Legacy-Anmeldeskripts haben ausgedient - Gruppenrichtlinienbasierte Anmeldeskripts

Lesezeit
2 Minuten
Bis jetzt gelesen

Legacy-Anmeldeskripts haben ausgedient - Gruppenrichtlinienbasierte Anmeldeskripts

07.08.2007 - 10:06
Veröffentlicht in:
Mithilfe von Skripts können Sie als Administrator Systeme beinahe beliebig steuern. Während jedoch bei Windows NT lediglich ein Anmeldeskript bei der Anmeldung eines Benutzers abgearbeitet werden konnte, stehen in Active Directory mit den gruppenrichtlinienbasierten An- und Abmeldeskripts sowie den Skripts für das Starten und Herunterfahren fast beliebige Möglichkeiten für die Systemkonfiguration zur Verfügung.
Ohne Active Directory ist es nur möglich, Benutzern in den Eigenschaften des Benutzerobjekts ein Anmeldeskript (auch als Legacy- Anmeldeskript bezeichnet) zuzuweisen. Aus Kompatibilitätsgründen können Legacy- Skripts auch weiterhin verwendet werden, ggf. zusätzlich. Wesentlich mehr Möglichkeiten bieten hingegen gruppenrichtlinienbasierte Skripts, vor allem durch die Möglichkeit, mehrere Skripts kombinieren zu können.

Gruppenrichtlinien-basierte Skripts hinzufügen
Die auszuführenden Skripts können im jeweiligen Gruppenrichtlinienobjekt in den Containern Benutzereinstellungen/Windows‑Einstellungen/ Skripts (Anmelden/Abmelden) bzw. Computereinstellungen/Windows‑Einstellungen/ Skripts (Start/Herunterfahren) angegeben werden. Um ein Skript hinzuzufügen, ist lediglich der Skriptname in dem in der Abbildung gezeigten Dialogfeld einzutragen. Bei Bedarf können zusätzlich Parameter für den Start des Skripts angegeben werden.

Gängige Skriptformate werden unterstützt
Unterstützt werden alle gängigen Skriptformate (Batch, Java, Visual Basic u.a.), sofern der Interpreter auf dem jeweiligen System installiert ist. Auf Computern mit Windows 2000 oder höher steht standardmäßig der WSH zur Verarbeitung von JS- und VBS-Skripts zur Verfügung.

 Hinweis: Umgang mit Anmeldeskripts in heterogenen Umgebungen
Gruppenrichtlinien werden nur von Computern verarbeitet, die mindestens Windows 2000 verwenden. Sind noch Windows-NT-Clientrechner im Einsatz, müssen für diese Benutzer Legacy- Anmeldeskripts in den Benutzereigenschaften eingetragen werden.
Müssen sich Benutzer sowohl an Windows- NT-Rechnern als auch an Clients unter Windows 2000 oder höher anmelden, kann diesen Benutzern zusätzlich ein gruppenrichtlinienbasiertes Anmeldeskript zugewiesen werden. In diesem Fall wird bei der Anmeldung an einem Windows-2000- oder Windows-XP-Client zunächst das gruppenrichtlinienbasierte Anmeldeskript und anschließend das Legacy-Anmeldeskript ausgeführt


Skripts speichern und bearbeiten
Am einfachsten ist es, wenn die Skripts in den vorgeschlagenen Standardordnern gespeichert werden. Damit werden sie automatisch im Rahmen der Active-Directory-Replikation auf alle Domänencontroller repliziert. Dabei handelt es sich um die unten aufgeführten Ordner. Die GUID im Pfad steht für die eindeutige Kennung des Gruppenrichtlinienobjekts.

    %Windir%\SYSVOL\sysvol\\Policies\GUID\Machine\Skripts\Startup\
    %Windir%\SYSVOL\sysvol\\Policies\GUID\Machine\Skripts\Shutdown\
    %Windir%\SYSVOL\sysvol\\Policies\GUID\User\Skripts\Logon\
    %Windir%\SYSVOL\sysvol\\Policies\GUID\User\Skripts\Logoff\

Werden alternative Ordner verwendet, muss sichergestellt werden, dass alle betroffenen Systeme darauf Zugriff haben.

Skripte nachträglich bearbeiten
Um ein Skript nachträglich zu bearbeiten, muss man sich nicht durch die Ordnerstruktur hangeln. Verwenden Sie hierzu einfach die Schaltfläche Dateien anzeigen in der Eigenschaftendialogbox der gewünschten Skriptart. Dies öffnet den Pfad in einem Explorer-Fenster und ermöglicht die direkte Bearbeitung des Quelltexts der Skriptdatei.

Die Skriptverarbeitung steuern
Sind in einem Gruppenrichtlinienobjekt mehrere Skripts für die An- und Abmeldung eines Benutzers eingetragen, so werden sie in der Reihenfolge von oben nach unten abgearbeitet. Die Reihenfolge kann mithilfe der Schaltflächen Nach oben und Nach unten geändert werden. Wurden einem Benutzer Skripts in mehreren Gruppenrichtlinienobjekten zugewiesen, so addieren sich diese. Gleiches gilt für die Verarbeitung von Skripts beim Starten und Herunterfahren. Auch hier können Sie die Reihenfolge manuell festlegen.

Anwendungsreihenfolge der Skripts beachten!
Bei der Anwendungsreihenfolge der Skripts ist außerdem zu beachten, dass sie synchron oder asynchron sein kann, was vor allem Auswirkungen hat, wenn Skripts in mehreren Gruppenrichtlinienobjekten definiert wurden. Synchrone Verarbeitung: Startskripts werden standardmäßig synchron verarbeitet, d.h. ein Skript muss beendet oder wegen Zeitüberschreitung abgebrochen werden, bevor das nächste Skript gestartet wird. Asynchrone Verarbeitung: Bei einer asynchronen Verarbeitung werden die Skripts gleichzeitig ausgeführt, was den Start- bzw. Anmeldevorgang beschleunigt. Standardmäßig werden Anmeldeskripts asynchron ausgeführt.

AD-Richtlinien zur Skriptsteuerung verfügbar
Um die Ausführung von Skripts wirksam steuern zu können, stellt Active Directory entsprechende Richtlinien zur Verfügung. Sie befinden sich in den Containern Computerkonfiguration\ Administrative Vorlagen\System\ Skripts bzw. Benutzerkonfiguration\Administrative Vorlagen\System\Skripts. Mittels dieser Richtlinien kann z.B. festgelegt werden, dass der Anmeldeskriptprozess fertiggestellt wird, bevor der Benutzer Zugriff auf den Desktop erhält. Außerdem kann für die Verarbeitung von Startskripts eine asynchrone Anwendung festgelegt werden.

Wie dargestellt werden hierbei die Startskripts gleichzeitig ausgeführt, was jedoch nur zu empfehlen ist, wenn die Skripts voneinander unabhängig sind. Vor der Aktivierung der asynchronen Verarbeitung sollten Startskripts daher sorgfältig auf Abhängigkeiten geprüft werden.



Ausgabe 12/06 aus dem Admins Favorite Magazin S. 4, Autorin: Manuela Reiss

Ähnliche Beiträge

Netzwerkverwaltung an der Medizinischen Universität Wien

Die IT-Abteilung der Medizinischen Universität Wien betreibt das Netzwerk der Universität, wozu die Betreuung von rund 10.000 Anschlüssen sowie Hunderten Endgeräten und Servern gehört. Für diese Aufgabe wurde eine neue Informations- und Planungssoftware für Kabelmanagement und Netzwerkdokumentation implementiert. Das neue Werkzeug ist flexibel, skalierbar und deckt die steigenden Sicherheitsanforderungen voll ab.

Zero-Touch-Provisionierung von aktiven Netzwerkkomponenten (3)

Zero-Touch-Provisionierungsprozesse sind im Rollout von Client-PCs und Servern bereits lange Zeit Standard. Im Gegensatz dazu kommen diese Prozesse bei aktiven Netzwerkkomponenten wie Routern und Switches nur selten zum Einsatz. Im dritten und letzten Teil gehen wir auf weitere Varianten ein, etwa die ZTP-Provisionierung ohne proprietären Server, die Boot-Loader-Variante iPXE oder das alte Verfahren AutoInstall.

Zero-Touch-Provisionierung von aktiven Netzwerkkomponenten (2)

Zero-Touch-Provisionierungsprozesse sind im Rollout von Client-PCs und Servern bereits lange Zeit Standard. Im Gegensatz dazu kommen diese Prozesse bei aktiven Netzwerkkomponenten wie Routern und Switches nur selten zum Einsatz. Im zweiten Teil der Workshopserie schildern wir den proprietären Cisco-Ansatz "Network-Plug-and-Play", der über eine GUI erfolgt und bei dem sich die ausgerollten Komponenten an die Gegebenheiten im Netzwerk anpassen lassen.