Неполадки при запуске сценария входа в GPO с использованием доменных служб Active Directory

Question

Я только что обновил контроллер домена нашей компании с NT 4.0 до Windows 2008 Server. Я использовал путь обновления на месте, сначала с NT 4.0 до Windows 2003 Server, а затем с 2003 Server до 2008 Server. Первоначальный домен NT 4.0 имел имя Компания . Новый домен Компания .local. Я подтвердил, что информация о пользователе и компьютере была правильно перенесена, и новый домен работает в течение недели с очень небольшим количеством проблем.

Проблема, с которой я сейчас сталкиваюсь, заключается в настройке сценария входа пользователя GPO для группы пользователей. Я считаю, что правильно настроил объект групповой политики, но сценарий не выполняется на клиенте после входа в систему.

После расследования я заметил, что мог выполнить скрипт (пакетный файл) с клиента вручную после входа в систему, если бы я перешел непосредственно к контроллеру домена: \\ ServerName \ SysVol \ Компания .local \ Policies \ {GUID} \ User \ Scripts \ Logon

Однако, если я правильно понимаю, этот путь не используется клиентом при выполнении сценария входа в систему, а вместо этого используется имя домена (леса?), Поскольку источник (имя домена и леса в этом случае совпадают). ): \\ Компания .local \ SysVol \ Компания .local \ Policies \ {GUID} \ User \ Scripts \ Logon

При ручном выполнении этого пакетного файла с клиента у меня появляется диалоговое окно «Открыть файл - предупреждение безопасности», в котором утверждается, что клиент не может проверить издателя. Два приведенных выше пути, по сути, являются одним и тем же местом, доступ к ним осуществляется разными путями.

Есть идеи, почему клиенты не доверяют контенту со своего контроллера домена при доступе через \\ Company .local, а не \\ ServerName ? Есть ли другие места, где я должен искать вероятную причину?

Answer 1

Предупреждение безопасности, скорее всего, красная сельдь. Мы можем понять, почему это происходит, но мне больше интересно поговорить о скрипте, выполняемом во время входа в систему.

Войдите на клиентский компьютер с учетной записью пользователя, которая должна выполнять сценарий, и запустите инструмент «Результирующий набор политик» (из пустой MMC добавьте оснастку «Результирующий набор политик», затем выделите и выберите - щелкните «Результирующий набор политик» на панели областей и выберите «Создать данные RSoP ...». Принять все значения по умолчанию ...)

Я предполагаю, что вы не играли с ACFS NTFS в сценарии или ACL на самом GPO.

Моя интуиция говорит, что это проблема с областью действия GPO. Посмотрите, собрав политики, и посмотрите, помещается ли сценарий в список сценариев, которые должны быть выполнены для пользователя. Щелкните правой кнопкой мыши узел «Конфигурация пользователя» на панели области, после того как вы собрали данные RSoP и изучите список объектов групповой политики, связанных с пользователем. Вы видите объект групповой политики, содержащий ваш сценарий в этом списке?

Предполагая, что вы видите применение объекта групповой политики и видите сценарий, указанный в сценариях входа в систему, которые должны быть выполнены для пользователя, я перейду к журналу событий приложений далее и посмотрю, регистрирует ли USERINIT что-либо во время входа в систему о проблемах при выполнении сценарий.

Если вы не видите, что ваш объект групповой политики применяется к пользователю, я бы подумал о том, где у вас есть объект групповой политики, связанный с учетными записями пользователей (это «проблема с областями видимости», о которой я говорил). Объект групповой политики должен быть связан в подразделении, в котором находится пользовательский объект, в родительском подразделении подразделения, в котором расположен пользовательский объект, в верхней части домена или в объекте сайта, связанном с подсетью IP, из которой клиент IP-адрес компьютера был назначен.

Если это не имеет смысла, и вы все еще не видите того, что ожидаете, опубликуйте некоторое описание логической топологии рассматриваемых объектов - т.е. древовидную диаграмму, показывающую домен, и любое дочернее подразделение, которое содержит рассматриваемые пользовательские объекты и аннотацию о том, где вы связали объект групповой политики.

Answer 2

У меня недавно была точно такая же проблема. Я обнаружил, что сценарий запущен, но «невидим». в объекте групповой политики есть возможность запускать сценарии «визуально», перейдя в «Административные шаблоны», «Система», «Сценарии»