Rund um den PC
Freizeit und Gesellschaft427 Mitglieder
Rund um den PC
Freizeit und Gesellschaft427 Mitglieder
Mehr brandheiße Inhalte
zur Gruppe
DU Nerd!!!
952 Mitglieder
Das Thema ist für dich interessant? Jetzt JOYclub entdecken
  1. Gruppe
  2. Windows 8 / Windows 10
  3. Windows 10 / Server 2016 - Powershell GPO LoginScript

Windows 10 / Server 2016 - Powershell GPO LoginScript

ich
Nur für Mitglieder
*********mnis Mann
6.102 Beiträge
Themenersteller 
Windows 10 / Server 2016 - Powershell GPO LoginScript
Hallo Leute, heute benötige ich einmal Unterstützung zu folgender Problemstellung.

Ich habe ein LoginScript erstellt und auf dem DC hinterlegt und lasse es via GPO ausführen.

Im Skript werden Angaben abgefragt, wie Ausführungszeit des Skript/Loginzeit/Rechnername/Letzte Passwortänderung und zugewiesene IP-Adresse. Das Ergebnis wird auf einem Share abgelegt.

Wenn ich das Skript lokal auf dem Client (direkt) ausführe:

PS C:\Users\devop> ."C:\Users\devop\\skripte\LoginScript.ps1"
wird es komplett ausgeführt und alle Daten landen in der Log-Datei auf dem Server

ein identisches Ergebnis erhalte ich wenn ich es lokal über das Policy-Share starte
PS C:\Users\devop> . "\\labor.local\SysVol\labor.local\Policies\{AAAAAAAA-BBBB-CCCC-DDDD-EEEEEEEEEEEE}\Machine\Scripts\Startup\LoginScript.ps1"
=> komplett ausgeführt und alle Daten landen in Share

Starte ich den Client-Rechner jedoch neu und melde mich an dann wird das Skript nur teilweise
ausgeführt:
Es wird die entsprechende Datei auf dem Server angelegt, aber nur mit der Ausführungszeit des
Skriptes befüllt.

Hinweis: Skript ist signiert und in der GPO ist “Configure Logon Script Delay” mit einer Zeit von 2 Minuten definiert.

Ratschläge in Bezug auf Fehlersuche/~eingrenzung/~behebung sind *willkommen*
gern auch via CM.

Vielen Dank
Profilbild
Nur für Mitglieder
*******hase Mann
959 Beiträge
Nur in den Raum geworfen, könnte es etwasmot Berechtigungen bzw. Freigaben zu tun haben?
Profilbild
Nur für Mitglieder
****sS Mann
1.111 Beiträge
Das Script per Policy wird in einem anderen Userkontext ausgeführt. Das lokale Aufrufen läuft im Userkontext des angemeldeten Users, per GPO im Zweifel als System.

Frage: Warum das Script nicht über die Userprofile ausführen? Ja ich weis GPO ist "sexy", aber dabei kämpft man eben mit den verschiedenen Unabwägbarkeiten.

Was die Funktion des Scriptes angeht, so gehe ich einfach mal davon aus das diese mit Datenschutzbeauftragtem und Betriebsrat (sofern vorhanden) abgeklärt ist *zwinker*
Auge
Nur für Mitglieder
******nig Mann
24.798 Beiträge
Wenn du das Script testweise lokal / von Hand startest, dann als User gehe ich von aus. Richtig?
Es braucht aber keine erweiterten Rechte, oder?

Mit welchen Befehlen führst du die Abfragen durch? Es gibt ja unter Powershell viele Möglichkeiten, manchmal hilft es einen anderen Weg zu nehmen.

Es gibt eine GPO, sinngemäß "Anmeldung erst durchführen wenn Netzwerkverbindungen bestehen". Das hatte bei uns mit servergespeicherten Profilen etliche Probleme behoben.

Findest du im Eventlog bzw in der Historie vom Job Einträge dazu? Wurde das Script überhaupt regulär beendet?
Auge
Nur für Mitglieder
******nig Mann
24.798 Beiträge
Zitat von *****rys:
Das Script per Policy wird in einem anderen Userkontext ausgeführt.
Stimmt! Das erklärt jedenfalls, dass keine (sinnvollen) Daten zum Login kommen.

Kann man an der Stelle nicht auch einstellen, dass das Script im Userkontext ausgeführt wird? Beim Login-Script bin ich auswendig nicht sicher...
Profilbild
Nur für Mitglieder
****sS Mann
1.111 Beiträge
Zitat von ******nig:
Zitat von *****rys:
Das Script per Policy wird in einem anderen Userkontext ausgeführt.
Stimmt! Das erklärt jedenfalls, dass keine (sinnvollen) Daten zum Login kommen.

Kann man an der Stelle nicht auch einstellen, dass das Script im Userkontext ausgeführt wird? Beim Login-Script bin ich auswendig nicht sicher...

Sollte gehen, wir haben unsere Scripts allerdings über die Profile laufen (historisch bedingt) und daher hab ich das auch nicht im Kopf. Aber das sollte tatsächlich einstellbar sein.
ich
Nur für Mitglieder
*********mnis Mann
6.102 Beiträge
Themenersteller 
Zitat von *****rys:
Das Script per Policy wird in einem anderen Userkontext ausgeführt. Das lokale Aufrufen läuft im Userkontext des angemeldeten Users, per GPO im Zweifel als System.

Das macht Sinn. Daran hab ich gar nicht gedacht.
ich
Nur für Mitglieder
*********mnis Mann
6.102 Beiträge
Themenersteller 
Hallo zusammen,

Vielen Dank @*****rys @******nig @*******hase

Ihr habt Recht gehabt. Es gibt mehrere Stellschrauben, das macht das ganze leider nicht einfach.

Meine Fehler sind gewesen:
a) die GPO war selbst unter COMPUTER verlinkt und zudem unter "Computer Configuration"
b) alles unter User gelegt und unter "Computer Configuration"/System/Scripts/Run Windows PowerShell scripts first at user logon, logoff = enabled
und siehe da es funktioniert alles wie es soll.

Thread ist erfolgreich gelöst worden und kann geschlossen werden.

Liebe Grüße
Anmelden und mitreden
Du willst mitdiskutieren?
Werde kostenlos Mitglied, um mit anderen über heiße Themen zu diskutieren oder deine eigene Frage zu stellen.