Was ist die Reihenfolge Gruppenrichtlinieneinstellungen angewendet werden?

13

Daher habe ich das Dokument " Verarbeitung und Vorrang von Gruppenrichtlinien " gelesen . Ich verstehe, dass Richtlinien in der Reihenfolge von lokal, Standort, Domäne, Organisationseinheit und untergeordneter Organisationseinheit angewendet werden. In dem Artikel wird nicht klar beschrieben, in welcher Reihenfolge bestimmte Dinge auf den Computer angewendet werden, z. B. Softwareinstallation, Skript und die neuen Einstellungen für Gruppenrichtlinien .

Ich versuche, ein Skript zu schreiben, um einige Dinge auf dem Computer anzupassen, die mit den Einstellungen nicht möglich erscheinen, aber ich muss sicher sein, dass eine Softwareinstallation abgeschlossen wurde und einige Einstellungen zuerst angewendet wurden.

Aktualisieren:

Hier einige Hintergrundinformationen. Ich habe eine Gruppenrichtlinie, die eine Softwareinstallation für Widget A enthält (Computerkonfiguration \ Richtlinien \ Softwareeinstellungen \ Zugewiesene Anwendungen). Widget A platziert überall ärgerliche Verknüpfungen, daher versuche ich, die nicht benötigten Verknüpfungen mithilfe der Voreinstellungsfunktion (Computerkonfiguration \ Voreinstellungen \ Windows-Einstellungen \ Verknüpfungen) zu löschen. Das Programm hat einen kleinen Fehler und ich muss ihn beheben, aber der Herausgeber hat keine aktualisierte MSI-Datei bereitgestellt, sondern nur eine Exe, die ein Update anwendet. Ich muss also ein Startskript ausführen, um die EXE-Datei auszuführen, mit der das Programm gepatcht werden soll.

Es sieht so aus, als ob die 'Computerkonfiguration \ Einstellungen' vor der Softwareinstallation angewendet werden, da meine Dateilöschungen erst nach einigen Neustarts wirksam zu werden scheinen. Es sieht so aus, als ob etwas an diesem Softwarepaket einen Neustart erfordert, da das Startskript, das es patchen soll, einen Fehler macht, bis ich neu starte.

Bei der Suche in Google konnte ich kein Dokument finden, in dem die Reihenfolge genau angegeben ist. Ich bin auch gespannt, wie die Reihenfolge zwischen den verschiedenen verfügbaren Präferenzen ist. Zum Beispiel kann ich Umgebungsvariablen über Einstellungen festlegen. Kann ich diese Variablen in den Voreinstellungen für Dateien, Ordner oder Verknüpfungen verwenden?

Ich hoffe, dass es irgendwo ein Dokument gibt, das den Prozess detailliert beschreibt.

Zoredache
quelle

Antworten:

3

Die Softwareinstallationsrichtlinie wird verarbeitet, bevor Startskripts ausgeführt werden. Manchmal ist es genau das, was Sie wollen, und manchmal ist es nicht. Du kannst es nicht ändern.

Wenn ein Startskript vor der Softwareinstallation ausgeführt werden soll, verwende ich die Gruppenzugehörigkeit, um die Ausführung des Startskripts zu steuern, und beende das Startskript mit dem Befehl, den Computer einer zweiten Gruppe hinzuzufügen, die die Softwareinstallation steuert. Das einzige Problem dabei ist, dass ich bisher noch keine zuverlässige Möglichkeit gefunden habe, ein Windows XP oder neueres Betriebssystem über ein Startskript neu zu starten. (Ja, ja - ich habe auch eine Vielzahl von Methoden ausprobiert. Ich kann sie detailliert besprechen, wenn Sie möchten.) Aus diesem Grund erfordert diese Strategie immer zwei Starts, um "wirksam zu werden".

Sie erwähnen "Einstellungen", und ich denke, Sie möchten die Umgebung des Benutzers über ein Anmeldeskript bearbeiten. Anmeldeskripte werden offensichtlich nach der Anmeldung ausgeführt. Wenn Sie überprüfen möchten, ob während des Anmeldeskripts eine Software installiert wurde, fragen Sie in der Windows Installer-Datenbank in der Registrierung nach, ob das Programm vorhanden ist, und klicken Sie auf "Bail-out". Sie finden die installierten Produkte im Schlüssel "HKEY_CLASSES_ROOT \ Installer \ Products". Natürlich müssen Sie die GUID für das Paket herausfinden, mit dem Sie es zu tun haben.

Bearbeiten: Die Verarbeitungsreihenfolge der clientseitigen Gruppenrichtlinienerweiterung (Group Policy Client-Side Extension, CSE) basiert auf dem Wert der GUID für die clientseitige Erweiterung. Es sieht so aus, als würden die CSEs mit numerisch höheren GUIDs später ausgeführt. Ich habe die GUID für das CSE "Preferences" nicht zur Hand, daher kann ich nicht sagen, wie es sich verhalten soll, wenn es vor / nach anderen CSEs ausgeführt wird.

Wechseln Sie unter Windows XP mindestens zu HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ WinLogon \ GPExtensions, und suchen Sie in der CSE nach "Prefernces". REGEDIT sortiert diese GUIDs auch numerisch, sodass Sie visuell erkennen können, ob das CSE "Preferences" vor / nach anderen CSEs ausgeführt wird.

Evan Anderson
quelle
In der Situation, in der ich versuche, alles zu debuggen, befindet sich in einem einzelnen Gruppenrichtlinienobjekt, und alles ist eine Einstellung pro Computer. Es hört sich so an, als müsste ich etwas Schwieriges tun, um sicherzustellen, dass das System neu startet und die Dinge in der von mir benötigten Reihenfolge ablaufen.
Zoredache
@ Zoredache: Ja. Das ist ungefähr so ​​groß. Sie können Skripte und Software-Installationspakete innerhalb eines einzelnen Gruppenrichtlinienobjekts pro Gruppenmitgliedschaft filtern, sodass Sie ziemlich "trickreich" damit umgehen können. Wenn Sie nach der Installation eines Pakets nur ein bestimmtes Startskript ausführen möchten, suchen Sie am Anfang des Skripts in der Registrierung nach diesem Paket und melden Sie sich ab, wenn es nicht installiert ist. Wenn Sie genau ein Mal ausführen möchten, markieren Sie dies entweder in der lokalen Registrierung, oder lassen Sie den Computer einer Gruppe beitreten, der das Recht zum Lesen des Skripts verweigert wurde (heh heh).
Evan Anderson
2

Es gibt zwei Arten von Skripten, die ausgeführt werden. Startskripten werden ausgeführt, nachdem Computereinstellungen festgelegt wurden (Informationen hierzu finden Sie im Abschnitt Computereinstellungen des Gruppenrichtlinienobjekts). Anmeldeskripts werden ausgeführt, nachdem sich der Benutzer angemeldet hat und die Benutzereinstellungen angewendet wurden. Skripts werden synchron in der Reihenfolge ausgeführt, in der sie im Gruppenrichtlinienobjekt aufgeführt sind (sodass ein Skript beendet werden muss, bevor das nächste gestartet werden kann). Beachten Sie, dass Sie sich in Windows XP standardmäßig anmelden können, bevor die Netzwerkeinstellungen verarbeitet wurden. Dies bedeutet, dass Sie sich anmelden können, bevor die Gruppenrichtlinienobjekte verarbeitet werden. Dieses Verhalten kann mithilfe der GPO-Einstellung unter Computerkonfiguration \ Administrative Vorlagen \ System \ Anmeldung \ Beim Starten und Anmelden des Computers immer auf das Netzwerk warten umgangen werden. So, Startskripte werden nach den Computereinstellungen ausgeführt, aber bevor Benutzereinstellungen und Anmeldeskripte ausgeführt werden, nachdem alle Einstellungen festgelegt wurden. Ich hoffe, das hilft.

Catherine MacInnes
quelle
Danke, aber ich hatte gehofft, dass etwas Detaillierteres als nur Startskripte vor Anmeldeskripten passieren.
Zoredache
Lesen Sie den letzten Satz, in dem genau angegeben ist, in welcher Reihenfolge die Elemente angewendet wurden. Computereinstellungen (Elemente im Abschnitt "Computereinstellungen" des Gruppenrichtlinienobjekts), Startskripts, Benutzereinstellungen (Elemente im Abschnitt "Benutzereinstellungen" des CPOs) und Anmeldeskripts . Das ist die GENAUE Reihenfolge, in der Dinge ausgeführt werden.
Catherine MacInnes
@Catherine: Er fragt sich, wo die CSE für Präferenzen auch in diese Mischung fällt.
Evan Anderson
1

Die Reihenfolge wird vom Administrator mit der Einstellung festgelegt, bei der die niedrigste Verknüpfungsreihenfolge zuletzt verarbeitet wurde (also die höchste Priorität hat). Wenn Sie sicherstellen müssen, dass Richtlinien beim Start angewendet werden, verwenden Sie die Einstellung Computerkonfiguration \ Administrative Vorlagen \ System \ Anmeldung \ Warten Sie beim Starten und Anmelden des Computers immer auf das Netzwerk. Legen Sie außerdem beim Start die Option Gruppenrichtlinie für Computer synchron anwenden fest. Dadurch muss das System warten, bis es Computerrichtlinien abrufen und verarbeiten kann, bevor der Benutzer sich anmelden kann. Wenn Sie überprüfen müssen, ob die Gruppenrichtlinie erfolgreich ausgeführt wurde, überprüfen Sie die aufgelisteten Protokolldateien hier

Jim B
quelle
1
Das ist alles interessant, sagt mir aber nicht viel über die Reihenfolge der Dinge. Werden meine Einstellungen pro Computer (Erstellen von Verknüpfungen, Löschen von Dateien usw.) vor der Softwareinstallation, nach Skripten oder wann verarbeitet?
Zoredache