Hallo Experten,
mal eine Frage zu den Anmeldescripten in einer Windows 2003 AD Umgebungen.
Es gibt ja einmal die „klassische Lösung“, wie man sie noch aus NT Zeiten kennt und die Möglichkeit über GPOs beim Anmelden Scripte (im Hinterggrund) ausführen zu lassen.
Vorrangig geht es lediglich um eine gruppenbasierte Zuweisung von Netzlaufwerken.
Wie ist denn hier der von MS vorgeschlagene Weg?
Was empfiehlt MS?
Wo sehen die MS Experten hier die Vor-/ und Nachteile
Danke & Gruß,
Klaus
Hallo Experten,
mal eine Frage zu den Anmeldescripten in einer Windows 2003 AD
Umgebungen.Es gibt ja einmal die „klassische Lösung“, wie man sie noch
aus NT Zeiten kennt und die Möglichkeit über GPOs beim
Anmelden Scripte (im Hinterggrund) ausführen zu lassen.
Die beiden sind weitgehend identisch. Alter Wein in neuen Schläuchen. Bei den GPO Scripten gibt es allerdings mehr Auswahl, denn die klassischen Scripte kennen keine Computer Startup/Shutdown und keine Logoff Scripte, und man kann GPO Scripten Parameter mitgeben.
Hauptnachteil (neben dem nachfolgend beschriebenen K.O. bei Mehrfachmitgliedschaften) ist, dass beide Arten von Scripten im Kontext des Benutzers laufen. Man kann also keine Dinge machen, die der Benutzer nicht auch könnte, und das schließt viele Anwendungen im Sicherheitsbereich von vornherein aus. GPO Scripte haben dann noch einen zweiten Designnachteil, den die klassischen Scripte nicht hatten: der klassische Script kann Prozesse erzeugen, die ihn überleben, also z.B. ein Inventarisier- oder Softwareverteiltool anstarten, das eion wenig länger braucht, und das im Speicher bleibt wenn das Script längst beendet wurde. Der GPO Script Prozessor killt, sobald der Script durchgelaufen ist, alls noch nicht beendeten Tocherprozesse, die o.g. Programme würden also hart terminiert.
Vorrangig geht es lediglich um eine gruppenbasierte Zuweisung
von Netzlaufwerken.
Das geht - außer in trivialen Fällen - weder mit klassischen noch mit GPO basierten Scripten vernünftig. Erstens kann man klassische Scripte gar nicht, und GPO Scripte nur mit Kopfstand (Gruppenrichtlinienfilter) überhaupt an eine Gruppe klemmen. Aber das ist das kleinere Übel. Hauptproblem ist, dass der Mechnismus keine Priorisierung kennt, und daher bei mehrfachen Mitgliedschaften - was der Normalfall ist - jämmerlich versagt.
–> alles was ich kenne, was MS zu diesem Thema je publiziert hat, ist trivial und deshalb fast immer Quatsch.
Wie gehts wirklich?
Der Kernpunkt ist nicht, ob Du die Scripte klassisch oder GPO basiert aufrufst, das ist letztendlich für diese Anwenung Geschmackssache. Der Kernpunkt ist, dass ein Benutzer aus vielerlei Gründen Mitglied vieler Gruppen wird, und Du für die Automatisierung benutzerspezifisch eine dieser Gruppen markieren musst als seine „Wichtigste“ Gruppe. Früher ging das mal mit der „Primären Gruppe“ ganz gut, bis sie im Zuge der AD Einführung versaut wurde - seiter ist diese einfache Weg nur noch in kleinen Netzen (
Hallo,
danke für die ausführliche Erläuterung.
Wir haben hier bei uns ein paar User, die mit Laptops und UMTS (+ VPN-Client mit Domainlogon) ausgestatet sind. Die wollen natürlich auch unterwegs ihre Laufwerke haben. Bisher verbinden wir die Laufwerke über GPO (mit WMI-Filter). Ich musste aber feststellen, dass Windows die Verarbeitung der GPOs über UMTS sehr schnell abbricht (Eventlog: Netzwerkanbindung zu langsam).
Diese User haben jetzt zusätzlich ein KIX Script, damit das auch über langsame VPNs klappt.
Da ich Windows nicht studiert habe, wollte ich mal wissen, wie man die Laufwerks-Verbindungen denn in Redmond gedacht hat.
Klaus
Hallo,
danke für die ausführliche Erläuterung.
Wir haben hier bei uns ein paar User, die mit Laptops und UMTS
(+ VPN-Client mit Domainlogon) ausgestatet sind. Die wollen
natürlich auch unterwegs ihre Laufwerke haben. Bisher
verbinden wir die Laufwerke über GPO (mit WMI-Filter). Ich
musste aber feststellen, dass Windows die Verarbeitung der
GPOs über UMTS sehr schnell abbricht (Eventlog:
Netzwerkanbindung zu langsam).
Die berühmten Wanderarbeiter sind also mal wieder das Problem. Aus Redmond gibt es dazu - wie fast immer - meinem Wissen nach nichts was weiterhilft, aber das ist natürlich schwer zu sagen, denn wer hat überhaupt jemals von sich sagen können, *alle* aktuellen Microsoft Dokumentation gelesen, verstanden oder auch nur gefunden zu haben.
Ich habe meine VPN User deshalb so wie Du auch mit eigener Software glücklich gemacht. Der VPN Client kennt Gott sei Dank eine Möglichkeit, in bestimmte Events eigene Programme einzuklinken. Ich verwende das unter Anderem dazu, Laufwerke anzubinden, wenn das VPN erfolgreich verbunden wurde, sie zu trennen bevor das VPN abgebaut wird, und auch dazu, bei Verbindungsproblemen einen zweiten Server zu probieren.
GPO basierte Scripte sind dazu m.E. ebenso ungeeignet wie der klassische Logon-Script.
Diese User haben jetzt zusätzlich ein KIX Script, damit das
auch über langsame VPNs klappt.
Kix 
Ein alter Bekannter
Da ich Windows nicht studiert habe, wollte ich mal wissen, wie
man die Laufwerks-Verbindungen denn in Redmond gedacht hat.
Gar nicht.
Du merkst es wahrscheinlich an meinem etwas abfälligen Ton, wenn es um Microsofts Lösungsvorschläge geht, dass ich wenig von den „Netzwerktechnologieen“ des Konzerns halte. In einfachen Umgebungen, wenn die Netze klein sind und die Verbindungen exzellent, käuft das ganze Werkel meistens so halbwegs. Widerliche Betriebsbedingungen wie Roaming User über schlechte Leitungen kann Microsoft technisch nicht zuverlässig bedienen. Die Lücke füllt die Marketingabteilung mit warmer Luft.
Soweit meine Meinung.
Armin.