Você pode criar vários Scripts de Logon do GPO do Active Directory separados?

2

No meu diretório ativo, eu atualmente tenho um GPO no objeto de domínio que contém um script de logon.

Eu quero criar um novo grupo para o qual eu possa adicionar usuários e executar um script de logon adicional / diferente.

Eu tentei criar uma nova UO, coloquei o grupo dentro da UO e adicionei o usuário ao grupo. Na unidade organizacional, criei um GPO e defini o script de logon do usuário - usei o botão de navegação para navegar até o arquivo de script. O caminho UNC parece correto e verifiquei que o usuário / máquina pode realmente acessá-lo e executá-lo corretamente.

O problema é que parece não funcionar. Eu reinicio a máquina, logon, o script não parece ser executado.

Eu estou supondo que pode ser por causa do script de logon no outro domínio GPO (que está configurado para não substituir) (talvez seja o não substituir esse é o problema ...?)?

Você pode ter apenas um script de logon definido em um único GPO ou pode ter vários GPOs com scripts de logon?

    
por Scott Szretter 25.03.2011 / 21:05

2 respostas

3

Sim, é totalmente possível ter vários scripts de logon em vários GPOs, mas talvez não exatamente da maneira que você deseja.

Primeira Opção

Esse método funciona muito bem para nós, mas suas necessidades podem ser diferentes. Ter várias UOs e subunidades e aplicar GPOs diferentes com scripts de logon vinculados mais abaixo na cadeia.

Adote a seguinte estrutura de UO - Eu tenho um GPO Global Logon Script vinculado a Acme Widgets, um GPO Interno de Script de Logon vinculado em Interno e vários scripts de logon específicos do departamento abaixo dele. Na verdade, tenho vários scripts de logon vinculados no Acme Widgets e Internal para XP, Vista e 7, que são aplicados de acordo com um filtro WMI de versão do SO no GPO.

Acme Widgets 
  Internal
    Finance
    Human Resources
    IT
    Sales

Segunda Opção

Parece que é mais parecido com o que você está procurando. Crie seus GPOs, adicione seus scripts de logon a eles e vincule-os a uma UO apropriada. Modifique as permissões do GPO para que somente os membros de um grupo específico tenham permissão para ler o GPO e aplicá-lo.

Quanto ao motivo pelo qual o script não está sendo aplicado, veja minhas etapas habituais de solução de problemas.

  • O cliente de Diretiva de Grupo registra algumas coisas no log de eventos. Verifique se há avisos ou erros que possam impedir a execução de seus scripts.
  • Execute o script de forma interativa após o logon (por exemplo, vá para \SVR\Scripts\Logon.vbs e execute-o). Se você suprimir erros ou avisos, ative-os antes de executar o script. Além disso, execute isso como um usuário padrão - não administrativo.
  • Para o Windows XP, execute gpresult > GP.txt e verifique quais políticas você está recebendo, quais estão sendo filtradas etc. A opção /v (verbose) também pode ser útil e, se você realmente deseja sobrecarga de informações, tente a /z (super-detalhado) mudar.
  • Para o Windows Vista e superior, use gpresult /h GP.html para criar uma saída muito mais agradável das Políticas de Grupo que você está obtendo. Ele é aberto no Internet Explorer e é praticamente o mesmo que o resumo RSOP que você obtém no Console de Gerenciamento de Diretiva de Grupo.
  • Se você estiver em um laptop, a conexão sem fio pode não estar se conectando imediatamente e só poderá fazê-lo no logon, e depois que os scripts de logon tiverem que ser executados. Talvez verifique se há drivers sem fio atualizados, mas você pode estar preso com este. Eu sei que tenho alguns laptops que não funcionam sem fio muito bem, a menos que você se conecte com o conteúdo que eles fornecem, que só conecta após o logon.
por 25.03.2011 / 22:41
0

A nova OU é uma subunidade da unidade em que o primeiro GPO de script de logon está vinculado? Na máquina que deve obter o novo script de logon, execute gpresult e verifique se o novo GPO foi filtrado. Talvez seja necessário definir o novo script de logon do GPO como imposto.

    
por 25.03.2011 / 21:25