Automatierte Logon Script Ausführung bei einer Domänenverbindung

[Alienated 0]

Folgendes versuche ich zu erreichen:

Benutzer meldet sich per VPN an: unmittelbar nach dem VPN Verbindungsaufbau soll das Logon Script(Verbindung der Netzlaufwerke) des Benutzers ausgeführt werden . 
Die Bedingungen (wie z.B. Logon Script Name) sollen Variabel sein, da es zahlreiche Personen und Computer betrifft.
Betriebssystem: Windows 10 1809
VPN Client: Cisco Anyconnect

Folgende Lösung habe ich dazu herausgefunden:
-Aufgabenplanung
-Task: Logon Script ausführen
-Trigger beim Ereignis -> Benutzerdefiniert:

<QueryList>
<Query Id="0" Path="Microsoft-Windows-NetworkProfile/Operational">
<Select Path="Microsoft-Windows-NetworkProfile/Operational">*[System[(EventID=10000)]] and *[EventData[Data[@Name='Category'] and (Data='2')]]</Select>
</Query>
</QueryList>

Die Ereignis ID 10000 mit der Kategorie 2 wird generiert wenn man sich mit der Domäne verbindet ( also der VPN Verbindungsaufbau erfolgreich war).

Das ganze funktioniert auch wenn man den Computer z.B. startet und sofort sich per VPN verbindet.

Das Problem:
Wenn man den Rechner mehrere Minuten laufen lässt und dann sich per VPN verbindet wird die entsprechende Ereignis ID nicht generiert und der Logon Script nicht ausgeführt. 

Ich konnte das Problem auf mehreren Rechner mit unterschiedlichen Benutzeranmeldungen reproduzieren. Auch meine erfahrene IT Kollegen konnten mir bei diesem Problem nicht helfen, wenn hierzu jemand eine Lösung findet würde es mich sehr wundern und erfreuen!

Den Tipp zu der SQL Abfrage habe ich von hier:

https://ardamis.com/2015/09/09/windows-event-log-query-for-domain-joined-network-connection/

[testperson 1.677]

Hi,

 

was macht das Logon Script denn bzw. warum soll es auf den Clients die per VPN angemeldet sind ausgeführt werden?

 

Ggfs. wäre Always On VPN ein Ansatz: https://docs.microsoft.com/en-us/windows-server/remote/remote-access/vpn/always-on-vpn/

 

Gruß

Jan

[Alienated 0]

Das Logon script verbindet die Netzlaufwerke. Wenn die Clients in der Domäne gestartet werden wir das Script automatisch ausgeführt (Funktionsweise Windows Logon Scripts). Wenn die Clients außerhalb der Domäne gestartet werden, ist das natürlich nicht möglich und muss von daher mit der VPN Verbindung ausgeführt werden.

[testperson 1.677]

Dann verbinde die Netzlaufwerke doch mit "NET USE <LW:> <\\Server\Share> /PERSISTENT:YES". Dann bleiben sie da und können nach dem Aufbau des Tunnels genutzt werden.

[Alienated 0]

Das habe ich auch schon getestet. Es gibt da einfach genug Probleme, dass wir das nicht nutzen z.B. Wenn auf einem Netzlaufwerk eine Archivdatei liegt auf die Outlook zugreift, wir diese nicht geöffnet werden können. Das Laufwerk wird so lange als nicht verfügbar angezeigt, bis man ein Doppelklick drauf macht. 

[testperson 1.677]

Outlook Archivdatei auf Netzlaufwerk über WAN... Das wird, früher oder später, egal wie Probleme machen.

Wenn die User von außerhalb auf Daten in der Zentrale zugreifen sollen wären Remote Desktop Dienste noch eine weitere, gute Option.

 

Alternativ eben Always On VPN oder als "Würgaround" die VPN Verbindung, sofern möglich, über eine Batch starten und dort im Anschluss bei Erfolg die Netzlaufwerke verbinden.

[Sunny61 806]

vor einer Stunde schrieb Alienated:

Wenn auf einem Netzlaufwerk eine Archivdatei liegt auf die Outlook zugreift, wir diese nicht geöffnet werden können.

Sowas macht man auch nicht.

 

vor einer Stunde schrieb Alienated:

Das Laufwerk wird so lange als nicht verfügbar angezeigt, bis man ein Doppelklick drauf macht. 

Können das die User nicht? Anleitung an die Hand geben, fertig.

[daabm 1.354]

Ich kenne die zugehörigen Events jetzt nicht auswendig, aber beim Verbinden mit der Domäne gibt es auf jeden Fall einen Profilwechsel bei der Firewall und ein Network Change Event. Wenn es Windows RAS wäre, "rasman" protokolliert das. Cisco sollte das auch hinbekommen... Ansonsten: Nachschauen