прежде всего убедитесь, что политика применяется runnin rsop из командной строки на компьютере.
во-вторых, убедитесь, что скрипт доступен из общей папки, которую политика будет читать из нее.
Не говоря уже о некоторых политиках, требующих перезагрузки даже после gpupdate / force . Если он находится в разделе Конфигурация пользователя и применяется в подразделении компьютеров, убедитесь, что для режима обработки замыкания на себя установлено значение объединено.
Что Я подозреваю, что есть проблема с пакетный файл вызова файла vbs я бы рекомендовал следующее:
запустить командную строку и попробовать назвать файл вручную один раз из-за повышенного cmd и в другой раз от нормального ЦМД, и это действительно зависит от методов, которые вы пытаетесь вызвать VBS файл с Либо это cscript или WScript сейчас, не говоря уже о том, что некоторые из этих пакетных файлов лучше быть настроен в качестве входа скрипты в настройках пользователя, а не компьютер (который я предпочитать.)
теперь попробуйте отредактировать пакетный файл, вызывающий скрипт, следующим образом:
@echo off
%WINDIR%SysWOW64cmd.exe
cscript script.vbs or pathscript.vbs
Я думаю, что лучше хранить сценарий в общей папке Sysvol. Или можно просто добавить сценарий vbs в сценарий входа. Кроме того, если вставить содержимое пакетного файла было бы легче диагностировать, что происходит.
В этом руководстве я постараюсь рассказать вам о типичных причинах, по которым объект групповой политики (GPO) не может быть применён к организационном подразделении (OU), конкретному компьютеру или пользователю домена. Думаю, эта статья будет полезна как новичкам, так и IT-специалистам для понимания работы и архитектуры GPO. Прежде всего, я расскажу о возможных проблемах применения GPO, связанных с настройками политики на уровне домена, вместо устранения проблем с GPO на клиентах. Практически все параметры, описанные в статье, настраиваются с помощью Консоли управления групповыми политиками (GPMC.msc).
Если параметр политики не применяется к клиенту, проверьте область действия GPO. Если вы настраиваете параметр в разделе Computer Configuration («Конфигурация компьютера»), ваша групповая политика должна быть сопряжена с организационным подразделением (OU) объектов компьютеров. То же самое верно, если вы установите свои параметры в разделе User configuration («Конфигурации пользователя»).
Также убедитесь, что объект, к которому вы пытаетесь применить свой GPO, находится в правильном контейнере AD (OU) компьютеров или пользователей. Если у вас много объектов и вы не можете вспомнить, в каком организационном подразделении находится нужный вам пользователь или компьютер, то вы можете выполнить поиск по объектам в своём домене. После выполнения поиска, чтобы узнать, в какое организационное подразделение (OU) помещён найденный объект, дважды кликните на него, перейдите на вкладку Object («Объект»), где в поле «Каноническое имя объекта» вы увидите полный путь, включающий имя организационного подразделения.
Связанная статья: Поиск по Active Director групп и пользователей с использованием подстановочных знаков
Это означает, что целевой объект должен находиться в подразделении, с которым связана политика (или во вложенном контейнере AD).
Фильтрация безопасности в GPO
Проверьте настройки Security Filtering («фильтрации безопасности») в своей политике. По умолчанию для всех новых объектов GPO в домене включены разрешения для группы Authenticated Users («Прошедшие проверку»). В эту группу входят все пользователи и компьютеры в домене. Это означает, что политика будет применяться ко всем пользователям и компьютерам в пределах её области действия.
Если вы хотите изменить фильтрацию безопасности, чтобы применить политику только к членам определённой группы безопасности (или определенным пользователям/компьютерам), удалите «Authenticated Users» из списка фильтрации безопасности и убедитесь, что целевой объект (пользователь или компьютер) добавлен в нужную вам группу AD. Также убедитесь, что группа, которую вы добавили в фильтр безопасности, имеет разрешения Read и Apply group policy с установленным флажком Allow («Разрешить») в GPO → Delegation → кнопка Advanced (GPO → Делегирование → кнопка «Дополнительно»).
Если вы используете нестандартные фильтры безопасности GPO, убедитесь, что нет явного запрета на использование GPO для целевых групп (Deny).
Фильтрация GPO WMI
В объекте групповой политики можно использовать специальные фильтры WMI. Таким образом, вы можете применить политику к своим компьютерам на основе некоторого запроса WMI. Например, вы можете создать фильтр WMI GPO для применения политики только к компьютерам с определённой версией Windows, к компьютерам в определённой IP-подсети, только к ноутбукам и так далее.
При использовании фильтрации WMI групповой политики убедитесь, что ваш запрос WMI верен. Он должен выбирать только те системы, которые вам нужны, и ни один целевой компьютер не исключается. Вы можете протестировать свой WMI-фильтр на компьютерах с помощью PowerShell:
gwmi -Query 'select * from Win32_OperatingSystem where Version like "10.%" and ProductType="1"'
Если запрос возвращает какие-либо данные, то к этому компьютеру будет применён фильтр WMI.
Статус GPO
Проверьте статус GPO на вкладке Details свойств политики в GPMC.msc. Обратите внимание на значение в раскрывающемся списке GPO Status («Состояние объекта групповой политики»).
Как видите, доступно 4 варианта:
- All settings disabled (Все настройки отключены) — все настройки политики отключены (GPO не применяется);
- Computer configuration settings disabled (Параметры конфигурации компьютера отключены) — параметры только из конфигурации компьютера вашего GPO не применяются;
- User configuration settings disabled (Параметры конфигурации пользователя отключены) — параметры из раздела конфигурации пользователя не применяются;
- Enabled (Включено) — все настройки GPO применяются к целевым объектам AD (значение по умолчанию).
Делегирование групповой политики
Разрешения, настроенные для политики, отображаются на вкладке «Делегирование» объекта групповой политики. Здесь вы можете увидеть, какие члены группы могут изменять параметры этого объекта групповой политики и применяется ли к ним политика. Вы можете предоставить права на управление GPO с этой консоли или с помощью мастера делегирования Active Directory в ADUC. Если есть разрешение на доступ Enterprise Domain Controllers («Контроллеры домена предприятия»), эта политика может быть реплицирована между контроллерами домена Active Directory (обратите внимание на это, если у вас есть какие-либо проблемы репликации политики между контроллерами домена). Обратите внимание, что разрешения на вкладке «Делегирование» соответствуют разрешениям NTFS, назначенным каталогу политики в папке SYSVOL.
Блокирование наследования и принудительное применение в ссылке групповой политики
Наследование — одна из основных концепций GPO. По умолчанию политики высокого уровня применяются ко всем вложенным объектам в иерархии домена. Однако администратор может заблокировать применение всех унаследованных политик к определённому подразделению. Для этого щёлкните правой кнопкой мыши подразделение в консоли управления групповыми политиками и выберите Block inheritance («Заблокировать наследование»).
Подразделения с включённой опцией заблокированного наследования отмечены синим восклицательным знаком в консоли.
Если политика не применяется к клиенту, проверьте, не принадлежит ли он подразделению с заблокированной опцией наследования.
Обратите внимание, что политики домена с включённым свойством Enformed применяются даже к подразделениям с заблокированным параметром наследования (вы можете увидеть унаследованные политики, применённые к контейнеру, на вкладке Group Policy Inheritance).
Область действия GPO и порядок приоритетной обработки (LSDOU)
Чтобы запомнить порядок, в котором групповые политики применяются в домене, запомните аббревиатуру LSDOU. GPO применяются к клиентам в следующем порядке:
- Политики локального компьютера (Local), настроенные в gpedit.msc (Редактор локальной групповой политики);
- GPO уровня сайта (Site);
- GPO уровня домена (Domain).
- Объекты групповой политики с уровня организационного подразделения (Organizational Unit).
Последние политики имеют наивысший приоритет. Это означает, что если вы включите какой-либо параметр Windows на уровне домена, он может быть отключён другой политикой на уровне организационного подразделения (если представить иерархию AD, то чем ближе в этой иерархии групповая политика к объекту, тем выше у неё приоритет).
При использовании опции Forced («Принудительно») приоритет будет отдаваться политике, стоящей выше в иерархии домена (например, если для политики домена по умолчанию включён параметр Forced («Принудительно»), она будет иметь более высокий приоритет, чем любой другой объект групповой политики).
Администратор также может изменить порядок обработки политики с помощью консоли GPMC (Управление групповой политикой). Для этого выберите подразделение и перейдите на вкладку Linked Group Policy Objects («Связанные объекты групповой политики»). Там вы увидите список GPO, применённых к этому OU с указанным приоритетом. Политики обрабатываются в обратном порядке (снизу вверх). Это означает, что в последнюю очередь будет применяться политика с Link Order 1 (Порядком ссылки 1). Вы можете изменить приоритет GPO, используя стрелки в левом столбце, и переместить политику вверх или вниз в списке.
Link Enabled Setting («Связь включена») для GPO
Для любого объекта GPO, связанного с организационным подразделением AD, может быть включена или отключена опция Link Enabled («Связь включена»). Если связь отключена, её значок становится серым. Когда связь отключена, политика не применяется к клиентам, но ссылка на объект GPO не удаляется из иерархии домена. Вы можете включить связь в любое время.
Как включить GPO Loopback Processing Mode (режим обработки замыкания GPO)
Если вы включили Loopback Processing mode («Режим обработки замыкания»), вы можете применить настройки из раздела «Конфигурация пользователя» к объекту компьютера. Вы можете включить режим кольцевой обработки в следующем разделе редактора GPO: Computer Configuration → Policies → Administrative Templates → System → Group Policy → Configure user Group Policy Loopback Processing mode (в русифицированной версии Конфигурация компьютера → Политики → Административные шаблоны → Система → Групповая политика → Настройка режима обработки замыкания пользовательской групповой политики). Например, если вы включите обработку обратной связи политики, зададите некоторые параметры в разделе «Конфигурация пользователя» и свяжете политику с подразделением с объектами компьютеров, эти параметры политики будут применены к выполнившим вход пользователям.
Этот режим обработки замыкания политики имеет два возможных значения:
- Merge («Слияние») – сначала к пользователю применяется объект групповой политики на основе местоположения пользователя, а затем применяется объект групповой политики, связанный с компьютером. В случае конфликта политик OU пользователя и компьютера, политика компьютера будет иметь более высокий приоритет.
В этом режиме политика запускается дважды, обратите внимание на это при использовании сценариев входа в систему. - Replace («Замена») – к пользователю будут применяться только политики, назначенные подразделению, содержащему компьютер, на котором пользователь вошёл в систему.
Устранение неполадок GPO на стороне клиента
Вы можете диагностировать применение GPO на стороне клиента с помощью gpresult, rsop.msc или Просмотра событий Windows (eventvwr.msc).
Смотрите также: Использование инструмента GPResult для проверки того, какие объекты групповой политики применяются
Чтобы увидеть журнал событий применения групповых политик, откройте Event Viewer («Просмотр событий»), это можно сделать с помощью команды:
eventvwr.msc
В средстве просмотра событий вы можете фильтровать события по источнику для этого нажмите «Создать настраиваемое представление» и в качестве источника выберите GroupPolicy (Microsoft-Windows-GroupPolicy).
Вы увидите журнал событий, связанных с применением групповых политик:
Такого же результата вы можете достичь если в окне Event Viewer («Просмотр событий») перейдёте по пути Applications and Services Logs → Microsoft → Windows → Applications and Services Logs → Group Policy → Operational (в русскоязычной версии это Журналы приложений и служб → Microsoft → Windows → Group Policy → Operational.
Вы также можете прочитать статью «Устранение неполадок, связанных с медленной обработкой GPO и снижением скорости входа в систему», в которой описаны некоторые дополнительные принципы диагностики объектов групповой политики.
Подводя итог, я рекомендую сделать структуру GPO как можно более простой и не создавать ненужных политик. Используйте прозрачную схему именования политик: имя должно чётко указывать, для чего предназначен объект групповой политики.
Связанные статьи:
- Использование инструмента GPResult для проверки того, какие объекты групповой политики применяются (100%)
- Устранение неполадок, связанных с медленной обработкой GPO и снижением скорости входа в систему (100%)
- Актуализация настроек групповой политики на компьютерах домена Windows (90.3%)
- Настройка политики паролей домена в Active Directory (66.2%)
- Fine-Grained Password Policy: Как создать детальную политику паролей в Active Directory (66.2%)
- Управление ролями и функциями Windows Server с помощью PowerShell (RANDOM — 50%)
Прежде всего убедитесь, что политика применяется runnin rsop из командной строки на компьютере.
Во-вторых, убедитесь, что скрипт доступен из общей папки, из которой будет считываться политика.
Не говоря уже о некоторых политиках, требуется перезагрузка даже после gpupdate /force. Если он размещен в пользовательской конфигурации и вы применяете его на OU компьютеров, убедитесь, что режим обработки обратной петли установлен на объединение.
Что я подозреваю, что есть проблема с командным файлом, вызывающим файл VBS, я бы порекомендовал следующее:
Запустите командную строку и попробуйте вызвать файл вручную один раз из повышенного cmd и в другой раз из обычного cmd, и это действительно зависит от методов, которые вы пытаетесь вызвать файл vbs с помощью cscript или wscript, не говоря уже о что некоторые из этих командных файлов лучше всего настраивать как сценарии входа в систему в настройках пользователя, а не на компьютере (что я предпочитаю).
Теперь попробуйте отредактировать командный файл, который вызывает скрипт следующим образом:
@echo off
%WINDIR%SysWOW64cmd.exe
cscript script.vbs or pathscript.vbs
Я думаю, что лучше хранить сценарий в общей папке Sysvol. Или вы можете просто добавить скрипт vbs в скрипт входа в систему. Также, если вы вставите содержимое командного файла, будет проще диагностировать, что происходит.
Не работает сценарий входа в систему.
В Windows 2003 Server, сценарии входа в систему могут быть назначены и развернуты групповой политикой домена с или без внедрения Active Directory. Главное преимущество использования групповой политики для обеспечения сценариев входа в систему в том, что будет легче, когда нужно изменить имя скрипта или добавить новые скрипты для входа в систему.Однако, иногда рабочие станции имеют проблемы, когда при входе скрипты не работают или не выполняется, даже если сценарии входа в систему были должным образом назначены с помощью групповой политики, а VBScripts имеет правильный путь в контроллере домена (т.е.% SystemRoot% Sysvol Sysvol имя_домена Scripts папки).
Проблема не работоспособности сценария входа в систему с помощью групповой политики из-за медленного сетевого подключения (данные передаются от контроллера домена, обеспечивая политику обновления компьютеров в группе), которая была обнаружена во время начального процесса входа в систему. Если групповая политика имеет медленный канал обнаружения, сценарий входа в систему не будет работать, если параметры политики обработки определяются для переопределения указанных реакций программы на медленном канале. По умолчанию, медленным каналом обнаружения являются:
Политики, применяемые параметры реестра, политики безопасности, EFS политики восстановления и IP-безопасности, в то время как политики, которые не применяются для развертывания приложений, скриптов, перенаправление папок и дисковых квот.
Разрешение или временное решение проблемы входа в систему scipts не задействуются и не работают , смысл состоит в создании или изменении объекта групповой политики (GPO) для изменения поведения по умолчанию:
- Откройте на компьютере пользовательский Active Directory консоль управления Microsoft (MMC) и щёлкните правой кнопкой мыши на объекте домена и выберите Свойства.
- Выберите вкладку Групповая политика.
- Если вы используете консоль управления групповыми политиками для MMC, запустите управление групповыми политиками и пропустите шаги 1,2 .
- Выберите Политика домена по умолчанию (или любого другую политику домена) и нажмите кнопку Изменить. (Щелкните правой кнопкой на Политика домена по умолчанию)
- Перейдите к Конфигурация компьютера -> Административные шаблоны -> Система -> Групповая политика.
- Посмотрите для обработки Scripts политики. Дважды щелкните на Scipts обработки политики и выделите Включено. Затем, также выделите Разрешить обработку через медленное подключение к сети в поле и нажмите кнопку ОК.
Примечание: Другие поведения по умолчанию, которые не выполняется, когда медленный канал обнаружен также могут быть изменены:
Перенаправление папок обработки политики
Дисковая квота политики обработки
сценарии обработки политики
восстановление EFS обработки политики
Установка программного обеспечения Обработки политики
IP политики безопасности обработки
Internet Explorer обслуживание обработки политики
беспроводная обработка политики
- Закройте оснастку.
- Перезагрузите удаленный компьютер или рабочую станцию.
Вы также можете изменить предустановленные настройки для медленного соединения связи для пользователей, которые применяются к пользователям, независимо от того, на каком компьютере они вошли в систему. Шаги будут аналогичны описанным выше, но вместо того, чтобы перейти в Конфигурация компьютера, перейдите к Конфигурация пользователя. После этого идите в Административные шаблоны -> Система -> Групповая политика. Включите (кнопка проверка включена) обработку сценариев политики, а затем установите флажок Разрешить обработку через медленное соединение сети.
Кроме того, можно отключить ссылку групповой политики медленного обнаружения непосредственно, выделив Включить групповую политику медленного канала обнаружения, а затем введите 0 в поле скорость подключения.
P.P.S. Если у Вас есть вопросы, желание прокомментировать или поделиться опытом, напишите, пожалуйста, в комментариях ниже.
- Распечатать
Оцените статью:
- 5
- 4
- 3
- 2
- 1
(1 голос, среднее: 5 из 5)
Поделитесь с друзьями!
Всем привет!
Столкнулся с проблемой запуска сценариев Автозагрузки для компьютера.
Что пробовал:
а) сначала пробовал запустить напрямую сценарий PowerShell. Т.е. во второй вкладке для сценариев — указал адрес к скрипту: \domen.localnetlogonmain.ps1 = не работало.
б) затем решил попробовать из первой вкладки запускать, путем: Имя сценария: C:WindowsSystem32WindowsPowerShellv1.0powershell.exe
Параметры сценария: -noprofile -command %logonserver%netlogonMain.ps1
И такой вариант тоже не запускается.
Политика применяется для компьютеров. Сценарий в конфигурации компьютеров. Скрипты ps1 все подписаны и проверены на работоспособность. В gpresult видно, что эта политика применяется, но вот запусков этого сценария нет. Другие параметры
для компьютера в этой политике применяются. Например распространение сертификата.
Подскажите, где промахнулся?
I have a powershell script I am trying to execute and I have placed it inside a GPO under Computer ConfigurationPoliciesWindows SettingsScriptsStartup. I receive and Event 1130 Error in the System log on the target PC with the a listing of the network
share the script is contained, domain.comSysVoldomain.comPolicies {GUID}Machine. I have made certain that the machine, authenticated users, domain computers all have at least read and execute permissions. Although, when I go to run the script directly
from the path above after logon, I get Access is denied.
Other settings I have tried to get this script to run:
Under System/Group Policy, «Configure Environment preference extension policy processing»= Enabled with «Allow processing across slow network connection» also enabled as well as «Process even if group policy objects have not changed»
is enabled.
«Configure Network Options preference extension policy processing» is «Enabled»
«Configure Logon Script Delay» = Enabled and set to 0
Under SystemLogon, «Always wait for the network at computer startup and logon» = Enabled
Under Windows Components/Windows Powershell, «Turn on Script Execution» with Execution Policy set to «Allow local scripts and remote signed scripts».
How do I correct the error so as to allow logon.
I have a powershell script I am trying to execute and I have placed it inside a GPO under Computer ConfigurationPoliciesWindows SettingsScriptsStartup. I receive and Event 1130 Error in the System log on the target PC with the a listing of the network
share the script is contained, domain.comSysVoldomain.comPolicies {GUID}Machine. I have made certain that the machine, authenticated users, domain computers all have at least read and execute permissions. Although, when I go to run the script directly
from the path above after logon, I get Access is denied.
Other settings I have tried to get this script to run:
Under System/Group Policy, «Configure Environment preference extension policy processing»= Enabled with «Allow processing across slow network connection» also enabled as well as «Process even if group policy objects have not changed»
is enabled.
«Configure Network Options preference extension policy processing» is «Enabled»
«Configure Logon Script Delay» = Enabled and set to 0
Under SystemLogon, «Always wait for the network at computer startup and logon» = Enabled
Under Windows Components/Windows Powershell, «Turn on Script Execution» with Execution Policy set to «Allow local scripts and remote signed scripts».
How do I correct the error so as to allow logon.
I have a powershell script I am trying to execute and I have placed it inside a GPO under Computer ConfigurationPoliciesWindows SettingsScriptsStartup. I receive and Event 1130 Error in the System log on the target PC with the a listing of the network
share the script is contained, domain.comSysVoldomain.comPolicies {GUID}Machine. I have made certain that the machine, authenticated users, domain computers all have at least read and execute permissions. Although, when I go to run the script directly
from the path above after logon, I get Access is denied.
Other settings I have tried to get this script to run:
Under System/Group Policy, «Configure Environment preference extension policy processing»= Enabled with «Allow processing across slow network connection» also enabled as well as «Process even if group policy objects have not changed»
is enabled.
«Configure Network Options preference extension policy processing» is «Enabled»
«Configure Logon Script Delay» = Enabled and set to 0
Under SystemLogon, «Always wait for the network at computer startup and logon» = Enabled
Under Windows Components/Windows Powershell, «Turn on Script Execution» with Execution Policy set to «Allow local scripts and remote signed scripts».
How do I correct the error so as to allow logon.
Содержание
- Microsoft windows grouppolicy 1130
- Microsoft windows grouppolicy 1130
- Вопрос
- Все ответы
- Microsoft windows grouppolicy 1130
- Вопрос
- Ответы
- Все ответы
Microsoft windows grouppolicy 1130
Профиль | Отправить PM | Цитировать
Доброго времени суток уважаемые коллеги!
На новой работе достался в наследство домен с двумя контроллерами, один из них хозяин Windows 2012
Встала необходимость настроить аудит, и тут то собственно и возникла ошибка.
При попытке зайти через управление групповой политикой возникает ошибка — следующего характера:
указанный домен не доступен или к нему невозможно подключится,
если отказаться от данного мастера — то появляется диалог с выбором другого контроллера или изменением Роли текущего
и если отказаться от этого мастера то в оснастке видна групповая политика к которой подключится невозможно.
в Журнале постоянно видны ошибки с кодом 1030:
Ошибка при обработке групповой политики.
Windows пыталась получить новые параметры групповой политики для этого пользователя или компьютера.
На вкладке «Подробности» можно найти код и описание
подскажите как можно восстановить работоспособность GPO?
» width=»100%» style=»BORDER-RIGHT: #719bd9 1px solid; BORDER-LEFT: #719bd9 1px solid; BORDER-BOTTOM: #719bd9 1px solid» cellpadding=»6″ cellspacing=»0″ border=»0″>
Сообщения: 3724
Благодарности: 747
Сообщения: 3724
Благодарности: 747
» width=»100%» style=»BORDER-RIGHT: #719bd9 1px solid; BORDER-LEFT: #719bd9 1px solid; BORDER-BOTTOM: #719bd9 1px solid» cellpadding=»6″ cellspacing=»0″ border=»0″>
Меня настораживает все таки мысль о том что про просмотре GPO в оснастке мастером — пытается искать КД в домене csoft.ru хотя лес у нас org и не находит ни одного КД »
Сообщения: 3724
Благодарности: 747
» width=»100%» style=»BORDER-RIGHT: #719bd9 1px solid; BORDER-LEFT: #719bd9 1px solid; BORDER-BOTTOM: #719bd9 1px solid» cellpadding=»6″ cellspacing=»0″ border=»0″>
192.168.0.2 — должен быть (это адрес приходящий от Провайдерского роутера) »
но выбрав КД выходит ошибка что КД нет в домене csoft.ru »
» width=»100%» style=»BORDER-RIGHT: #719bd9 1px solid; BORDER-LEFT: #719bd9 1px solid; BORDER-BOTTOM: #719bd9 1px solid» cellpadding=»6″ cellspacing=»0″ border=»0″>
Сообщения: 3724
Благодарности: 747
192.168.0.2 это адрес на внешней сетевушке »
Читайте также: Live linux no gui
During Group Policy processing, the Scripts client-side extension is responsible for launching not only computer startup and shutdown scripts but also user logon and logoff scripts.
| Product: | Windows Operating System |
| ID: | 1130 |
| Source: | Microsoft-Windows-GroupPolicy |
| Version: | 6.0 |
| Symbolic Name: | gpEvent_SCRIPT_FAILURE |
| Message: | %5 failed. %tGPO Name : %6%tGPO File System Path : %7%tScript Name: %8 |
Resolve
Correct a scripts extension failure
Possible resolutions include:
- Logon and logoff scripts: Ensure the user has the proper file permissions to read and run the script. Users must have the Read and Execute NTFS permission. If the script is located on a network share, the user must also have Read share permissions.
- Startup and shutdown scripts: Ensure the computer account has the proper file permissions to read and run the script. Computers must have the Read and Execute NTFS permission. If the script is located on a network share, the computer must also have Read share permissions.
- Verify the user or computer can start the script from %SystemRoot%system32 folder.
Group Policy applies during computer startup and user logon. Afterward, Group Policy applies every 90 to 120 minutes. Events appearing in the event log may not reflect the most current state of Group Policy. Therefore, you should always refresh Group Policy to determine if Group Policy is working correctly.
To refresh Group Policy on a specific computer:
- Open the Start menu. Click All Programs and then click Accessories.
- Click Command Prompt.
- In the command prompt window, type gpupdate and then press ENTER.
- When the gpupdate command completes, open the Event Viewer.
Group Policy is working correctly if the last Group Policy event to appear in the System event log has one of the following event IDs:
Microsoft windows grouppolicy 1130
Вопрос
We have many Win7 and Win10 and all work fine, but two PC with Windows 10 cannot apply software installation GP and startup script GP with these errors:
We try set policy:
«Always wait for the network at computer startup and logon» = Enabled
«Specify startup policy processing wait time» = 90 sec
We try set registry:
reg add HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsNetworkProviderHardenedPaths /v «*SYSVOL» /d «RequireMutualAuthentication=0» /t REG_SZ
reg add HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsNetworkProviderHardenedPaths /v «*NETLOGON» /d «RequireMutualAuthentication=0» /t REG_SZ
We try re-join this PC to domain, but its not help.
How to resolve this issue?
- Перемещено Carey Frisch MVP 4 апреля 2018 г. 10:18 Relocated
Все ответы
Please try to login the 2 computers with other work well user accounts to check again.
Then please try to leave domain, delete and reinstall network drivers on the 2 computers.
Clean the group policy cache with the following command line.
RD /S /Q «%WinDir%System32GroupPolicyUsers»
RD /S /Q «%WinDir%System32GroupPolicy»
After that, join domain again to check the issue.
If the issue persists, please disable antivirus software and firewall to check again.
Microsoft windows grouppolicy 1130
Вопрос
I’m trying to apply the following computer startup script
I’ve set up the following powershell script to disable NetBIOS
The script works fine locally. I added a schedule task under the SYSTEM account and it ran with no problems. It only fails in the computer startup via GPO
This is the error I’m receiving via event viewer
Any help would be appreciated.
extra info. I’m testing this GPO on a windows 8.1 machine. This script works fine on a server 2008, server 2012, and server 2012 R2
Ответы
Based on the description, where is the startup script stored? Please double make sure that the computer account in question has enough permissions to access the script.
Regarding Event ID 1130, the following article can be referred to for more information.
Event ID 1130 — Group Policy Scripts Processing
Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
Все ответы
I see that you have created another thread here: http://community.spiceworks.com/topic/988490-gpo-computer-startup-script-fails-to-run-eventid-1130-error-code-267
If the recommendations still do not fix your problem then please update the thread here.
This posting is provided AS IS with no warranties or guarantees , and confers no rights.
>>The script works fine locally. I added a schedule task under the SYSTEM account and it ran with no problems. It only fails in the computer startup via GPO
Did we allow remote PowerShell scripts to run the clients? If not, we can try to enable the following policy setting and select proper option to allow PowerShell script to be executed:
Computer Configuration> Administrative Templates> Windows Components>Windows Powershell> Turn on Script Execution
If the issue persists, on the client, we can try to directly navigate to where the script is stored and run the script to see if it can be successfully run.
Hello Spiceheads.
Our organization is currently working on rolling out Teams org-wide to replace Skype for Business, and part of that process involves me setting up a Group Policy to install Teams remotely to everyone’s computers. I was originally going to simply deploy the .msi file for the Teams machine-wide installer, but then after some research, I discovered that only installs Teams for users signing into a PC for the first time, which wouldn’t help me at all right now, since I need it installed for everyone on their existing machine. So, I did some more digging and found a handy PowerShell script that runs the regular .exe installer from a specified network share, after checking if Teams is already installed.
So, I placed the .exe installer in a network share that’s open to all authenticated users, added the powershell script as a Logon (user) script to a GPO linked to a test OU (with a test user and computer in it), and then ran logged off the computer and logged back in as the test user. It didn’t install Teams, so I checked Event Viewer and found an error. «Logon script failed», with an Event ID of 1130 and ErrorDescription of «Incorrect Function» I’ve been doing some Googling and found several other posts, including on Spiceworks, that reported similar issues, but none helped me fix my issue. I already double-checked the file permissions on the script and the .exe, so that’s not the problem. I was also able to run the PowerShell script manually and it worked just fine, it’s just won’t run automatically via GP. I did check the Execution Policy for PowerShell, and it says it’s Unrestricted, so that shouldn’t be the issue either.
The script is stored in the default <domain>SysVol<domain>Policies<policy>UserScriptsLogon folder, and the .exe is stored in our company share directory. I specified «-SourcePath <path>» for the script in GP; I tried with both the DNS name and the IP address, neither worked.
Script: https://gallery.technet.microsoft.com/scriptcenter/Install-Teams-Desktop-b1ffd424 Opens a new window
Script author’s blog post with instructions:
https://practical365.com/collaboration/teams/deploying-microsoft-teams-desktop-client/ Opens a new window
Script code:
Powershell
<# .SYNOPSIS Install-MicrosoftTeams.ps1 - Microsoft Teams Desktop Client Deployment Script .DESCRIPTION This PowerShell script will silently install the Microsoft Teams desktop client. The Teams client installer can be downloaded from Microsoft: https://teams.microsoft.com/downloads .PARAMETER SourcePath Specifies the source path for the Microsoft Teams installer. .EXAMPLE .Install-MicrosoftTeams.ps1 -Source mgmtInstallsMicrosoftTeams Installs the Microsoft Teams client from the Installs share on the server MGMT. .NOTES Written by: Paul Cunningham Find me on: * My Blog: http://paulcunningham.me * Twitter: https://twitter.com/paulcunningham * LinkedIn: http://au.linkedin.com/in/cunninghamp * Github: https://github.com/cunninghamp For more Office 365 tips, tricks and news check out Practical 365. * Website: http://practical365.com * Twitter: http://twitter.com/practical365 Change Log V1.00, 15/03/2017 - Initial version #> #requires -version 4 [CmdletBinding()] param ( [Parameter(Mandatory=$true)] [string]$SourcePath ) function DoInstall { $Installer = "$($SourcePath)Teams_windows_x64.exe" If (!(Test-Path $Installer)) { throw "Unable to locate Microsoft Teams client installer at $($installer)" } Write-Host "Attempting to install Microsoft Teams client" try { $process = Start-Process -FilePath "$Installer" -ArgumentList "-s" -Wait -PassThru -ErrorAction STOP if ($process.ExitCode -eq 0) { Write-Host -ForegroundColor Green "Microsoft Teams setup started without error." } else { Write-Warning "Installer exit code $($process.ExitCode)." } } catch { Write-Warning $_.Exception.Message } } #Check if Office is already installed, as indicated by presence of registry key $installpath = "$($env:LOCALAPPDATA)MicrosoftTeams" if (-not(Test-Path "$($installpath)Update.exe")) { DoInstall } else { if (Test-Path "$($installpath).dead") { Write-Host "Teams was previously installed but has been uninstalled. Will reinstall." DoInstall } }
It also looks like the script author is a Spicehead, so I tagged him as well (maybe? I think it’s the same person).
Содержание
- Ошибка сценарий входа 1130
- Answered by:
- Question
- Answers
- All replies
- Ошибка сценарий входа 1130
- Вопрос
- Ответы
- Все ответы
- Group Policy Logon script failing with Event ID 1130 and «Incorrect Function»
- Ошибка сценарий входа 1130
- Вопрос
- Ответы
- Все ответы
- Ошибка сценарий входа 1130
- Вопрос
- Все ответы
This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.
Answered by:
Question
I’m trying to apply the following computer startup script
I’ve set up the following powershell script to disable NetBIOS
The script works fine locally. I added a schedule task under the SYSTEM account and it ran with no problems. It only fails in the computer startup via GPO
This is the error I’m receiving via event viewer
Any help would be appreciated.
extra info. I’m testing this GPO on a windows 8.1 machine. This script works fine on a server 2008, server 2012, and server 2012 R2
Answers
Based on the description, where is the startup script stored? Please double make sure that the computer account in question has enough permissions to access the script.
Regarding Event ID 1130, the following article can be referred to for more information.
Event ID 1130 — Group Policy Scripts Processing
Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
I see that you have created another thread here: http://community.spiceworks.com/topic/988490-gpo-computer-startup-script-fails-to-run-eventid-1130-error-code-267
If the recommendations still do not fix your problem then please update the thread here.
This posting is provided AS IS with no warranties or guarantees , and confers no rights.
>>The script works fine locally. I added a schedule task under the SYSTEM account and it ran with no problems. It only fails in the computer startup via GPO
Did we allow remote PowerShell scripts to run the clients? If not, we can try to enable the following policy setting and select proper option to allow PowerShell script to be executed:
Computer Configuration> Administrative Templates> Windows Components>Windows Powershell> Turn on Script Execution
If the issue persists, on the client, we can try to directly navigate to where the script is stored and run the script to see if it can be successfully run.
Источник
Вопрос
I’m trying to apply the following computer startup script
I’ve set up the following powershell script to disable NetBIOS
The script works fine locally. I added a schedule task under the SYSTEM account and it ran with no problems. It only fails in the computer startup via GPO
This is the error I’m receiving via event viewer
Any help would be appreciated.
extra info. I’m testing this GPO on a windows 8.1 machine. This script works fine on a server 2008, server 2012, and server 2012 R2
Ответы
Based on the description, where is the startup script stored? Please double make sure that the computer account in question has enough permissions to access the script.
Regarding Event ID 1130, the following article can be referred to for more information.
Event ID 1130 — Group Policy Scripts Processing
Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
Все ответы
I see that you have created another thread here: http://community.spiceworks.com/topic/988490-gpo-computer-startup-script-fails-to-run-eventid-1130-error-code-267
If the recommendations still do not fix your problem then please update the thread here.
This posting is provided AS IS with no warranties or guarantees , and confers no rights.
>>The script works fine locally. I added a schedule task under the SYSTEM account and it ran with no problems. It only fails in the computer startup via GPO
Did we allow remote PowerShell scripts to run the clients? If not, we can try to enable the following policy setting and select proper option to allow PowerShell script to be executed:
Computer Configuration> Administrative Templates> Windows Components>Windows Powershell> Turn on Script Execution
If the issue persists, on the client, we can try to directly navigate to where the script is stored and run the script to see if it can be successfully run.
Источник
Group Policy Logon script failing with Event ID 1130 and «Incorrect Function»
Our organization is currently working on rolling out Teams org-wide to replace Skype for Business, and part of that process involves me setting up a Group Policy to install Teams remotely to everyone’s computers. I was originally going to simply deploy the .msi file for the Teams machine-wide installer, but then after some research, I discovered that only installs Teams for users signing into a PC for the first time, which wouldn’t help me at all right now, since I need it installed for everyone on their existing machine. So, I did some more digging and found a handy PowerShell script that runs the regular .exe installer from a specified network share, after checking if Teams is already installed.
So, I placed the .exe installer in a network share that’s open to all authenticated users, added the powershell script as a Logon (user) script to a GPO linked to a test OU (with a test user and computer in it), and then ran logged off the computer and logged back in as the test user. It didn’t install Teams, so I checked Event Viewer and found an error. «Logon script failed», with an Event ID of 1130 and ErrorDescription of «Incorrect Function» I’ve been doing some Googling and found several other posts, including on Spiceworks, that reported similar issues, but none helped me fix my issue. I already double-checked the file permissions on the script and the .exe, so that’s not the problem. I was also able to run the PowerShell script manually and it worked just fine, it’s just won’t run automatically via GP. I did check the Execution Policy for PowerShell, and it says it’s Unrestricted, so that shouldn’t be the issue either.
The script is stored in the default SysVol Policies
UserScriptsLogon folder, and the .exe is stored in our company share directory. I specified «-SourcePath
» for the script in GP; I tried with both the DNS name and the IP address, neither worked.
It also looks like the script author is a Spicehead, so I tagged him as well (maybe? I think it’s the same person).
- local_offer Tagged Items
Paul-Cunningham
Источник
Ошибка сценарий входа 1130
Вопрос
I’m trying to apply the following computer startup script
I’ve set up the following powershell script to disable NetBIOS
The script works fine locally. I added a schedule task under the SYSTEM account and it ran with no problems. It only fails in the computer startup via GPO
This is the error I’m receiving via event viewer
Any help would be appreciated.
extra info. I’m testing this GPO on a windows 8.1 machine. This script works fine on a server 2008, server 2012, and server 2012 R2
Ответы
Based on the description, where is the startup script stored? Please double make sure that the computer account in question has enough permissions to access the script.
Regarding Event ID 1130, the following article can be referred to for more information.
Event ID 1130 — Group Policy Scripts Processing
Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
Все ответы
I see that you have created another thread here: http://community.spiceworks.com/topic/988490-gpo-computer-startup-script-fails-to-run-eventid-1130-error-code-267
If the recommendations still do not fix your problem then please update the thread here.
This posting is provided AS IS with no warranties or guarantees , and confers no rights.
>>The script works fine locally. I added a schedule task under the SYSTEM account and it ran with no problems. It only fails in the computer startup via GPO
Did we allow remote PowerShell scripts to run the clients? If not, we can try to enable the following policy setting and select proper option to allow PowerShell script to be executed:
Computer Configuration> Administrative Templates> Windows Components>Windows Powershell> Turn on Script Execution
If the issue persists, on the client, we can try to directly navigate to where the script is stored and run the script to see if it can be successfully run.
Источник
Ошибка сценарий входа 1130
Вопрос
We have many Win7 and Win10 and all work fine, but two PC with Windows 10 cannot apply software installation GP and startup script GP with these errors:
We try set policy:
«Always wait for the network at computer startup and logon» = Enabled
«Specify startup policy processing wait time» = 90 sec
We try set registry:
reg add HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsNetworkProviderHardenedPaths /v «*SYSVOL» /d «RequireMutualAuthentication=0» /t REG_SZ
reg add HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsNetworkProviderHardenedPaths /v «*NETLOGON» /d «RequireMutualAuthentication=0» /t REG_SZ
We try re-join this PC to domain, but its not help.
How to resolve this issue?
- Перемещено Carey Frisch MVP 4 апреля 2018 г. 10:18 Relocated
Все ответы
Please try to login the 2 computers with other work well user accounts to check again.
Then please try to leave domain, delete and reinstall network drivers on the 2 computers.
Clean the group policy cache with the following command line.
RD /S /Q «%WinDir%System32GroupPolicyUsers»
RD /S /Q «%WinDir%System32GroupPolicy»
After that, join domain again to check the issue.
If the issue persists, please disable antivirus software and firewall to check again.
Источник
Содержание
- Ошибка сценарий входа 1130
- Answered by:
- Question
- Answers
- All replies
- Ошибка сценарий входа 1130
- Вопрос
- Ответы
- Все ответы
- Group Policy Logon script failing with Event ID 1130 and «Incorrect Function»
- Ошибка сценарий входа 1130
- Вопрос
- Ответы
- Все ответы
- Ошибка сценарий входа 1130
- Вопрос
- Все ответы
Ошибка сценарий входа 1130
This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.
Answered by:
Question
I’m trying to apply the following computer startup script
I’ve set up the following powershell script to disable NetBIOS
The script works fine locally. I added a schedule task under the SYSTEM account and it ran with no problems. It only fails in the computer startup via GPO
This is the error I’m receiving via event viewer
Any help would be appreciated.
extra info. I’m testing this GPO on a windows 8.1 machine. This script works fine on a server 2008, server 2012, and server 2012 R2
Answers
Based on the description, where is the startup script stored? Please double make sure that the computer account in question has enough permissions to access the script.
Regarding Event ID 1130, the following article can be referred to for more information.
Event ID 1130 — Group Policy Scripts Processing
Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
I see that you have created another thread here: http://community.spiceworks.com/topic/988490-gpo-computer-startup-script-fails-to-run-eventid-1130-error-code-267
If the recommendations still do not fix your problem then please update the thread here.
This posting is provided AS IS with no warranties or guarantees , and confers no rights.
>>The script works fine locally. I added a schedule task under the SYSTEM account and it ran with no problems. It only fails in the computer startup via GPO
Did we allow remote PowerShell scripts to run the clients? If not, we can try to enable the following policy setting and select proper option to allow PowerShell script to be executed:
Computer Configuration> Administrative Templates> Windows Components>Windows Powershell> Turn on Script Execution
If the issue persists, on the client, we can try to directly navigate to where the script is stored and run the script to see if it can be successfully run.
Источник
Ошибка сценарий входа 1130
Вопрос
I’m trying to apply the following computer startup script
I’ve set up the following powershell script to disable NetBIOS
The script works fine locally. I added a schedule task under the SYSTEM account and it ran with no problems. It only fails in the computer startup via GPO
This is the error I’m receiving via event viewer
Any help would be appreciated.
extra info. I’m testing this GPO on a windows 8.1 machine. This script works fine on a server 2008, server 2012, and server 2012 R2
Ответы
Based on the description, where is the startup script stored? Please double make sure that the computer account in question has enough permissions to access the script.
Regarding Event ID 1130, the following article can be referred to for more information.
Event ID 1130 — Group Policy Scripts Processing
Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
Все ответы
I see that you have created another thread here: http://community.spiceworks.com/topic/988490-gpo-computer-startup-script-fails-to-run-eventid-1130-error-code-267
If the recommendations still do not fix your problem then please update the thread here.
This posting is provided AS IS with no warranties or guarantees , and confers no rights.
>>The script works fine locally. I added a schedule task under the SYSTEM account and it ran with no problems. It only fails in the computer startup via GPO
Did we allow remote PowerShell scripts to run the clients? If not, we can try to enable the following policy setting and select proper option to allow PowerShell script to be executed:
Computer Configuration> Administrative Templates> Windows Components>Windows Powershell> Turn on Script Execution
If the issue persists, on the client, we can try to directly navigate to where the script is stored and run the script to see if it can be successfully run.
Источник
Group Policy Logon script failing with Event ID 1130 and «Incorrect Function»
Our organization is currently working on rolling out Teams org-wide to replace Skype for Business, and part of that process involves me setting up a Group Policy to install Teams remotely to everyone’s computers. I was originally going to simply deploy the .msi file for the Teams machine-wide installer, but then after some research, I discovered that only installs Teams for users signing into a PC for the first time, which wouldn’t help me at all right now, since I need it installed for everyone on their existing machine. So, I did some more digging and found a handy PowerShell script that runs the regular .exe installer from a specified network share, after checking if Teams is already installed.
So, I placed the .exe installer in a network share that’s open to all authenticated users, added the powershell script as a Logon (user) script to a GPO linked to a test OU (with a test user and computer in it), and then ran logged off the computer and logged back in as the test user. It didn’t install Teams, so I checked Event Viewer and found an error. «Logon script failed», with an Event ID of 1130 and ErrorDescription of «Incorrect Function» I’ve been doing some Googling and found several other posts, including on Spiceworks, that reported similar issues, but none helped me fix my issue. I already double-checked the file permissions on the script and the .exe, so that’s not the problem. I was also able to run the PowerShell script manually and it worked just fine, it’s just won’t run automatically via GP. I did check the Execution Policy for PowerShell, and it says it’s Unrestricted, so that shouldn’t be the issue either.
The script is stored in the default SysVol Policies
UserScriptsLogon folder, and the .exe is stored in our company share directory. I specified «-SourcePath
» for the script in GP; I tried with both the DNS name and the IP address, neither worked.
It also looks like the script author is a Spicehead, so I tagged him as well (maybe? I think it’s the same person).
- local_offer Tagged Items
- Paul-Cunningham
Источник
Ошибка сценарий входа 1130
Вопрос
I’m trying to apply the following computer startup script
I’ve set up the following powershell script to disable NetBIOS
The script works fine locally. I added a schedule task under the SYSTEM account and it ran with no problems. It only fails in the computer startup via GPO
This is the error I’m receiving via event viewer
Any help would be appreciated.
extra info. I’m testing this GPO on a windows 8.1 machine. This script works fine on a server 2008, server 2012, and server 2012 R2
Ответы
Based on the description, where is the startup script stored? Please double make sure that the computer account in question has enough permissions to access the script.
Regarding Event ID 1130, the following article can be referred to for more information.
Event ID 1130 — Group Policy Scripts Processing
Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
Все ответы
I see that you have created another thread here: http://community.spiceworks.com/topic/988490-gpo-computer-startup-script-fails-to-run-eventid-1130-error-code-267
If the recommendations still do not fix your problem then please update the thread here.
This posting is provided AS IS with no warranties or guarantees , and confers no rights.
>>The script works fine locally. I added a schedule task under the SYSTEM account and it ran with no problems. It only fails in the computer startup via GPO
Did we allow remote PowerShell scripts to run the clients? If not, we can try to enable the following policy setting and select proper option to allow PowerShell script to be executed:
Computer Configuration> Administrative Templates> Windows Components>Windows Powershell> Turn on Script Execution
If the issue persists, on the client, we can try to directly navigate to where the script is stored and run the script to see if it can be successfully run.
Источник
Ошибка сценарий входа 1130
Вопрос
We have many Win7 and Win10 and all work fine, but two PC with Windows 10 cannot apply software installation GP and startup script GP with these errors:
We try set policy:
«Always wait for the network at computer startup and logon» = Enabled
«Specify startup policy processing wait time» = 90 sec
We try set registry:
reg add HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsNetworkProviderHardenedPaths /v «*SYSVOL» /d «RequireMutualAuthentication=0» /t REG_SZ
reg add HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsNetworkProviderHardenedPaths /v «*NETLOGON» /d «RequireMutualAuthentication=0» /t REG_SZ
We try re-join this PC to domain, but its not help.
How to resolve this issue?
- Перемещено Carey Frisch MVP 4 апреля 2018 г. 10:18 Relocated
Все ответы
Please try to login the 2 computers with other work well user accounts to check again.
Then please try to leave domain, delete and reinstall network drivers on the 2 computers.
Clean the group policy cache with the following command line.
RD /S /Q «%WinDir%System32GroupPolicyUsers»
RD /S /Q «%WinDir%System32GroupPolicy»
After that, join domain again to check the issue.
If the issue persists, please disable antivirus software and firewall to check again.
Источник
прежде всего убедитесь, что политика применяется runnin rsop из командной строки на компьютере.
во-вторых, убедитесь, что скрипт доступен из общей папки, которую политика будет читать из нее.
Не говоря уже о некоторых политиках, требующих перезагрузки даже после gpupdate / force . Если он находится в разделе Конфигурация пользователя и применяется в подразделении компьютеров, убедитесь, что для режима обработки замыкания на себя установлено значение объединено.
Что Я подозреваю, что есть проблема с пакетный файл вызова файла vbs я бы рекомендовал следующее:
запустить командную строку и попробовать назвать файл вручную один раз из-за повышенного cmd и в другой раз от нормального ЦМД, и это действительно зависит от методов, которые вы пытаетесь вызвать VBS файл с Либо это cscript или WScript сейчас, не говоря уже о том, что некоторые из этих пакетных файлов лучше быть настроен в качестве входа скрипты в настройках пользователя, а не компьютер (который я предпочитать.)
теперь попробуйте отредактировать пакетный файл, вызывающий скрипт, следующим образом:
@echo off
%WINDIR%SysWOW64cmd.exe
cscript script.vbs or pathscript.vbs
Я думаю, что лучше хранить сценарий в общей папке Sysvol. Или можно просто добавить сценарий vbs в сценарий входа. Кроме того, если вставить содержимое пакетного файла было бы легче диагностировать, что происходит.
В этом руководстве я постараюсь рассказать вам о типичных причинах, по которым объект групповой политики (GPO) не может быть применён к организационном подразделении (OU), конкретному компьютеру или пользователю домена. Думаю, эта статья будет полезна как новичкам, так и IT-специалистам для понимания работы и архитектуры GPO. Прежде всего, я расскажу о возможных проблемах применения GPO, связанных с настройками политики на уровне домена, вместо устранения проблем с GPO на клиентах. Практически все параметры, описанные в статье, настраиваются с помощью Консоли управления групповыми политиками (GPMC.msc).
Управление областью действия GPO
Если параметр политики не применяется к клиенту, проверьте область действия GPO. Если вы настраиваете параметр в разделе Computer Configuration («Конфигурация компьютера»), ваша групповая политика должна быть сопряжена с организационным подразделением (OU) объектов компьютеров. То же самое верно, если вы установите свои параметры в разделе User configuration («Конфигурации пользователя»).
Также убедитесь, что объект, к которому вы пытаетесь применить свой GPO, находится в правильном контейнере AD (OU) компьютеров или пользователей. Если у вас много объектов и вы не можете вспомнить, в каком организационном подразделении находится нужный вам пользователь или компьютер, то вы можете выполнить поиск по объектам в своём домене. После выполнения поиска, чтобы узнать, в какое организационное подразделение (OU) помещён найденный объект, дважды кликните на него, перейдите на вкладку Object («Объект»), где в поле «Каноническое имя объекта» вы увидите полный путь, включающий имя организационного подразделения.
Связанная статья: Поиск по Active Director групп и пользователей с использованием подстановочных знаков
Это означает, что целевой объект должен находиться в подразделении, с которым связана политика (или во вложенном контейнере AD).
Фильтрация безопасности в GPO
Проверьте настройки Security Filtering («фильтрации безопасности») в своей политике. По умолчанию для всех новых объектов GPO в домене включены разрешения для группы Authenticated Users («Прошедшие проверку»). В эту группу входят все пользователи и компьютеры в домене. Это означает, что политика будет применяться ко всем пользователям и компьютерам в пределах её области действия.
Если вы хотите изменить фильтрацию безопасности, чтобы применить политику только к членам определённой группы безопасности (или определенным пользователям/компьютерам), удалите «Authenticated Users» из списка фильтрации безопасности и убедитесь, что целевой объект (пользователь или компьютер) добавлен в нужную вам группу AD. Также убедитесь, что группа, которую вы добавили в фильтр безопасности, имеет разрешения Read и Apply group policy с установленным флажком Allow («Разрешить») в GPO → Delegation → кнопка Advanced (GPO → Делегирование → кнопка «Дополнительно»).
Если вы используете нестандартные фильтры безопасности GPO, убедитесь, что нет явного запрета на использование GPO для целевых групп (Deny).
Фильтрация GPO WMI
В объекте групповой политики можно использовать специальные фильтры WMI. Таким образом, вы можете применить политику к своим компьютерам на основе некоторого запроса WMI. Например, вы можете создать фильтр WMI GPO для применения политики только к компьютерам с определённой версией Windows, к компьютерам в определённой IP-подсети, только к ноутбукам и так далее.
При использовании фильтрации WMI групповой политики убедитесь, что ваш запрос WMI верен. Он должен выбирать только те системы, которые вам нужны, и ни один целевой компьютер не исключается. Вы можете протестировать свой WMI-фильтр на компьютерах с помощью PowerShell:
gwmi -Query 'select * from Win32_OperatingSystem where Version like "10.%" and ProductType="1"'
Если запрос возвращает какие-либо данные, то к этому компьютеру будет применён фильтр WMI.
Статус GPO
Проверьте статус GPO на вкладке Details свойств политики в GPMC.msc. Обратите внимание на значение в раскрывающемся списке GPO Status («Состояние объекта групповой политики»).
Как видите, доступно 4 варианта:
- All settings disabled (Все настройки отключены) — все настройки политики отключены (GPO не применяется);
- Computer configuration settings disabled (Параметры конфигурации компьютера отключены) — параметры только из конфигурации компьютера вашего GPO не применяются;
- User configuration settings disabled (Параметры конфигурации пользователя отключены) — параметры из раздела конфигурации пользователя не применяются;
- Enabled (Включено) — все настройки GPO применяются к целевым объектам AD (значение по умолчанию).
Делегирование групповой политики
Разрешения, настроенные для политики, отображаются на вкладке «Делегирование» объекта групповой политики. Здесь вы можете увидеть, какие члены группы могут изменять параметры этого объекта групповой политики и применяется ли к ним политика. Вы можете предоставить права на управление GPO с этой консоли или с помощью мастера делегирования Active Directory в ADUC. Если есть разрешение на доступ Enterprise Domain Controllers («Контроллеры домена предприятия»), эта политика может быть реплицирована между контроллерами домена Active Directory (обратите внимание на это, если у вас есть какие-либо проблемы репликации политики между контроллерами домена). Обратите внимание, что разрешения на вкладке «Делегирование» соответствуют разрешениям NTFS, назначенным каталогу политики в папке SYSVOL.
Блокирование наследования и принудительное применение в ссылке групповой политики
Наследование — одна из основных концепций GPO. По умолчанию политики высокого уровня применяются ко всем вложенным объектам в иерархии домена. Однако администратор может заблокировать применение всех унаследованных политик к определённому подразделению. Для этого щёлкните правой кнопкой мыши подразделение в консоли управления групповыми политиками и выберите Block inheritance («Заблокировать наследование»).
Подразделения с включённой опцией заблокированного наследования отмечены синим восклицательным знаком в консоли.
Если политика не применяется к клиенту, проверьте, не принадлежит ли он подразделению с заблокированной опцией наследования.
Обратите внимание, что политики домена с включённым свойством Enformed применяются даже к подразделениям с заблокированным параметром наследования (вы можете увидеть унаследованные политики, применённые к контейнеру, на вкладке Group Policy Inheritance).
Область действия GPO и порядок приоритетной обработки (LSDOU)
Чтобы запомнить порядок, в котором групповые политики применяются в домене, запомните аббревиатуру LSDOU. GPO применяются к клиентам в следующем порядке:
- Политики локального компьютера (Local), настроенные в gpedit.msc (Редактор локальной групповой политики);
- GPO уровня сайта (Site);
- GPO уровня домена (Domain).
- Объекты групповой политики с уровня организационного подразделения (Organizational Unit).
Последние политики имеют наивысший приоритет. Это означает, что если вы включите какой-либо параметр Windows на уровне домена, он может быть отключён другой политикой на уровне организационного подразделения (если представить иерархию AD, то чем ближе в этой иерархии групповая политика к объекту, тем выше у неё приоритет).
При использовании опции Forced («Принудительно») приоритет будет отдаваться политике, стоящей выше в иерархии домена (например, если для политики домена по умолчанию включён параметр Forced («Принудительно»), она будет иметь более высокий приоритет, чем любой другой объект групповой политики).
Администратор также может изменить порядок обработки политики с помощью консоли GPMC (Управление групповой политикой). Для этого выберите подразделение и перейдите на вкладку Linked Group Policy Objects («Связанные объекты групповой политики»). Там вы увидите список GPO, применённых к этому OU с указанным приоритетом. Политики обрабатываются в обратном порядке (снизу вверх). Это означает, что в последнюю очередь будет применяться политика с Link Order 1 (Порядком ссылки 1). Вы можете изменить приоритет GPO, используя стрелки в левом столбце, и переместить политику вверх или вниз в списке.
Link Enabled Setting («Связь включена») для GPO
Для любого объекта GPO, связанного с организационным подразделением AD, может быть включена или отключена опция Link Enabled («Связь включена»). Если связь отключена, её значок становится серым. Когда связь отключена, политика не применяется к клиентам, но ссылка на объект GPO не удаляется из иерархии домена. Вы можете включить связь в любое время.
Как включить GPO Loopback Processing Mode (режим обработки замыкания GPO)
Если вы включили Loopback Processing mode («Режим обработки замыкания»), вы можете применить настройки из раздела «Конфигурация пользователя» к объекту компьютера. Вы можете включить режим кольцевой обработки в следующем разделе редактора GPO: Computer Configuration → Policies → Administrative Templates → System → Group Policy → Configure user Group Policy Loopback Processing mode (в русифицированной версии Конфигурация компьютера → Политики → Административные шаблоны → Система → Групповая политика → Настройка режима обработки замыкания пользовательской групповой политики). Например, если вы включите обработку обратной связи политики, зададите некоторые параметры в разделе «Конфигурация пользователя» и свяжете политику с подразделением с объектами компьютеров, эти параметры политики будут применены к выполнившим вход пользователям.
Этот режим обработки замыкания политики имеет два возможных значения:
-
Merge («Слияние») – сначала к пользователю применяется объект групповой политики на основе местоположения пользователя, а затем применяется объект групповой политики, связанный с компьютером. В случае конфликта политик OU пользователя и компьютера, политика компьютера будет иметь более высокий приоритет.
В этом режиме политика запускается дважды, обратите внимание на это при использовании сценариев входа в систему. - Replace («Замена») – к пользователю будут применяться только политики, назначенные подразделению, содержащему компьютер, на котором пользователь вошёл в систему.
Устранение неполадок GPO на стороне клиента
Вы можете диагностировать применение GPO на стороне клиента с помощью gpresult, rsop.msc или Просмотра событий Windows (eventvwr.msc).
Смотрите также: Использование инструмента GPResult для проверки того, какие объекты групповой политики применяются
Чтобы увидеть журнал событий применения групповых политик, откройте Event Viewer («Просмотр событий»), это можно сделать с помощью команды:
eventvwr.msc
В средстве просмотра событий вы можете фильтровать события по источнику для этого нажмите «Создать настраиваемое представление» и в качестве источника выберите GroupPolicy (Microsoft-Windows-GroupPolicy).
Вы увидите журнал событий, связанных с применением групповых политик:
Такого же результата вы можете достичь если в окне Event Viewer («Просмотр событий») перейдёте по пути Applications and Services Logs → Microsoft → Windows → Applications and Services Logs → Group Policy → Operational (в русскоязычной версии это Журналы приложений и служб → Microsoft → Windows → Group Policy → Operational.
Вы также можете прочитать статью «Устранение неполадок, связанных с медленной обработкой GPO и снижением скорости входа в систему», в которой описаны некоторые дополнительные принципы диагностики объектов групповой политики.
Подводя итог, я рекомендую сделать структуру GPO как можно более простой и не создавать ненужных политик. Используйте прозрачную схему именования политик: имя должно чётко указывать, для чего предназначен объект групповой политики.
Связанные статьи:
- Использование инструмента GPResult для проверки того, какие объекты групповой политики применяются (100%)
- Устранение неполадок, связанных с медленной обработкой GPO и снижением скорости входа в систему (100%)
- Актуализация настроек групповой политики на компьютерах домена Windows (90.3%)
- Настройка политики паролей домена в Active Directory (66.2%)
- Fine-Grained Password Policy: Как создать детальную политику паролей в Active Directory (66.2%)
- Поиск по Active Director групп и пользователей с использованием подстановочных знаков (RANDOM — 50%)