gpo планировщик заданий запуск скрипта
Не могу создать задание в планировщик задач средствами GPO, что можно сделать?
Microsoft (R) Windows (R) Operating System Group Policy Result tool v2.0
c 2013 Microsoft Corporation. All rights reserved.
Created on 3/29/2016 at 3:01:50 PM
RSOP data for KEY4\vetal on K401-SRV-WIKI01 : Logging Mode
————————————————————
OS Configuration: Member Server
OS Version: 6.3.9600
Site Name: Default-First-Site-Name
Roaming Profile: N/A
Local Profile: C:\Users\vetal
Connected over a slow link?: No
COMPUTER SETTINGS
——————
CN=K401-SRV-WIKI01,OU=Key4 Server,DC=key4,DC=local
Last time Group Policy was applied: 3/29/2016 at 3:01:33 PM
Group Policy was applied from: K4-DC.key4.local
Group Policy slow link threshold: 500 kbps
Domain Name: KEY4
Domain Type: Windows 2008 or later
Applied Group Policy Objects
——————————
test sheduler
Port
zabbix_install_3
Default Domain Policy
AppLocker
The following GPOs were not applied because they were filtered out
——————————————————————-
Local Group Policy
Filtering: Not Applied (Empty)
The computer is a part of the following security groups
——————————————————-
BUILTIN\Administrators
Everyone
BUILTIN\Users
NT AUTHORITY\NETWORK
NT AUTHORITY\Authenticated Users
This Organization
K401-SRV-WIKI01$
Domain Computers
Only_K4_Computers
Authentication authority asserted identity
System Mandatory Level
USER SETTINGS
—————
CN=‚Ёв «Ё© „гЎа®ўбЄЁ©,OU=ѓ®«®ўЁ© ®д?б,DC=key4,DC=local
Last time Group Policy was applied: 3/29/2016 at 3:01:35 PM
Group Policy was applied from: K4-DC.key4.local
Group Policy slow link threshold: 500 kbps
Domain Name: KEY4
Domain Type: Windows 2008 or later
The following GPOs were not applied because they were filtered out
——————————————————————-
Local Group Policy
Filtering: Not Applied (Empty)
The user is a part of the following security groups
—————————————————
Domain Users
Everyone
BUILTIN\Users
BUILTIN\Administrators
REMOTE INTERACTIVE LOGON
NT AUTHORITY\INTERACTIVE
NT AUTHORITY\Authenticated Users
This Organization
LOCAL
RDS_Admins
RDS_Group
Domain Admins
Recipient Management
Contact Manager
Public Folder Management
Organization Management
Authentication authority asserted identity
Denied RODC Password Replication Group
High Mandatory Level
Личные IT заметки
среда, 9 сентября 2015 г.
GPO AD: Computer Startup scripts and Powershell (часть 1: Создание.Запуск)
Не так часто мне удавалось видеть рабочую конфигурацию «Сценария запуска для компьютера» и уж тем более не доводилось реализовать. Но вот возникла необходимость. И казалось-бы у Miscrosoft в редакторе GPO имеются для этого комфортные средства. Бери и делай! Но что-то пошло не так. и мои скрипты не захотели работать. Поэтому здесь я опишу то, с чем мне пришлось столкнуться в процессе решения такой задачи.
Выбор расположения скриптов и права доступа
Мои скрипты расположены не только в папке политики, которая их и будет выполнять.
Один скрипт у меня находится: \\domen.local\SysVol\domen.local\Policies\
Второй скрипт вызывается из первого и у меня он находится: \\domen.local\NETLOGON\zabbix_install.ps1
В открывшемся окне перейти на вкладку Сценарии PowerShell и нажать внизу кнопку: Показать файлы
И это касается каждой папки, к которой планируется обращение от имени доменного компьютера.
Выбор скрипта для запуска и редактирование GPO
Интерфейс добавления скрипта для обработки в GPO неоднозначен, что касается выбора расположения скрипта и предоставляет различные возможности. А именно: прописать скрипт по локальному пути, по сетевой шаре, указать параметры запуска и даже порядок выполнения, относительно скриптов-пакетников.
По большому счету все. НО! По умолчанию, ваши PS скрипты не будут запускаться даже из сети, основываясь на безопасности GPO.
Путей решения несколько. Разрешить запуск любых скриптов. Или использовать политику безопасности, которая позволит запускать скрипты, расположенные локально или в сети, но при этом скрипты должны быть подписаны.
В этой части я напишу о том, где регулируется этот параметр, а в следующей части можно будет прочитать про то, как подписывать свои скрипты.
По умолчанию она выключена, а это значит, что выполнение скриптов ЗАПРЕЩЕНО!
Для проверки текущей политики безопасности существует командлет:
Get-ExecutionPolicy
Restricted — блокируются любые скрипты.
AllSigned — разрешены только те, которые имеют цифровую подпись
Bypass — ничего не блокируется, никакие предупреждения и запросы не появляются.
Последний вариант часто используют в пакетниках, вызывая доверенные ps1 скрипты, для беспроблемного запуска. Например:
Запуск скриптов в Windows Server 2012 R2 Windows 8.1 и выше
Чтобы это исправить необходимо скорректировать еще один пункт в политике безопасности.
На данный момент уровень моего домена и леса = 2012. Как и все контроллеры домена, под управлением Windows Server 2012. А в этих версиях отсутствует параметр управления этой задержкой. Поэтому первое, что необходимо сделать, это скачать административные шаблоны ADMX отсюда: http://www.microsoft.com/ru-ru/download/details.aspx?id=41193
Скачав файл Windows8.1-Server2012R2ADMX-RTM запустите его установку на одном из контроллеров домена. Путь по умолчанию будет: C:\Program Files (x86)\Microsoft Group Policy\Windows 8.1-Windows Server 2012 R2\PolicyDefinitions\ Зайдите в эту папку и удалите лишние языковые директории. Я оставил лишь en-US и ru-RU т.к. имею в распоряжении русскую и английскую версию оснастки.
Теперь необходимо создать Централизованное хранилище политик. На контроллере домена скопировать папку PolicyDefinitions целиком из %systemroot% в папку %systemroot%\sysvol\domain\policies\
Затем скопировать содержимое из папки C:\Program Files (x86)\Microsoft Group Policy\Windows 8.1-Windows Server 2012 R2\PolicyDefinitions\ в папку %systemroot%\sysvol\domain\policies\PolicyDefinitions\
В последствии эти шаблоны будут автоматически распространены и для других контроллеров домена. А вам необходимо только перезапустить оснастку редактора групповых политик.
Включаем этот параметр и выставляем значением «0 мин». Таким образом мы полностью отключаем задержку сценария входа.
Теперь наши скрипты будут также успешно работать и в Windows 2012 R2 и Windows 8.1 при загрузке компьютера!
Продолжение:
Также вы можете посмотреть мои обращения в Microsoft Technet, где мне успешно помогали решать эти задачи. За что коллегам отдельная благодарность!
Gpo планировщик заданий запуск скрипта
Вопрос
Имеется контроллер домена Windows server 2012 R2. Не получается раздать задание планировщика на рабочие станции. После добавления в групповую политику задания и перезагрузки рабочей станции в журнале появляются ошибки:
Источник: Group Policy Scheduled Tasks
Элемент предпочтения компьютер «MyTask» в объекте групповой политики «MySite <74056DBF-24DE-43A1-AF00-D5C249A7DAE1>» не применен по причине ошибки с кодом ‘0x80070005 Отказано в доступе.’ Эта ошибка была отключена.
Куда копать? Тестовая рабочая станция на Windows 8.1.
Ответы
Вот нашёл отдельную тему по данному вопросу
И не ординарное решение, как запускать от имени «SYSTEM»
Все ответы
На что распространяется политика (компьютер или пользователь).
Какие условия, применения данной Scheduled Tasks.
А по возможности лучше скриншоты политики и куда она прилинкована.
Конфигурация компьютера
————————
CN=SYSADMIN,CN=Computers,DC=MyDomain,DC=local
Последнее применение групповой политики: 05.04.2016 в 11:11:10
Групповая политика была применена с: TServer.MyDomain.local
Порог медленного канала для групповой политики: 500 kbps
Имя домена: MYDOMAIN
Тип домена: Windows 2008 или более поздняя версия
Примененные объекты групповой политики
—————————————
test2
Default Domain Policy
MySite
Local Group Policy
Следующие политики GPO не были применены, так как они отфильтрованы
———————————————————————
Hibernate_off
Фильтрация: Отказано (безопасность)
Компьютер является членом следующих групп безопасности
——————————————————
Администраторы
Все
Пользователи
СЕТЬ
Прошедшие проверку
Данная организация
SYSADMIN$
Компьютеры домена
Подтвержденное центром проверки подлинности удостоверение
Обязательный уровень системы
Скриншоты прикладываю (политика называется MySite, как и сам сайт, задание называется TestGlobal).
Судя по ошибке все таки проблема с учеткой (и отказано ей в доступе)
User GPP Scheduled Task item fails to apply and logs event id: 4098 with 0x80070005 «Access is denied.»
http://support.microsoft.com/kb/2447414
Для полной уверенности предлагаю ещё снять лог
«Configure Scheduled Tasks preference logging and tracing» setting under the «Computer Configuration\Policies\Administrative Templates\System\Group Policy\Logging and tracing» node.
For Windows 7, the log file is located in the folloiwng folder.
%SYSTEMDRIVE%\ProgramData\GroupPolicy\Preference\Trace
Включил трассировку Scheduled Tasks, после чего дважды запускал команду gpupdate /force и перезагружал рабочую станцию, но папка GroupPolicy не появляется в ProgramData! Тем временем в журнале снова появились ошибки «элемент предпочтения TestGlobal не применен». Что я делаю не так?
Прикрепляю вывод rsop, после проведенных манипуляций.
В Win 8 просто в другом месте логи
Ну, всё правильно. Смотрю в реестр
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\ Common AppData = C:\ProgramData
Смотрю в C:\ProgramData и не вижу папки GroupPolicy. Почему-то папка не создается.
Может тогда пойти от обратного. На сколько принципиально распространение задачи на компьютер?
Может она будет выполнятся от пользователя и распространятся будет на пользователя.
Задача нужна именно на компьютер, т. к. должна выполяться даже если пользователь не залогинился. Разобрался, почему не работала трассировка: не заметил опции «Трассировка: отключено». Теперь трассировка заработала и после перезагрузки в ней вижу те же ошибки «отказано в доступе». Не понятно кому и к чему в доступе отказано. Как можно узнать?
Gpo планировщик заданий запуск скрипта
Вот где я нашел сам скрипт для этого
круто. как вы его запускаете?
The opinion expressed by me is not an official position of Microsoft
3й раз написать вопрос?
The opinion expressed by me is not an official position of Microsoft
Я не понял суть вашего вопроса, подробнее сможете
вы в блокноте сохранили vbs, и сразу после этого у вас начинают спрашивать пароль? или может вы все таки еще что-то делаете?
Что такое сценарии запуска? Как вы его «туда» ставите? под какими пользователями выполняется скрипт? Логон скрипты? стартап скрипты?
я понял что вы нашли в сети скрипт его скачали и пытаетесь запустить но я не понимаю КАК вы это делаете
The opinion expressed by me is not an official position of Microsoft
При прямом запуске скрипта, он некоторые секунды скачивает в фоновом режиме файл ехе установочник с гитхаба, после скачки, скрипт хочет его установить и прописать туда адрес моей веб службы вот в этом моменте он запрашивает желтым UAC админский пароль
При прямом запуске скрипта, он некоторые секунды скачивает в фоновом режиме файл ехе установочник с гитхаба, после скачки, скрипт хочет его установить и прописать туда адрес моей веб службы вот в этом моменте он запрашивает желтым UAC админский пароль
1 (вопрос к первому абзацу) пользователь админ на той раб станции где запускаете скрипт руками?
2 (утверждение ко второму абзацу) Пользовательские политики выполняются в контексте пользователя и если он (пользователь) не админ то появление окна закономерно. Как решение можно пробовать впихнуть скрипт в контекст компьютера, в таком случае прав у пользователя System хватит
в теории возможны проблемы с загрузкой так как на момент старта системы интернета еще может не быть, но давайте решать вопросы постепенно
The opinion expressed by me is not an official position of Microsoft
Запуск PowerShell скриптов с помощью GPO
В современных операционных системах (Windows 10 / Windows Server 2016) вы можете настраивать запуск логон/логоф скриптов на PowerShell напрямую из редактора GPO.
Запустите консоль управления доменными политиками — GPMC.msc (Group Policy Management сonsole), создайте новую политику и назначьте ее на нужный контейнер с пользователями или компьютерами (можно использовать WMI фильтры GPO для более тонкого нацеливания политики). Перейдите в режим редактирования политики.
Вы должны выбрать раздел GPO для запуска PowerShell скрипта в зависимости от того, когда вы хотите выполнить ваш скрипт.
Запуск PowerShell скрипта при загрузке компьютера с помощью групповой политики
Допустим, нам нужно запускать PowerShell скрипт при загрузке Windows. Для этого нужно выбрать Startup и в открывшемся окне перейди на вкладку PowerShell Scripts.
Теперь нужно скопировать файл с вашим PowerShell скриптом на контроллер домена. Нажмите на кнопку Show Files и перетяните файл с PowerShell скриптом (расширение ps1) в открывшееся окно проводника (консоль автоматически откроет каталог \\yourdomain\SysVol\yourdomain\Policies\<Здесь_GUID_вашей_GPO>\Machine\Scripts\Startup вашей политики в каталоге SysVol на ближайшем контроллере домена).
Теперь нужно нажать кнопку Add и добавить скопированный файл скрипта ps1 в список запускаемых политикой PowerShell скриптов.
Если вы запускаете несколько PowerShell скриптов через GPO, вы можете управлять порядком из запуска с помощью кнопок Up/Down.
Если вам не подходит не один из предложенных сценариев настройки политики запуска PowerShell скриптов, вы можете запускать PowerShell скрипты в режиме Bypass (скрипты не блокируются, предупреждения не появляются).
dp0 при запуске на клиенте автоматически преобразуются в UNC путь до каталога со скриптом на SYSVOL.
В данном случае вы принудительно разрешили запуск любого (даже ненадежного) скрипта PowerShell с помощью параметра Bypass.