Windows-Server-2003
您可以創建多個單獨的 Active Directory GPO 登錄腳本嗎?
在我的活動目錄中,我目前在包含登錄腳本的域對像上有一個 GPO。
我想創建一個新組,我可以將使用者添加到其中並讓它執行附加/不同的登錄腳本。
我嘗試創建一個新的 OU,將組放在 OU 中,將使用者添加到組中。在 OU 中,我創建了一個 GPO 並設置了使用者登錄腳本 - 我使用瀏覽按鈕導航到腳本文件。UNC 路徑看起來是正確的,我驗證了使用者/機器實際上可以訪問它並正確執行它。
問題是它似乎不起作用。我重新啟動機器,登錄,腳本似乎沒有執行。
我猜這可能是因為其他域 GPO 中的登錄腳本(設置為不覆蓋)(也許是不覆蓋這是問題……?)?
您是否可以僅從單個 GPO 定義一個登錄腳本,或者您是否可以擁有多個 GPO,每個 GPO 都帶有登錄腳本?
是的,在多個 GPO 中執行多個登錄腳本是完全可能的,但可能並不完全按照您想要的方式。
第一個選項
這種方法對我們來說效果很好,但是您的需求可能會有所不同。擁有多個 OU 和子 OU,並將不同的 GPO 與連結的登錄腳本應用到鏈的更下方。
採用以下 OU 結構 - 我有一個連結到 Acme Widgets 的全域登錄腳本 GPO,一個連結到內部的內部登錄腳本 GPO,以及下面的各種特定於部門的登錄腳本。實際上,我在 Acme Widgets 和 Internal for XP、Vista 和 7 上鍊接了多個登錄腳本,這些腳本是根據 GPO 上的作業系統版本 WMI 過濾器應用的。
Acme 小元件 內部的 金融 人力資源 它 銷售量
第二種選擇
這聽起來與您所追求的更相似。創建您的 GPO,將您的登錄腳本添加到其中並將它們全部連結到適當的 OU。修改 GPO 的權限,以便只有特定組的成員有權讀取並應用 GPO。
至於為什麼腳本不適用,這是我通常的故障排除步驟。
- 組策略客戶端確實在事件日誌中記錄了一些內容。檢查可能阻止腳本執行的任何警告或錯誤。
- 登錄後以互動方式執行腳本(即轉到
\\SVR\Scripts\Logon.vbs
並執行它)。如果您抑制錯誤或警告,請在執行腳本之前啟用它們。此外,以標準使用者身份執行它 - 而不是管理使用者。- 對於 Windows XP,執行
gpresult > GP.txt
並檢查您獲得了哪些策略,過濾掉了什麼等。/v
開關(詳細)也很有用,如果您真的想要資訊過載,請嘗試/z
(超級詳細)開關。- 對於 Windows Vista 及更高版本,用於
gpresult /h GP.html
為您獲得的組策略創建更好的輸出。它在 Internet Explorer 中打開,與您在組策略管理控制台中獲得的 RSOP 摘要幾乎相同。- 如果您使用的是筆記型電腦,則無線可能不會立即連接,並且可能僅在登錄時才這樣做,並且應該在登錄腳本執行之後。也許檢查更新的無線驅動程序,但你可能會被這個卡住。我知道我有一些筆記型電腦不能很好地無線工作,除非你連接到他們提供的英特爾 crapplet,它只在登錄後連接。