Рейтинг:0

Сценарий не запускается при запуске для объекта групповой политики

флаг za

Я видел много сообщений на этом веб-сайте о чем-то подобном, но ни у кого из них не было ресурсов для решения моей проблемы, поэтому я расскажу как можно подробнее. Если я оставлю какую-либо информацию, дайте мне знать.

У нас есть сервер с исполняемым файлом для запуска обновления программного обеспечения Bluebeam. Я написал файл сценария для запуска этого исполняемого файла при запуске и поместил его в тот же каталог, что и исполняемый файл. Когда я это делал, ничего не происходило, я запускал компьютер, который, как я знаю, имеет делегирование, запускал gpupdate /force, чтобы он заработал, и перезапускал компьютер, но ничего не происходило. Затем я сделал так, чтобы при входе пользователя он делал то же самое. Тот же результат. Я убедился, что «принудительно» включен, я включил «всегда ждать сети при запуске компьютера и входе в систему» ​​и, наконец, я также включил «настроить обработку политики сценариев».

Ни один из них не помог. Я снова просмотрел файлы сценариев и заметил, что когда я нажимал «показать файлы» под своим объектом групповой политики, там не было нужного мне сценария. Поэтому я добавил его вручную и снова принудительно обновил, ничего.

Я запускаю это только в тестовой среде прямо сейчас, поэтому я не нажимаю это на свои контроллеры домена, серверы или действительно каких-либо пользователей. Я нажимаю это на 2 разных компьютера прямо сейчас, и они не работают.

Я покажу вам фотографии всего, что у меня есть, и если у вас есть какие-либо вопросы, дайте мне знать.

Изображение, показывающее GP в тестовой среде

делегирование на компьютер под названием dantest, с которым я пытаюсь это сделать

скрипт при запуске

скрипт при входе

флаг cn
Есть ли у хоста разрешение на применение групповой политики?
флаг za
@GregAskew, где я могу это проверить?
флаг za
@GregAskew, неважно, я нашел это, и да, это так
joeqwerty avatar
флаг cv
Сценарии запуска запускаются только при запуске компьютера. Вы перезагружали тестовые компьютеры после исправления GPO? Находятся ли учетные записи компьютеров в области управления объекта групповой политики?
флаг za
@joeqwerty да обоим. Я перезагружал компьютер много раз, а также принудительно обновлял групповую политику через командную строку. И объект групповой политики связан с моей тестовой средой, а компьютер DANTEST, который я обновляю/перезапускаю, делегируется как компьютер в рамках моего объекта групповой политики.
joeqwerty avatar
флаг cv
Вы убедились, что сценарий и исполняемый файл работают должным образом вне контекста объекта групповой политики?
флаг za
@joeqwerty да, скрипт работает точно так, как ожидалось, локально на машине. только проблемы, когда я пытаюсь протолкнуть его через GP
SamErde avatar
флаг gg
Запускается ли скрипт/установщик в фоновом режиме или он фактически запускает оконное приложение установки? Кроме того, требуется ли какой-либо ввод от пользователя?
Рейтинг:1
флаг cn

Забудьте о сценарии запуска в «Конфигурации компьютера», потому что установленный вами сценарий выполняется системой еще до того, как кто-либо войдет в систему.

Обычно это не интерактивно (вы можете добавить сценарии для очистки определенных каталогов или настроить что-то на компьютере, но вы не можете запустить здесь приложение конечного пользователя, приложение не будет отображаться, но может работать в фоновом режиме).

Ну, вы тоже настроили сценарий входа в "Конфигурацию пользователя", это лучше, потому что сценарии здесь выполняются в контексте пользователя, однако, начиная с Windows 8.1 сценарии входа в систему не запускаются в течение пяти минут после входа пользователя в систему. Это сделано для ускорения загрузки рабочего стола пользователя. Однако вы можете изменить это:

Если вы хотите, чтобы сценарии входа запускались при входе пользователя в систему без каких-либо задержек, вам следует настроить параметр «Настроить задержку сценария входа» на Отключено в Конфигурация компьютера\Администрирование Шаблоны\Система\Групповая политика.

Но, тем не менее, это не предпочтительный способ достижения желаемого, как говорит майкрософт:

Этот механизм позволяет администраторам выполнять различные виды обслуживания. и задачи управления на клиентских компьютерах, включая (но не ограничиваясь к) сбор диагностической информации, запуск сканирования безопасности, очистка или сброс состояния системы и установка инструментов.

вы выходите за рамки, потому что вы не хотите «выполнять различные задачи по обслуживанию и управлению» с вашим вариантом использования.

Я рекомендую вам развернуть Запустить ключ реестра вместо. Вы все еще можете развернуть это с помощью групповой политики:

Если вы хотите развернуть это на компьютере (чтобы оно применялось ко всем, кто входит в систему на компьютере), то в вашем объекте групповой политики перейдите к Конфигурация компьютера -> Настройки (не "Политика") -> Параметры Windows -> Реестр -> Новый элемент реестра и создайте новое значение REG_SZ по пути, указанному в документации (HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Выполнить), присвойте ему осмысленное имя значения и задайте в качестве данных значения путь к исполняемому файлу на компьютере.

Если вы хотите развернуть этот параметр для каждого пользователя, используйте тот же метод, но на Конфигурация пользователя вместо Конфигурации компьютера (и HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Выполнить вместо HKLM).

Не забудьте привязать групповую политику к организационной единице, содержащей ваших пользователей, если вы используете конфигурацию пользователя, или к организационной единице компьютера, если вы используете конфигурацию компьютера (то же самое для прав делегирования, добавьте пользователей, если вы работаете с пользовательской конфигурацией или Компьютеры, если вы работаете с Конфигурацией компьютера)

флаг za
Я сделал то, что вы сказали, и сделал реестр, принудительно обновил и подождал некоторое время, но ничего не произошло. В реестре есть что-то, что мне нужно нажать, чтобы активировать его на компьютере. Я нажал «применить», когда сделал это, а затем нажал «ОК» и закрыл редактор GP. Кроме того, должен ли я удалить другие конфигурации, которые у меня есть? Спасибо!
Swisstone avatar
флаг cn
@Nick Запустите эту команду от имени администратора на клиентском компьютере и посмотрите, видите ли вы свой объект групповой политики `gpresult /h c:\temp\report.html`, он экспортирует отчет, и вы сможете увидеть, применяется ли ваша политика к компьютер или нет. Кроме того, вы можете увидеть раздел реестра на клиентском компьютере
флаг za
под настройками -> вкладка настроек Windows ничего нет, кроме карт дисков. Нет реестра или чего-то подобного
Swisstone avatar
флаг cn
@Nick Если вы создали конфигурацию реестра в разделе «Конфигурация пользователя», убедитесь, что объект групповой политики связан с OU, содержащим ваших пользователей. Если вы создаете конфигурацию реестра в разделе «Конфигурация компьютера», убедитесь, что объект групповой политики связан с подразделением, содержащим ваши компьютеры.
флаг za
Связано и ничего нет. https://docs.google.com/document/d/1HcCG7Rem-pO8FksjGFgpbDin9a0LohGgBfQ-kU5xGNY/edit?usp=sharing
Рейтинг:0
флаг gg

Вы близки, но упускаете одну важную вещь: судя по снимку экрана, ни у одного объекта нет разрешения «Применить» для этого объекта групповой политики. Объект групповой политики по умолчанию предоставляет разрешения «Чтение» и «Применить» группе «Прошедшие проверку». Я предполагаю, что вы удалили это из настройки фильтрации безопасности, чтобы вы могли применить его только к своей тестовой машине.

Чтобы исправить политику сценария запуска и оставить ее применимой только к вашему компьютеру «DANTEST», отредактируйте объект групповой политики, откройте его свойства и перейдите к параметрам безопасности. Добавить компьютер учетную запись DANTEST и предоставьте ему разрешение «Применить» (в дополнение к разрешению «Чтение»).

Если вы хотите использовать сценарий входа, выполните тот же процесс, чтобы добавить разрешение «Применить» для пользователя, тестирующего сценарий. Затем переместите сценарий входа из раздела «Параметры компьютера» объекта групповой политики в раздел «Параметры пользователя» объекта групповой политики.

Наконец, когда вы закончите тестирование, вы можете просто добавить «Прошедших проверку» с разрешениями «Чтение и применение», что является фильтром безопасности по умолчанию.

флаг za
Пробовал это. «Чтение (из фильтрации безопасности)» автоматически применяет его, у каждого из них уже есть разрешение на применение, отмеченное на вкладке безопасности.
флаг za
Что касается тех, которые говорят «читать», только у пользователя «СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ» не было набора приложений, я убедился, что он есть, и это ничего не изменило.
SamErde avatar
флаг gg
Какую информацию содержит журнал событий обработки вашей групповой политики?
флаг za
Никаких ошибок и ничего об обновлении даже не происходит. Это похоже на то, что gpo на самом деле не выталкивается
SamErde avatar
флаг gg
У вас есть объект групповой политики, связанный с OU, в которой находится тестовый компьютер, или с корнем домена?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.