Tập lệnh không chạy khi khởi động cho GPO

Tôi đã xem nhiều bài đăng trên trang web này về điều gì đó tương tự nhưng không bài nào trong số đó có tài nguyên để khắc phục sự cố của tôi, vì vậy tôi sẽ đi vào chi tiết nhất có thể. Nếu tôi để lại bất kỳ thông tin ra cho tôi biết.

Chúng tôi có một máy chủ có tệp exe trên đó để bắt đầu cập nhật cho phần mềm có tên là Bluebeam. Tôi đã viết một tệp script để khởi động exe đó khi khởi động và đặt nó vào cùng thư mục với exe. Không có gì xảy ra khi tôi làm điều đó, tôi sẽ khởi động một máy tính mà tôi biết có ủy quyền và chạy gpupdate /force để nó hoạt động và khởi động lại máy tính, không có gì xảy ra. Sau đó, tôi đã làm nó để khi có người dùng đăng nhập, nó sẽ làm như vậy. Cùng một kết quả. Tôi đảm bảo rằng "đã thực thi" đã được bật, tôi đã bật "luôn đợi mạng khi khởi động và đăng nhập máy tính" và cuối cùng tôi cũng đã bật "xử lý chính sách cấu hình tập lệnh"

Không ai trong số đó đã giúp đỡ. Tôi đã xem lại các tệp tập lệnh và nhận thấy rằng khi tôi nhấp vào "hiển thị tệp" trong GPO của mình, tập lệnh tôi muốn không có ở đó. Vì vậy, tôi đã thêm thủ công và buộc cập nhật lại, không có gì.

Hiện tại tôi chỉ đang chạy ứng dụng này trong môi trường thử nghiệm nên tôi không đẩy ứng dụng này tới bộ điều khiển miền, máy chủ hoặc bất kỳ người dùng thực sự nào của mình. Hiện tại tôi đang chuyển cái này sang 2 máy tính khác nhau và chúng không hoạt động.

Tôi sẽ cho bạn xem ảnh của mọi thứ tôi có và nếu bạn có bất kỳ câu hỏi nào, hãy cho tôi biết.

Hình ảnh hiển thị GPs trên môi trường thử nghiệm

ủy quyền cho một máy tính tên là dantest, cái mà tôi đang dùng thử

kịch bản khi khởi động

tập lệnh khi đăng nhập

Hãy quên Tập lệnh khởi động trong "Cấu hình máy tính" vì tập lệnh bạn đặt ở đó được Hệ thống thực thi ngay cả trước khi bất kỳ ai đăng nhập.

Điều này thường không mang tính tương tác (bạn có thể thêm tập lệnh để dọn dẹp một số thư mục nhất định hoặc định cấu hình thứ gì đó trên máy tính, nhưng bạn không thể khởi động ứng dụng người dùng cuối tại đây, ứng dụng sẽ không hiển thị nhưng có thể đang chạy trong nền).

Chà, bạn cũng đã định cấu hình Tập lệnh đăng nhập trong "Cấu hình người dùng", điều đó tốt hơn vì các tập lệnh ở đây được thực thi trong ngữ cảnh của người dùng, tuy nhiên, kể từ Windows 8.1 Tập lệnh đăng nhập không chạy trong năm phút sau khi người dùng đăng nhập. Điều này là do thiết kế để tăng tốc độ tải của máy tính để bàn của người dùng. Tuy nhiên, bạn có thể thay đổi điều đó:

Nếu bạn muốn tập lệnh đăng nhập chạy khi người dùng đăng nhập mà không có bất kỳ độ trễ nào, bạn nên định cấu hình cài đặt Configure Logon Script Delay thành Đã tắt trong Cấu hình máy tính\Quản trị Vị trí mẫu\System\Chính sách nhóm.

Tuy nhiên, đây không phải là cách ưa thích để đạt được những gì bạn muốn, như Microsoft nói:

Cơ chế này cho phép quản trị viên thực hiện các công việc bảo trì khác nhau và các tác vụ quản lý trên máy khách, bao gồm (nhưng không giới hạn để) thu thập thông tin chẩn đoán, gọi quét bảo mật, làm sạch hoặc đặt lại trạng thái hệ thống và cài đặt các công cụ.

bạn nằm ngoài phạm vi vì bạn không muốn "thực hiện các nhiệm vụ quản lý và bảo trì khác nhau" với trường hợp sử dụng của mình.

Tôi khuyên bạn nên triển khai một Chạy khóa đăng ký thay thế. Bạn vẫn có thể triển khai điều đó với Chính sách nhóm:

Nếu bạn muốn triển khai điều này trên Máy tính (để nó áp dụng cho mọi người đăng nhập trên máy tính), thì trong GPO của bạn, hãy truy cập cấu hình máy tính -> Sở thích (không phải "Chính sách") -> Cài đặt Windows -> đăng ký -> Mục đăng ký mới và tạo một giá trị REG_SZ mới theo đường dẫn được hiển thị trong tài liệu (HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run), đặt cho nó một tên Giá trị có ý nghĩa và đặt Dữ liệu giá trị thành đường dẫn của tệp thực thi trên máy tính.

Nếu bạn muốn triển khai cài đặt này trên cơ sở từng người dùng, thì hãy sử dụng phương pháp tương tự nhưng trên Cấu hình người dùng thay vì Cấu hình máy tính (và HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run thay vì HKLM).

Đừng quên liên kết Chính sách nhóm trên một OU chứa Người dùng của bạn nếu bạn đang sử dụng Cấu hình người dùng hoặc trên một OU máy tính nếu bạn đang sử dụng Cấu hình máy tính (tương tự đối với quyền Ủy quyền, thêm người dùng nếu bạn đang làm việc với Cấu hình người dùng hoặc Máy tính nếu bạn đang làm việc với Cấu hình máy tính)

Bạn đã kết thúc, nhưng thiếu một điều quan trọng: dựa trên ảnh chụp màn hình của bạn, không có đối tượng nào có quyền "Áp dụng" cho GPO này. GPO mặc định sẽ cấp quyền 'Đọc' và 'Áp dụng' cho nhóm "Người dùng được xác thực". Tôi đoán rằng bạn đã xóa cài đặt này khỏi cài đặt lọc bảo mật để bạn chỉ có thể áp dụng nó cho máy thử nghiệm của mình.

Để khắc phục chính sách tập lệnh khởi động và vẫn giữ nguyên chính sách này chỉ áp dụng cho máy tính "DANTEST" của bạn, hãy chỉnh sửa GPO, mở thuộc tính của nó và chuyển đến cài đặt bảo mật. thêm máy tính tài khoản cho DANTEST và cấp cho nó quyền 'Áp dụng' (ngoài quyền 'Đọc').

Nếu bạn muốn sử dụng tập lệnh đăng nhập, hãy làm theo quy trình tương tự để thêm quyền 'Áp dụng' cho người dùng đang kiểm tra tập lệnh. Sau đó di chuyển tập lệnh đăng nhập ra khỏi phần Cài đặt máy tính của GPO và vào Cài đặt người dùng của GPO.

Cuối cùng, khi kiểm tra xong, bạn chỉ cần thêm "Người dùng được xác thực" với quyền "Đọc và áp dụng", đây là bộ lọc bảo mật mặc định.