AD Forest/Domain-Level 2008 R2 mit Win7/Win10 Clients - Logonscripte

[Maraun 12]

Hallo zusammen,

 

wir nutzen für knapp 1400 Clients zum großen Teil noch Batch-Logonscripte, die im Sysvol Verzeichnis abgelegt werden.

Der weitaus kleine Teil der Clients hat ein VBScript, das basierdend auf den AD-Zugriffsrechten die Laufwerke mapped.

Die Batchdateien sind auch mit klassischen net use xyz: \\fileserver\verzeichnis aufgebaut, damit User die Abteilungsshares gemapped bekommen.

Aber auch da können wir mittlerweile keinen Standard (jedes Share mit exklusivem Buchstaben für Gleichheit) gewährleisten.

 

Ich plane schon lange, dies mal Umzustellen, habe aber ehrlich gesagt keine Ahnung, wohin die Reise gehen soll:

Powershell-Scripte, Gruppenrichtlinien, etc.

Wir nutzen lokal gespeicherte Benutzerprofile und haben etwa 1250 Windows 7 Clients, knapp 100 Windows 10 Clients und einige Veteranen/Exoten (NT, XP - Produktionsmaschinen).

 

Kann vielleicht jemand mit Erfahrung dienen, was möglich ist hinsichtlich der Logonscripte oder hat vielleicht bereits jemand eine ähnliche Umstellung von statischen

Logonscripten hin zu was neuerem bereits vollzogen?

Vielen Dank vorab.

[zahni 550]

Ganz wirst Du sie nicht wegbekommen. Kollege nutzt aber für Netzlaufwerke und Drucker die  GPP. Dort kann man z.B. auch Zuordnungen entsprechend zu Gruppenmitgliedschaften machen.

[MurdocX 933]

Wir nutzen beides. Die GPP für die Netzlaufwerke und die PS-Skripte für spezielle Tasks / Konfigs. Funktioniert beides ohne Probleme oder sonstige Schwierigkeiten. 

[lefg 276]

Moin

 

Voreingestellt haben wir nur noch ein Root-Share, das wird per GPP als Laufwerk R verbunden. Darin sieht der User nur die Sub-Verzeichnisse, auf die er Berechtigung hat. Darauf können sich die hochqualifizierten und hochbezahlten User bei Bedarf weitere Laufwerke verbinden. Eine bebilderte Erläuterung und Anleitung dazu gibt es im Intranet.

bearbeitet 26. August 2017 von lefg

[Maraun 12]

Hallo zusammen,

 

vielen Dank für die Antworten.

@zahni: Das hatte ich befürchtet (dass Logonskripte erhalten bleiben)...
@lefg: Soweit muss ich kommen. Wie oft gibt es Usertickets, nach dem Motto, ich habe keinen Zugriff, dabei fehlt einfach der Link auf "\\fileserver\verzeichnis".

Denke, dass GPP´s mein Ansatz sein werden.

[daabm 1.334]

Aus der Erfahrung: Wer skripten kann, sollte für Laufwerke und Drucker Skripte verwenden. GPP sind nur eine Krücke.

Und wegen der Laufwerkzuordnungen: Wie Edgar schon schreibt - verbinde einen DFS-Stamm für alle immer auf dem gleichen Buchstaben und regle den Rest über ABE. Ist auf mittlere und lange Sicht der mit Abstand einfachste Weg.

[Doso 77]

Gruppenrichtlinien für Drucker und Laufzwerkszuweisungen. Mit der Zielgruppenadressierung kann man das dann entsprechend der Gruppen mappen. Damit haben wir unsere Login Skripte alle abgeschafft. Fall es doch mal was geben sollte was damit nicht geht: Auch per GPO kann man Skripte ausführen lassen.

[daabm 1.334]

Doso, die GPP habern gegenüber einem Skript einen signifikanten Nachteil:

 

Skripts kann ich asynchron ausführen, dann spielt die Laufzeit keine Rolle. Die GPP werden _immer_ synchron vor der Anmeldung ausgeführt. Wenn da ein neuer Druckertreiber installiert wird (womöglich noch über WAN) oder ein UNC-Pfad nicht erreichbar ist, dann führt das zu unangenehmen Verzögerungen bei der Anmeldung :cool: