.
Eine niedliche Vielleicht-Loesung mit AutoIt ist hier.
https://community.spiceworks.com/topic/440560-auto-logoff
Angepasst (Zeile 15) fuer herunterfahren anstatt abmelden:
#NoTrayIcon
#include <Timers.au3>
Const $IdleTimeToLogoff = (1 * 60 * 1000) ; 1 minute, for testing
Global $last = 0
Global $triggered = false
While(True)
Sleep(10 * 1000); 10sec
Global $i = _Timer_GetIdleTime()
If Not $triggered Then
if $i < $last Then
$triggered = True
EndIf
$last = $i
ElseIf $i > $IdleTimeToLogoff Then
ShellExecute("c:\windows\system32\shutdown.exe", "-f -t 0")
Exit
EndIf
WEndGeht garantiert auch mit Powershell oder anderen Mitteln.
BFF
Hallo und Danke für die Antworten,
Ich habe nun nochmal von vorne angefangen und mit den Grundeinstellungen begonnen:
Das ist nun nur die Richlinie mit Standard Security Einstellungen auf einen Standard Benutzer angewendet.
Die GPO erscheint beim Jeweilgen Benutzer in den Angewendeten Gruppenrichlinien mit einem gpresult /r
- in der Aufgabenplanung aber nicht. Wie kann das sein?
Ich habe nun nochmal von vorne angefangen und mit den Grundeinstellungen begonnen:
Das ist nun nur die Richlinie mit Standard Security Einstellungen auf einen Standard Benutzer angewendet.
Die GPO erscheint beim Jeweilgen Benutzer in den Angewendeten Gruppenrichlinien mit einem gpresult /r
- in der Aufgabenplanung aber nicht. Wie kann das sein?
Hi
Wieso der Task nicht angelegt wird, kann ich dir grad nicht sagen.
Was sicher nicht funktioniert ist die Zeile: "run shutdown"
Dort gibste entweder die cmd.exe an und dann als argument shutdown oder aber gleich die shutdown.exe (inklusive Pfad!) und dann deine Argumente.
Hast du das ganze Prozedere schon mal ohne GPO geprüft? Erstell doch zuerst mal manuell ne Aufgabe bei dir auf dem System und teste das ganze, bevor du solche Dinge per GPO machst. Dann wäre dir obenstehendes nämlich schon mal aufgefallen.
Edit: Öffnest du die Aufgabenplanung mit dem Standardbenutzer oder mit einem Admin? Könnte noch sein, dass du die Aufgabe einfach nicht siehst, sie aber angelegt wurde.
Grüsse
KMUlife
Wieso der Task nicht angelegt wird, kann ich dir grad nicht sagen.
Was sicher nicht funktioniert ist die Zeile: "run shutdown"
Dort gibste entweder die cmd.exe an und dann als argument shutdown oder aber gleich die shutdown.exe (inklusive Pfad!) und dann deine Argumente.
Hast du das ganze Prozedere schon mal ohne GPO geprüft? Erstell doch zuerst mal manuell ne Aufgabe bei dir auf dem System und teste das ganze, bevor du solche Dinge per GPO machst. Dann wäre dir obenstehendes nämlich schon mal aufgefallen.
Edit: Öffnest du die Aufgabenplanung mit dem Standardbenutzer oder mit einem Admin? Könnte noch sein, dass du die Aufgabe einfach nicht siehst, sie aber angelegt wurde.
Grüsse
KMUlife
Hallo,
die ganze Sache funktioniert genau so wenn Ich die Task als User erstelle und ausführe.
shutdown /s /f /t 0 ist devinitv richtig.
Wegen der nicht auftauchenden Task:
"Scheduled Tasks are only visible to the user who created them or if the user is an Administrator.
If you start a powershell console without elevation it run's in user context with its normal user token unelevated! Therefore the console cannot see this tasks."
Könnte das der Grund sein?
die ganze Sache funktioniert genau so wenn Ich die Task als User erstelle und ausführe.
shutdown /s /f /t 0 ist devinitv richtig.
Wegen der nicht auftauchenden Task:
"Scheduled Tasks are only visible to the user who created them or if the user is an Administrator.
If you start a powershell console without elevation it run's in user context with its normal user token unelevated! Therefore the console cannot see this tasks."
Könnte das der Grund sein?
Zitat von @DasWombat1993:
Hallo,
die ganze Sache funktioniert genau so wenn Ich die Task als User erstelle und ausführe.
shutdown /s /f /t 0 ist devinitv richtig.
Hallo,
die ganze Sache funktioniert genau so wenn Ich die Task als User erstelle und ausführe.
shutdown /s /f /t 0 ist devinitv richtig.
Dann ist das mybad... sorry!
Wegen der nicht auftauchenden Task:
"Scheduled Tasks are only visible to the user who created them or if the user is an Administrator.
If you start a powershell console without elevation it run's in user context with its normal user token unelevated! Therefore the console cannot see this tasks."
Könnte das der Grund sein?
"Scheduled Tasks are only visible to the user who created them or if the user is an Administrator.
If you start a powershell console without elevation it run's in user context with its normal user token unelevated! Therefore the console cannot see this tasks."
Könnte das der Grund sein?
Starte die Aufgabenplanung mal als Admin, dann weisst du's =).
Aber war ja auch meine Vermutung:
Edit: Öffnest du die Aufgabenplanung mit dem Standardbenutzer oder mit einem Admin? Könnte noch sein, dass du die Aufgabe einfach nicht siehst, sie aber angelegt wurde.
LG
KMUlife
Aber war ja auch meine Vermutung:
//Edit: Öffnest du die Aufgabenplanung mit dem Standardbenutzer oder mit einem Admin? Könnte noch sein, dass du die Aufgabe einfach nicht >siehst, sie aber angelegt wurde.
//Edit: Öffnest du die Aufgabenplanung mit dem Standardbenutzer oder mit einem Admin? Könnte noch sein, dass du die Aufgabe einfach nicht >siehst, sie aber angelegt wurde.
Danke, die Task ist als Administrator zu sehen.
Das Ist ja schon mal ein Fortschritt.
Also wir die Richlinie richtig verarbeitet und die Task angelegt.
Nun stellt sich nur noch die Frage warum wird der Befehl nicht ausgeführt?
Aktuell sieht die GPO so aus:
Genau so funktioniert die Task wenn Ich sie Lokal am Rechner als Standart User anlege und ausführe.
OK blödsinn geredet, jetzt funktioniert die Task Zeitgesteuert 
Hallo Wombat
Also alle Fragen geklärt?
Wenn Ja, gerne Beitrag 'als gelöst markieren'.
LG
KMUlife
Also alle Fragen geklärt?
Wenn Ja, gerne Beitrag 'als gelöst markieren'.
LG
KMUlife
Falls es für die Zukunft jemanden Interessiert, Ich habe das Problem nun folgendermaßen gelöst:
1. Erstellen einer Scheduled Task als UserGPO
2. Als User wird %LogonDomain%\%LogonUser% verwendet
3. Als Trigger wurde „Täglich um 18:45“ gewählt.
4. Als Action „shutdown /s /f /t 120“
5. Als Condition habe Ich „If Idle for 30min – wait 1h for Idle“ gesetzt.
6. Um auf Computerkonten einzuschränken habe Ich die betroffenen Rechner in eine Gruppe gegeben und über das „Item-level targeting“ der GPO auf die Gruppe eingeschränkt.
Dadurch habe Ich all meine Anforderungen erfüllt ohne groß zu Skripten.
Danke für eure Hilfe!
1. Erstellen einer Scheduled Task als UserGPO
2. Als User wird %LogonDomain%\%LogonUser% verwendet
3. Als Trigger wurde „Täglich um 18:45“ gewählt.
4. Als Action „shutdown /s /f /t 120“
5. Als Condition habe Ich „If Idle for 30min – wait 1h for Idle“ gesetzt.
6. Um auf Computerkonten einzuschränken habe Ich die betroffenen Rechner in eine Gruppe gegeben und über das „Item-level targeting“ der GPO auf die Gruppe eingeschränkt.
Dadurch habe Ich all meine Anforderungen erfüllt ohne groß zu Skripten.
Danke für eure Hilfe!
Hi Wombat
Danke für die letzten Infos!
Schau doch noch, dass keine Domänennamen, Computernamen & Usernamen/Gruppen auf den Printscreens ersichtlich sind. (Zensieren)
Etwas paranoid ist es ja, aber man weiss ja nie
.
LG
KMUlife
Danke für die letzten Infos!
Schau doch noch, dass keine Domänennamen, Computernamen & Usernamen/Gruppen auf den Printscreens ersichtlich sind. (Zensieren)
Etwas paranoid ist es ja, aber man weiss ja nie
.LG
KMUlife
Wie kann ich einstellen das die Users eine Benachritigung bzw. ein Fenster auf dem Desktop bekommen wo steht PC WIRD in 2 Minuten (zeit angepassung) so lange der User nicht abbricht wird der Task ausgefüht sonst nicht falls er auf Abrrechen klickst
Hallo Sameer,
einfach ein Script schreiben das deine Showdown Routine mit den Abfragen enthält und in meiner Lösung anstatt dem Befehl verwenden.
einfach ein Script schreiben das deine Showdown Routine mit den Abfragen enthält und in meiner Lösung anstatt dem Befehl verwenden.
