shooan
Goto Top

Start Skript will nicht GPO - Computerkonfiguration

Hallo,

ich möchte gerne den so genannten 4 K Hash von den Rechnern auslesen die Aktuell im Bestand sind.
Dies soll dazu dienen diese in In Tune (AutoPilot) hoch zu laden.

Einen Ansatze den ich habe ist das ich gerne ein Script was in einem Share auf einem Server liegt gerne per GPO Beim Starten ausführen möchte.

In diesem Share Liegt die Datei Hash.cmd

@ECHO OFF
echo Enabling WinRM
PowerShell -NoProfile -ExecutionPolicy Unrestricted -Command Enable-PSRemoting -SkipNetworkProfileCheck -Force
echo Gathering AutoPilot Hash
PowerShell -NoProfile -ExecutionPolicy Unrestricted -Command %~dp0Get-WindowsAutoPilotInfo.ps1 -ComputerName $env:computername -OutputFile %~dp0compHash.csv -append
echo Done!
pause

Im gleichen Share liegt auch die Datei Get-WindowsAutoPilotInfo.ps1 die vorher herunter geladen wurde.
Wenn man nun als Admin oder User die Hash.cmd Datei mit Admin rechten startet wird brav der Hash Wert ausgegeben in eine CSV Datei.

Soweit so gut. Nachdem nun eine neue GPO erstellt wurde und Computerkonfiguration - Richtlinien - Windows-Einstellungen - Skript wurde dann beim Starten das Hash.cmd Skript angegeben.

Leider tut sich nix mein Starten der Rechner. Weil unter der Computerkonfiguration sollte ja das Skript ja mit vollen Berechtigungen laufen und nicht die Einschrenkungen des benutzer unterliegen.
Wo liegt denn der Denkfehler?

Beste Grüße

Markus

Content-ID: 1855702816

Url: https://administrator.de/contentid/1855702816

Ausgedruckt am: 22.11.2024 um 20:11 Uhr

ArnoNymous
ArnoNymous 07.02.2022 aktualisiert um 16:34:06 Uhr
Goto Top
Moin,

Einen Ansatze den ich habe ist das ich gerne ein Script was in einem Share auf einem Server liegt gerne per GPO Beim Starten ausführen möchte.

Weil unter der Computerkonfiguration sollte ja das Skript ja mit vollen Berechtigungen laufen und nicht die Einschrenkungen des benutzer unterliegen.
Wo liegt denn der Denkfehler?

hat denn das Computerkonto auch Zugriff auf das freigegebene Verzeichnis mit dem Skript?

Gibts Meldungen im Eventlog?

Gruß
Doskias
Doskias 07.02.2022 aktualisiert um 16:39:27 Uhr
Goto Top
Moin
@ECHO OFF
echo Enabling WinRM
PowerShell -NoProfile -ExecutionPolicy Unrestricted -Command Enable-PSRemoting -SkipNetworkProfileCheck -Force
echo Gathering AutoPilot Hash
PowerShell -NoProfile -ExecutionPolicy Unrestricted -Command %~dp0Get-WindowsAutoPilotInfo.ps1  -ComputerName $env:computername -OutputFile %~dp0compHash.csv -append
echo Done!
pause

Bin mir grade nicht sicher, aber müsste nicht der gesamte Pfad angegeben werden und nicht nur der Name der PS1-Datei?

Gruß
Doskias
shooan
shooan 08.02.2022 um 07:23:32 Uhr
Goto Top
Zitat von @ArnoNymous:

Moin,

Einen Ansatze den ich habe ist das ich gerne ein Script was in einem Share auf einem Server liegt gerne per GPO Beim Starten ausführen möchte.

Weil unter der Computerkonfiguration sollte ja das Skript ja mit vollen Berechtigungen laufen und nicht die Einschrenkungen des benutzer unterliegen.
Wo liegt denn der Denkfehler?

hat denn das Computerkonto auch Zugriff auf das freigegebene Verzeichnis mit dem Skript?

Gibts Meldungen im Eventlog?

Gruß

Moin,

ja das war das ganze Spielchen. Die Computer haben gefehlt das ihnen der Zugriff darauf gewährt wird.
An Zwei Rechnern das ganze gestetet und es hat funktioniert.
shooan
shooan 08.02.2022 um 07:24:29 Uhr
Goto Top
Zitat von @Doskias:

Moin
@ECHO OFF
echo Enabling WinRM
PowerShell -NoProfile -ExecutionPolicy Unrestricted -Command Enable-PSRemoting -SkipNetworkProfileCheck -Force
echo Gathering AutoPilot Hash
PowerShell -NoProfile -ExecutionPolicy Unrestricted -Command %~dp0Get-WindowsAutoPilotInfo.ps1  -ComputerName $env:computername -OutputFile %~dp0compHash.csv -append
echo Done!
pause

Bin mir grade nicht sicher, aber müsste nicht der gesamte Pfad angegeben werden und nicht nur der Name der PS1-Datei?

Gruß
Doskias

Moin,

nee das geht so. Weil sich ja Batchdatei und PowerShell Skripr im gleichen Ordner befinden.
shooan
shooan 08.02.2022 um 07:31:31 Uhr
Goto Top
Jetzt habe ich doch noch mal eine andere Frage.

Diese GPO läuft ja nun und wird beim Starten der Rechner abgearbeitet. Damit sollte man sicherlich 80 % der Rechner erreichen um diese aus zu lesen.

Wie könnte man denn die Leute einfangen die Partu ihren Rechner nie neustarten oder immer nur in den Standby versetzen?

Standartmäsig ist es ja so das ein Rechner alle 90 Minuten oder so beim DC nachfrägt und die GPO's Aktualisiert.

Wäre dazu der Punkt Gplante Aufgaben unter Computerkonfiguration praktikabel?

Beste Grüße

Markus
Doskias
Doskias 08.02.2022 um 08:42:31 Uhr
Goto Top
Zitat von @shooan:

Jetzt habe ich doch noch mal eine andere Frage.

Diese GPO läuft ja nun und wird beim Starten der Rechner abgearbeitet. Damit sollte man sicherlich 80 % der Rechner erreichen um diese aus zu lesen.

Wie könnte man denn die Leute einfangen die Partu ihren Rechner nie neustarten oder immer nur in den Standby versetzen?

Standartmäsig ist es ja so das ein Rechner alle 90 Minuten oder so beim DC nachfrägt und die GPO's Aktualisiert.
Richtig. 90 Minuten + ein Versatz von 30 Minuten ist die Regel. Bringt dir aber wie du schon festgestellt hast nichts, da der Rechner nicht neu gestartet wird.
Die Frage ist aber: Wieso werden die Rechner nicht neu gestartet. Hin und wieder müssen doch für Updates die Rechner auch gestartet werden.
Harte Methode: Prüfe wann und ob deine Rechner nicht benötigt werden. Wenn bei euch Sonntags zu ist, fahr einfach Sonntags um 12 Uhr die Rechner runter, wenn dies in euren Ablauf passt. Bei uns gibt es zum Beispiel die Anweisung die Rechner abends immer auszuschalten und die Steckdosenleisten abzuschalten, Stichwort Brandschutz. Bei uns läuft ein Skript, welches nachts alle Rechner per Ping anspricht und dann dokumentiert welche Rechner an sind. Monatlich gibt es einen Report und bei zu vielen Aktivitäten ein MA-Gespräch. Also entweder nimmst du die harte Tour und zwingst die Rechner zum Runterfahren, zum Beispiel in dem du den Rechner runterfährst, wenn er 10 Stunden gesperrt ist, oder du nimmst die Aufgabenplanung.

Wäre dazu der Punkt Gplante Aufgaben unter Computerkonfiguration praktikabel?
Ja. Entweder als regelmäßigen Job oder als einmaligen Task. Alternativ kannst du auch prüfen ob du das Skript nicht beim Systemstart, sondern einfach beim Entsperren der Arbeitsstation ausführst. Je nachdem wie oft du die Infos benötigst.

Gruß
Doskias
DerWoWusste
DerWoWusste 08.02.2022 um 13:48:28 Uhr
Goto Top
Stratskripte sind todgeweiht. Es gibt Nutzer, die nie begreifen, dass ein Herunterfahren abends und ein Wiederanschalten morgens eben kein Neustart ist und somit auch kein Startskript läuft.

->Auf jeden Fall dazu Tasks benutzen, die als trigger aber auch nicht "Beim Systemstart" haben, sondern eben entweder "immediate Tasks" sind, oder aber eine feste Zeit als Trigger haben.
Doskias
Doskias 08.02.2022 um 14:44:29 Uhr
Goto Top
Zitat von @DerWoWusste:
Stratskripte sind todgeweiht. Es gibt Nutzer, die nie begreifen, dass ein Herunterfahren abends und ein Wiederanschalten morgens eben kein Neustart ist und somit auch kein Startskript läuft.
Das muss der User auch nicht begreifen. Es reicht wenn der Admin es begreift. face-smile Wenn du die Schnellstartfunktion deaktivierst, dann funktionieren auch wieder die Skripte "Beim Systemstart". Ich hab zumindest noch ein Altlast-Skript, welches ich noch nicht abgelöst habe (kann ich mir eigentlich mal vornehmen), was genau aus diesem Grund "wieder" funktioniert.

->Auf jeden Fall dazu Tasks benutzen, die als trigger aber auch nicht "Beim Systemstart" haben, sondern eben entweder "immediate Tasks" sind, oder aber eine feste Zeit als Trigger haben.
Und (mein Favorit) Bei verpassten Start so schnell wie möglich nachholen. Sonst hast du das Skript um 09:00 Uhr geplant, aber der Rechner ist nie um 09:00 Uhr an und wird dann auch nie ausgeführt.
DerWoWusste
DerWoWusste 08.02.2022 um 14:47:29 Uhr
Goto Top
Wenn du die Schnellstartfunktion deaktivierst, dann funktionieren auch wieder die Skripte "Beim Systemstart"
Ist mir bewusst. Aber MS wäre nicht MS, wenn das nicht auch Nachteile hätte. Zum Beispiel ist die Wiederverbindung von Netzlaufwerken in meinen Tests unzuverlässig geworden (nachstellbar) durch das Deaktivieren von Fast startup.
Doskias
Doskias 08.02.2022 um 14:57:44 Uhr
Goto Top
Zitat von @DerWoWusste:
Ist mir bewusst. Aber MS wäre nicht MS, wenn das nicht auch Nachteile hätte. Zum Beispiel ist die Wiederverbindung von Netzlaufwerken in meinen Tests unzuverlässig geworden (nachstellbar) durch das Deaktivieren von Fast startup.

Da hast du recht. Auch das Verhalten konnte ich nachvollziehen und bestätigen. Aber auch dafür hat MS eine GPO. Bei mir zumindest hat die Aktivierung der GPO Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten diesem verhalten Abhilfe geschaffen.

Und ja in Summe dauert das Hochfahren und Anmelden der Anwender dadurch einige Sekunden länger.
DerWoWusste
DerWoWusste 08.02.2022 um 15:09:57 Uhr
Goto Top
Deswegen schlauester Weg für die, die Fast startup behalten wollen
(mein Artikel)
https://www.experts-exchange.com/articles/25279/Overcoming-software-depl ...
shooan
shooan 09.02.2022 um 14:08:54 Uhr
Goto Top
Also es geht habe es nun doch als Geplanter Task gemacht das immer in den Nächsten 14 tages um 12 uhr der Task ausgeführt wird. Mal sehen wie viel da dann raus kommt.