Hallo Community,
nachdem die Feiertage hoffentlich für alle gut verstrichen sind
und so langsam die Entspannung des Urlaubs einsetzt ein paar
Informationen rund um das Thema PowerShell und Loginscript.
Der Thread im Forum: Loginscript in PowerShell startet unter Server 2008 nicht mehr automatisch
hat mich veranlasst nochmal etwas tiefer in das Thema einzusteigen.
Dabei tauchen ein paar grundsätzliche Fragen auf.
Die 1. Frage lautet: Kann ich .ps1-Dateien als Skript verwenden?
Stand heute kann das noch nicht getan werden. Dazu empfiehlt sich nach wie vor
ein VBS oder CMD basiertes Startskript.
Die CMD Version kann so aussehen (Zeile 3 und 4 zusammenfassen):
@echo off
cls
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe –nologo
-command "& \\woodgrovebank.com\netlogon\login\FormLoginScript.ps1"
Frage Nummer 2: Wie richte ich die Gruppenrichtlinien (GPO) ein,
um das Login-Skript auszuführen ?
Grundsätzlich ändert sich nichts an der Art wie das Skript für die Benutzer aktiviert wird.
Entweder tragt ihr es beim Benutzer direkt ein oder weist es per Richtlinie allen Benutzern einer OU zu.
Trotzdem sei auf die Stolperfallen beim Einrichten nochmal hingewiesen.
* Beim Benutzer ist auf der Registerkarte “Profile” nur der Name des Loginskripts anzugeben.
Pfade können hier nicht ausgewertet werden.
* Über eine Gruppenrichtlinie, welche die Benutzer garantiert betrifft, z.B. die Default Domain Policy
sollte bei “User Configuration / Policies / Administrative Templates / System / Scripts”
die Einstellung “Run login scripts visible” auf Enabled gesetzt werden.
Die letzte Frage: Es funktioniert nicht. Was habe ich falsch gemacht?
Normalerweise sollte nach dem die Active Directory Replikation auch alle Standorte erreicht hat
spätestens nach einem “GPUpdate /force” auf den Clients die modifizierte Richtlinie wirken.
Wenn das Skript trotzdem nicht ausgeführt wird, solltet ihr überprüfen zu welcher Sicherheitszone
der Client den angegebenen Netzwerkpfad zuordnet. Das sind die Zonen, welche im IE
eingestellt werden. Speziell die Schreibweise \\domain.tld\Pfad\skript.ps1 veranlasst das System
die Sicherheitseinstellungen für Internetzonen zu verwenden.
Dort sind normalerweise Skriptausführungen unterbunden.
Benötigt wird aber lokales Intranet. Abhilfe schafft hier entweder das manuelle oder besser per GPO
Zuordnen der Pfade zur Zone Lokales Intranet.
Im IE: Extras / Internetoptionen / Sicherheit / Lokales Intranet / Sites / Erweitert
In der GPO: User Configuration / Policies / Administrative Templates / Windows Components/
Internet Explorer/Internet Control Panel/Security Page (Einstellung “Site to Zone Assignement List”)
Dort sind über die Schreibweise \\servername, \\domain.tld oder \\servername.domain.tld
die notwendigen Pfade zu hinterlegen.
In der Gruppenrichtlinie ist jedem “Value Name” (das ist der jeweilige Pfad) der “Value” 1 für
Lokales Intranet zuzuweisen.
Nach einem erneuten Speichern, Replizieren und ggf. erzwungenem Update der GPO’s sollte jetzt
euer Skript auf den Clients aufgerufen werden.
An dieser Stelle sei nochmal der Hinweis auf unser Community Projekt Login-Skript erlaubt.
Ihr findet es hier. http://www.powershell-ag.de/ps/Foren/ProjektForumLoginskript/tabid/86/Default.aspx
Leider ist hier noch nicht viel passiert. Ich würde mich freuen, wenn dieser Blog-Eintrag
da mehr Aktivitäten eurerseits anregen würde.
Allen zusammen ein tolles Jahr 2009 und viel Spaß mit der PowerShell!
Rolf