Неисправность запуска скрипта входа в GPO с использованием доменных служб Active Directory

Question

Я только что обновил контроллер домена нашей компании с NT 4.0 до Windows 2008 Server. Я использовал путь обновления на месте, начиная с NT 4.0 до Windows 2003 Server, а затем с сервера 2003 Server до 2008 Server. Основным доменом NT 4.0 было имя Компания. Новый домен Компания .local. Я подтвердил, что информация о пользователе и компьютере была правильно перенесена, а новый домен работает в течение недели с очень небольшим количеством проблем.

Проблема, с которой я столкнулся сейчас, заключается в создании сценария входа в систему GPO для набора пользователей. Полагаю, что я правильно настроил объект групповой политики, но скрипт не запускается на клиенте после входа в систему.

После расследования, я заметил, что я мог бы выполнить сценарий (командный файл) от клиента вручную после входа в систему, если я переходите непосредственно к контроллеру домена: \\ ServerName \ SysVol \ Компания .local \ Policies \ {GUID} \ User \ Scripts \ Logon

Однако, если мое понимание верное, этот путь не используется клиентом при выполнении имени входа в систему, но вместо этого имя домена (лес?) Используется как источник (домен и имя леса в этом случае одинаковы): \\ Компания .local \ SysVol \ Компания .local \ Policies \ {GUID} \ User \ Scripts \ Logon

При ручном выполнении этого командного файла у клиента появляется диалоговое окно «Open File - Security Warning», в котором утверждается, что клиент не может проверить издателя. Два указанных выше пути - это, по сути, одно и то же место, просто доступ к которым осуществляется разными путями.

Любая идея, почему клиенты не доверяют содержание от своего собственного контроллера домена при доступе через \\ компании .local и не \\ ServerName ? Есть ли какие-то другие места, которые я должен искать, вероятную причину?

Answer 1

Предупреждение о безопасности, скорее всего, является красной селедкой. Мы можем понять, почему это происходит, но меня больше интересует разговор о скрипте, выполняемом во время входа в систему.

Вход на клиентский компьютер с учетной записью пользователя, которая должна выполнять скрипт и запускать инструмент «Результирующий набор политик» (из пустой MMC, добавить оснастку «Результирующий набор политик», затем выделить и щелкните правой кнопкой мыши «Результирующий набор политик» в области области видимости и выберите «Генерировать данные RSoP ...». Возьмите все значения по умолчанию ...)

Я предполагаю, что вы не играли с ACL для NTFS на сценарий или ACL в самом объекте групповой политики.

Моя кишка говорит, что это проблема с объектом GPO. Посмотрите, после того как вы собрали политики и посмотрите, помещен ли сценарий в список скриптов, которые будут выполняться для пользователя. Щелкните правой кнопкой мыши узел «Конфигурация пользователя» в области области видимости, после того как вы собрали данные RSoP и просмотрите список объектов групповой политики, связанных с пользователем. Вы видите объект групповой политики, содержащий ваш скрипт в этом списке?

Предполагая, что вы видите объект групповой политики и видите скрипт, указанный в сценариях входа для пользователя, я должен перейти к Журналу событий приложений и посмотреть, не работает ли USERINIT во время входа в систему о проблемах выполнение сценария.

Предполагая, что ваш объект групповой политики не применяется к пользователю, я бы подумал о том, где у вас есть объект групповой политики, связанный с учетными записями пользователей (это «проблема с определением», о которой я говорил). GPO должен быть связан в OU, в котором находится пользовательский объект, в родительском OU OU пользовательский объект находится внутри, в верхней части домена или на объекте сайта, связанном с подсети IP, из которой клиент присвоен IP-адрес компьютера.

Если это не имеет смысла, и вы все еще не видите того, что ожидаете, разместите некоторое описание логической топологии рассматриваемых объектов - то есть диаграмму дерева, показывающую домен, и любые дочерние подразделения которые содержат объекты пользователей, о которых идет речь, и аннотацию о том, где вы связали объект групповой политики.

Answer 2

У меня недавно была такая же проблема. Я обнаружил, что сценарий запущен, но «невидим». есть возможность в GPO запускать скрипты «видимо», перейдя в «Административные шаблоны», «Система», «Сценарии»