11
GPO-Anmeldescript - Abarbeitungsposition im Anmeldevorgang
Hallo zusammen,
ich möchte per Anmeldescript etwas ins Benutzerprofil schreiben lassen. Wenn ich mich aber auf einem mit Wächterkarte oder -software geschützten Computer anmelde, wird das Benutzerprofil ja erst mal aus dem DefaultProfile neu generiert. Weiß jemand, ob das unter Windows 7 / Windows 10 vor oder nach dem Ausführen von in den Gruppenrichtlinien definierten Anmeldescripten passiert?
Danke im Voraus,
Sarek \\//_
ich möchte per Anmeldescript etwas ins Benutzerprofil schreiben lassen. Wenn ich mich aber auf einem mit Wächterkarte oder -software geschützten Computer anmelde, wird das Benutzerprofil ja erst mal aus dem DefaultProfile neu generiert. Weiß jemand, ob das unter Windows 7 / Windows 10 vor oder nach dem Ausführen von in den Gruppenrichtlinien definierten Anmeldescripten passiert?
Danke im Voraus,
Sarek \\//_
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 351786
Url: https://administrator.de/contentid/351786
Printed on: April 19, 2024 at 06:04 o'clock
11 Comments
Latest comment
Hi.
Das Profil wird vor der Anmeldung aus dem Defaultprofil generiert und das Anmeldeskript läuft erst mit dem Erreichen des Desktops los und wird bei Win10 per default sogar noch um 5 Minuten verzögert.
Das Profil wird vor der Anmeldung aus dem Defaultprofil generiert und das Anmeldeskript läuft erst mit dem Erreichen des Desktops los und wird bei Win10 per default sogar noch um 5 Minuten verzögert.
gut ..
und das Anmeldeskript läuft erst mit dem Erreichen des Desktops los und wird bei Win10 per default sogar noch um 5 Minuten verzögert.
schlecht. Kann man das ändern (GPO)?
Ja
https://support.microsoft.com/de-de/help/2895815/logon-scripts-do-not-ru ...
https://support.microsoft.com/de-de/help/2895815/logon-scripts-do-not-ru ...
Computerkonfiguration\Administrative Vorlagen\system\gruppenrichtlinie
Der Standardwert für die Richtlinie "Logon-Skript Verzögerung konfigurieren" ist Nicht konfiguriert. Jedoch ist das Standardverhalten des Gruppenrichtlinien-Clients warten Sie fünf Minuten, bevor die Anmeldeskripts ausgeführt wird. Zitat von @134464:
Ja
Ja
Danke! Hat jemand eine Ahnung, welchen Sinn diese Verzögerung machen soll, dass man sie als Standard gesetzt hat?
Da manche Admins dazu neigen, riesige Dinge mit dem Anmeldeskript tun zu lassen, führt das bei Systemen, die festplattentechnisch schwach unterwegs sind, oft zu Verzögerungen beim Aufbau des Desktops/ bei der Erlangung der Arbeitsfähigkeit. Also hat MS das Skript nach hinten verlegt.
Zitat von @DerWoWusste:
Das Profil wird vor der Anmeldung aus dem Defaultprofil generiert und das Anmeldeskript läuft erst mit dem Erreichen des Desktops los
Das Profil wird vor der Anmeldung aus dem Defaultprofil generiert und das Anmeldeskript läuft erst mit dem Erreichen des Desktops los
Wie schaut es eigentlich mit dem Patchen von Dateien mit benutzerspezifischen Group Policy Preferences aus? Läuft das schon, bevor der Desktop erreicht wird?
Gibt es dazu eigentlich eine verständliche Info, was beim Startvorgang in welcher Reihenfolge abläuft?
Ich glaube, wir müssen noch mal über "verständlich" sprechen. Aber wenn ich es richtig verstanden habe, ist der Ablauf nach dem eigentlichen Anmelden (Eingabe von Benutzername und Passwort) da doch recht verkürzt dargestellt. Details wie
- wann wird das Benutzerprofil generiert, wenn es noch nicht besteht?
- wann wird das direkt im AD-Benutzerkonto eingetragene Startscript abgearbeitet?
- wann wird das Home-Laufwerk auf den im AD-Benutzerkonto eingetragenen Laufwerksbuchstaben gemappt?
- wann wird das Startscript aus der Gruppenrichtlinie abgearbeitet?
- wann werden Dateien gepatcht, die in den GPP eingetragen sind?
- Gibt es Unterschiede ob das in der Default Domain Policy oder in einer GPO der aktuellen OU steht?
fehlen da leider. Das finde ich aber wichtig, um abzuschätzen, ob ein geplantes Verfahren funktioniert oder nicht. Ich kann ja z.B. nicht in einem Script auf den Laufwerksbuchstaben des Home-Verzeichnisses zugreifen, wenn der Laufwerksbuchstabe erst nach dem Abarbeiten des Scripts gemappt wird.
Zitat von @SarekHL:
Ich glaube, wir müssen noch mal über "verständlich" sprechen. Aber wenn ich es richtig verstanden habe, ist der Ablauf nach dem eigentlichen Anmelden (Eingabe von Benutzername und Passwort) da doch recht verkürzt dargestellt. Details wie
Vor jeglichem Anmelden, denn ohne Profil keine Anmeldung. D. h. wenn du nach dem Eingeben der Userdaten Enter drückst wird überprüft ob für den User ein Profil besteht oder nicht, wenn nicht angelegt und erst wenn dieser Vorgang beendet ist wird der User eingeloggt.Ich glaube, wir müssen noch mal über "verständlich" sprechen. Aber wenn ich es richtig verstanden habe, ist der Ablauf nach dem eigentlichen Anmelden (Eingabe von Benutzername und Passwort) da doch recht verkürzt dargestellt. Details wie
- wann wird das Benutzerprofil generiert, wenn es noch nicht besteht?
* wann wird das direkt im AD-Benutzerkonto eingetragene Startscript abgearbeitet?
Startskripte werden gestartet sobald alle Computersettings der GPO angewendet wurden.- wann wird das Home-Laufwerk auf den im AD-Benutzerkonto eingetragenen Laufwerksbuchstaben gemappt?
- wann wird das Startscript aus der Gruppenrichtlinie abgearbeitet?
* wann werden Dateien gepatcht, die in den GPP eingetragen sind?
GPPs werden erst ziemlich spät beim Anmeldeprozess verarbeitet.* Gibt es Unterschiede ob das in der Default Domain Policy oder in einer GPO der aktuellen OU steht?
Ja, die Reihenfolge der Abarbeitung der Gruppenrichtlinien kannst du in der Prioritätenliste der GPMC nachsehen!https://emeneye.wordpress.com/2016/02/16/group-policy-order-of-precedenc ...
fehlen da leider. Das finde ich aber wichtig, um abzuschätzen, ob ein geplantes Verfahren funktioniert oder nicht. Ich kann ja z.B. nicht in einem Script auf den Laufwerksbuchstaben des Home-Verzeichnisses zugreifen, wenn der Laufwerksbuchstabe erst nach dem Abarbeiten des Scripts gemappt wird.
Die exakte Reihenfolge ist wenn mein sein Skript zuverlässig auslegt egal.Deswegen macht man als vernünftiger Admin immer eine Abfrage ob ein Pfad existiert oder nicht und wartet dementsprechend einen max. Zeitraum im Script bis dieses verfügbar ist, erst dann macht es weiter. Darauf verlassen das ein Laufwerk zu einem bestimmten Zeitpunkt existiert sollte man sich niemals!!!
Zitat von @134464:
* wann wird das direkt im AD-Benutzerkonto eingetragene Startscript abgearbeitet?
Startskripte werden gestartet sobald alle Computersettings der GPO angewendet wurden.- wann wird das Startscript aus der Gruppenrichtlinie abgearbeitet?
Gmeint sind hier natürlich jeweils Anmeldescripte. Und zumindest das in der GPO wird ja laut dem, was DerWoWusste sagte, nicht direkt nach den Computersettings, sondern erst sehr spät, nach dem Aufbau des Desktops, ausgeführt. Gilt das auch für das Anmeldescript, welches man direkt im AD-Benutzerkonto angibt (unter dem Profilpfad)? Oder kommt das früher dran?
Und wann wird nun in der Reihenfolge das Home-Laufwerk auf den im AD-Benutzerkonto eingetragenen Laufwerksbuchstaben gemappt? Auch wenn man natürlich eine DirExist-Abfrage macht, ist das trotzdem eine nützliche Information ;)
Zitat von @SarekHL:
Gmeint sind hier natürlich jeweils Anmeldescripte. Und zumindest das in der GPO wird ja laut dem, was DerWoWusste sagte, nicht direkt nach den Computersettings, sondern erst sehr spät, nach dem Aufbau des Desktops, ausgeführt. Gilt das auch für das Anmeldescript, welches man direkt im AD-Benutzerkonto angibt (unter dem Profilpfad)? Oder kommt das früher dran?
Das Anmeldescript wird, wenn die Verzögerung auf 0 gestellt wurde, erst ausgeführt wenn alle User-Settings welche in den GPOs angewendet wurden ausgeführt, genau so wie bei den Computersettings welche ausgeführt werden wenn alle Computersettings angewendet wurden.Gmeint sind hier natürlich jeweils Anmeldescripte. Und zumindest das in der GPO wird ja laut dem, was DerWoWusste sagte, nicht direkt nach den Computersettings, sondern erst sehr spät, nach dem Aufbau des Desktops, ausgeführt. Gilt das auch für das Anmeldescript, welches man direkt im AD-Benutzerkonto angibt (unter dem Profilpfad)? Oder kommt das früher dran?
Und wann wird nun in der Reihenfolge das Home-Laufwerk auf den im AD-Benutzerkonto eingetragenen Laufwerksbuchstaben gemappt? Auch wenn man natürlich eine DirExist-Abfrage macht, ist das trotzdem eine nützliche Information ;)
Kann ich gerade nicht sagen, aber mit ein bisschen Spielen mit Procmon oder einem Skript welches dir diese Info loggt, kannst du das auch selber einfach rausfinden.
