Shopt-IT 2014
Het einde van Logon scripts?
1
Belangrijkste doeleinden logon scripts .............................................................................. 2
2
Klassieke werkwijze ........................................................................................................... 2
3
Logon scripts nu via Group Policy ..................................................................................... 3
4
Scripting of GPO preferences instellingen – best practices ............................................... 3
5
Kan ik mijn logon script’s vervangen door group policy preferences? ............................. 4
6
(Persoonlijke) Conclusies ................................................................................................... 5
7
Case 1: Logon script vervangen door GPO ........................................................................ 6 7.1
Vroeger: Logon script (47 lijnen VBS code) – locatie netlogon ................................ 6
1)
Mapping netwerk share (DFS namespace) .................................................................. 6
2)
BGInfo op bureaublad tonen ....................................................................................... 6
3)
Update Access Front End – 40 lijnen VBS code (installatie afzonderlijk script) ....... 6
4)
Schrijf systeeminformatie weg naar share voor Topsis (script Topdesk) ................... 6
7.2
Nu: GPO ...................................................................................................................... 7
1)
Mapping netwerk share (DFS namespace) .................................................................. 7
2)
BGInfo op bureaublad tonen ....................................................................................... 8
3)
Installatie (vroeger 64 lijnen code) + Update van programma (Access Front End) .... 9
4) Schrijf systeeminformatie weg naar share voor Topsis (script Topdesk) ..................... 11 8
Case 2: Persoonlijke mappen maken via GPO ................................................................. 12 Stap 1 - Folder maken/delen en rechten instellen ................................................................ 12 Stap 2 - Security groep nieuwe gebruikers ........................................................................... 13 Stap 3 - GPO voor drive mapping ........................................................................................ 13 Stap 4 - Persoonlijke map aanmaken ................................................................................... 17
1 Belangrijkste doeleinden logon scripts • • • • •
Folder mapping Printer mapping Omgevingsvariabelen Registersleutels Acties eigen aan de onderneming
2 Klassieke werkwijze
(Belangrijkste) +Voordelen/-Nadelen: + Homedrive wordt automatisch gemaakt incl. rechten - 1 script per gebruiker - Script wordt enkel uitgevoerd tijdens het aanmelden - Scripten is arbeidsintensief en vergt veel kennis(overdracht)
Shopt IT 2014
Ivo Depoorter
Pagina 2 van 19
3 Logon scripts nu via Group Policy Via computer configuration startup/shutdown of user configuration logon/logoff
(Belangrijkste) +Voordelen/-Nadelen: + Meerdere Logon & logoff scripts per gebruiker/computer/GPO mogelijk + Volledige ondersteuning van Powershell (Vanaf Windows 7) - Standaard geen ondersteuning voor Windows XP, Vista, Server 2003 (+R2) (installatie van GPO Client side extensions!)
4 Scripting of GPO preferences instellingen – best practices Taken die uitgevoerd kunnen worden via group policy preferences • • • • •
Folder mapping Omgevingsvariabelen Bestanden Registerinstellingen Printers
(Belangrijkste) +Voordelen/-Nadelen: + Geen kennis van scripting nodig + ITL (Item Level Targetting) + CRUD (Create Read Update Delete) van objecten + Group policies worden periodiek vernieuwd (niet altijd logon of startup nodig)
Shopt IT 2014
Ivo Depoorter
Pagina 3 van 19
5 Kan ik mijn logon script’s vervangen door group policy preferences? How to get rid of your logon scripts the easy and free way: http://www.grouppolicy.biz/2012/09/teched-2012-video-how-to-get-rid-of-your-logonscripts-the-easy-and-free-way/
Preferences
Targeting Targeting operatoren
Shopt IT 2014
Ivo Depoorter
Pagina 4 van 19
6 (Persoonlijke) Conclusies • • • • •
Het scripten van opstart taken is arbeidsintensief en kan in veel gevallen vervangen worden door group policy preferences. GPO’s ter vervanging van scripts vraagt soms een andere aanpak Security groepen spelen een belangrijke rol en kunnen voor meerdere doeleinden (her)gebruikt worden. Tip maak gebruikers sjablonen! Het gebruik van de Netlogon share is niet langer nodig Kennis van scripten blijft nodig voor andere doeleinden – meer en meer powershell!
Shopt IT 2014
Ivo Depoorter
Pagina 5 van 19
7 Case 1: Logon script vervangen door GPO 7.1
Vroeger: Logon script (47 lijnen VBS code) – locatie netlogon
1) Mapping netwerk share (DFS namespace)
2) BGInfo op bureaublad tonen
3) Update Access Front End – 40 lijnen VBS code (installatie afzonderlijk script)
Front-end schrijft bij het openen het versie nr naar het register
Controle bestaat de folder met de front-end op het bureaublad
Vergelijk versie uit register met versie uit text bestand op server
Update indien versie verschillend
Schrijf nieuw versie nummer naar register
4) Schrijf systeeminformatie weg naar share voor Topsis (script Topdesk)
Shopt IT 2014
Ivo Depoorter
Pagina 6 van 19
7.2
Nu: GPO
1) Mapping netwerk share (DFS namespace) • • •
Maak een GPO (in het voorbeeld Drive mapping) Gebruik User Configuration – Preferences – Drive Maps Vul je eigen parameters (share, drive letter) in volgens het screenshot
•
Maak een security groep (in het voorbeeld GS-DFS-Namespace-User)
Shopt IT 2014
Ivo Depoorter
Pagina 7 van 19
•
Optioneel: maak een snelkoppeling naar het bureaublad
2) BGInfo op bureaublad tonen • • •
Maak een vbs of batch om BGInfo op te starten Maak een nieuwe of gebruik een bestaande GPO Ga naar User Configuration > Policies > Windows Settings > Scripts (Logon/Logoff) en dubbel-click op Logon
Zie volledig voorbeeld op http://social.technet.microsoft.com/wiki/contents/articles/20262.apply-bginfo-using-a-grouppolicy-logon-script.aspx
Shopt IT 2014
Ivo Depoorter
Pagina 8 van 19
3) Installatie (vroeger 64 lijnen code) + Update van programma (Access Front End) In deze group policy worden de mappen gemaakt die nodig zijn voor het gebruik van de Acces Front End als de gebruiker lid is van een bepaalde security groep. Het bepalen van de volgorde kan van belang zijn, zeker als je creatie van items (in dit geval folders) afhankelijk maakt van het bestaan van andere items. Opzoekingen in Active Directory zijn arbeidsintensiever van andere opzoekingen, zeker wanneer er een lage bandbreedte is tussen de client en de domein controller. In onderstaand geval wordt er alleen gecontroleerd of de gebruiker lid is van de opgegeven security groep bij de aanmaak van de eerste map (DB_Cliënten – order 1 ). Voor de creatie van de andere mappen wordt er gecontroleerd of de eerste map bestaat.
Volgorde Maak map 1 DB_Cliënten
Als Gebruiker =lid security groep x Cliënt_Fiches map DB_Cliënten bestaat Excel_Sjablonen map DB_Cliënten bestaat Word_Sjablonen map DB_Cliënten bestaat Temp map DB_Cliënten bestaat
2 3 4 5
En De map DB_Cliënten bestaat niet
Belangrijk voordeel: dezelfde security groep wordt gebruikt voor 3 doeleinden: • • •
Group policy: programma installeren en up-to-date houden SQL Server: rechten op de cliëntdatabank Fileserver: rechten op cliënt bestanden
In de volgende stap (order 1) wordt het bestand naar de map DB_Cliënten gekopieerd als deze bestaat.
Shopt IT 2014
Ivo Depoorter
Pagina 9 van 19
Order 2 zorgt voor een update van het programma als de versie niet beantwoord aan de parameter in de group policy. Werking: • •
•
Tijdens het starten van de front-end schrijft de toepassing het versie nummer weg naar het register De onderstaande ILT (Item Level Targeting) gaat deze versie uitlezen en opslaan in een variabele
Er wordt een nieuwe versie gekopieerd als de versie van de variabele niet gelijk is aan de versie opgegeven in de group policy
Tot slot worden er ook enkele registersleutels aangemaakt die voordien in het installatiescript zaten
en krijgt de front end ook een snelkoppeling op het bureaublad
Shopt IT 2014
Ivo Depoorter
Pagina 10 van 19
4) Schrijf systeeminformatie weg naar share voor Topsis (script Topdesk) Omwille van de compatibiliteit met Topdesk wordt dit script niet gewijzigd. Het script verhuist van de netlogon share naar een group policy onder de instelling: Computer Configuration > Policies > Windows Settings > Scripts Startup
Shopt IT 2014
Ivo Depoorter
Pagina 11 van 19
8 Case 2: Persoonlijke mappen maken via GPO Stap 1 - Folder maken/delen en rechten instellen Maak een map gebruikersmappen aan Deel deze map (gebruikersmappen$) en zet de share permissies op full control voor authenticated users (geverifieerde gebruikers)
Wijzig de NTFS rechten door de volgende instellingen: Schakel het erven van bovenliggende rechten uit (disable inheritance) en stel de volgende rechten in SYSTEM = Full Control CREATOR OWNER = Full Control LOCAL\Administrators = Full Control Authenticated Users = Traverse folder (Door map bladeren/Bestanden uitvoeren); Create folder (Mappen maken/Gegevens toevoegen); Write attributes (Kenmerken schrijven); Write extended attributes (Uitgebreide kenmerken schrijven); Read permissions (Leesmachtigingen)
Shopt IT 2014
Ivo Depoorter
Pagina 12 van 19
Stap 2 - Security groep nieuwe gebruikers Maak een Security groep GS-Persoonlijke_map Stap 3 - GPO voor drive mapping Maak de GPO Drive Mapping aan Onder User configuration – preferences – Drive maps bepaal je het path, de letter en het label van de homedrive. Door gebruik te maken van %LOGONUSER% zorg je ervoor dat de persoonlijke map de naam krijgt van de aangemelde gebruiker.
Shopt IT 2014
Ivo Depoorter
Pagina 13 van 19
De variabele %LOGONUSER% is een functie die gebruikt kan worden binnen GPO’s om de naam van de aangemelde gebruiker weer te geven. Niet verwarren met de lokale variabele %USERNAME% !!! Andere variabelen zijn terug te vinden op: http://technet.microsoft.com/enus/library/cc753915.aspx
Shopt IT 2014
Ivo Depoorter
Pagina 14 van 19
Klik op de Common tab en selecteer Run in Logged-on user’s security context (Uitvoeren in de beveiligingscontext van de aangemelde gebruiker ) en Item-level targeting (Itemniveau als doel instellen)
Run in Logged-on user’s security context Als de optie Uitvoeren in de beveiligingscontext van de aangemelde gebruiker is geselecteerd, wordt de beveiligingscontext waarbinnen het voorkeursitems wordt verwerkt, gewijzigd. De voorkeursextensie verwerkt voorkeursitems binnen de beveiligingscontext van de aangemelde gebruiker. De voorkeurextensie verkrijgt hierdoor als gebruiker toegang tot bronnen in plaats van als computer. Dit kan bijzonder belangrijk zijn wanneer er gebruik wordt gemaakt van stations toewijzingen of andere voorkeuren waarin de computer mogelijk niet over de juiste machtigingen voor bronnen beschikt of in gevallen waarin er omgevingsvariabelen worden gebruikt. De waarde van een groot aantal omgevingsvariabelen wijkt af wanneer deze wordt beoordeeld in een andere beveiligingscontext dan in die van de aangemelde gebruiker.
Shopt IT 2014
Ivo Depoorter
Pagina 15 van 19
Item-level targeting Met de optie Itemniveau als doel instellen bepaal je aan welke voorwaarden er voldaan moet worden vooraleer de instelling toegepast worden. De instellingen hebben een waar/onwaar waarde die gewijzigd kan worden. Meerdere voorwaarden kunnen met de logische operatoren En/Of gecombineerd worden. De meest gebruikte filters zijn op security groep, IP adres bereik, organisatie eenheid, registerovereenkomst, bestandsovereenkomst
Klik op Targeting en Voeg de security groep GS-Persoonlijke_map toe
Shopt IT 2014
Ivo Depoorter
Pagina 16 van 19
Stap 4 - Persoonlijke map aanmaken
In tegenstelling tot de home drive instellingen binnen Active Directory Users And Computers wordt de home map niet automatisch aangemaakt via de group policy dus zijn er enkele bijkomende stappen nodig. Maak een nieuwe group policy Persoonlijke map maken Verwijder authenticated users onder Security Filtering en voeg de net aangemaakte security groep toe (GS-Persoonlijke_map)
Editeer de GPO Persoonlijke map maken Ga naar User configuration – preferences – Folder en maak een map aan die verwijst naar de share gemaakt in stap 1
Shopt IT 2014
Ivo Depoorter
Pagina 17 van 19
De optie Create (Maken) is hier de beste optie en is ook veilig (zie groen icoontje voor de map naam). Indien de map bestaat wordt er verder niets meer ondernomen.
Een nieuwe map voor computers of gebruikers maken. Maken Verwijderen Een map voor computers of gebruikers verwijderen. Een map voor computers of gebruikers verwijderen en opnieuw maken. Het resultaat van de actie Vervangen is dat de inhoud van een bestaande map wordt Vervangen verwijderd en alle bij de map behorende instellingen worden overschreven. Als de map niet bestaat, wordt met de actie Vervangen een nieuwe map gemaakt. Een bestaande map voor computers of gebruikers wijzigen. Het verschil met de actie Vervangen is dat uitsluitend binnen het voorkeursitem gedefinieerde Bijwerken instellingen worden bijgewerkt. Alle andere instellingen blijven zoals ze geconfigureerd zijn voor de map. Als de map niet bestaat, wordt met de actie Bijwerken een nieuwe map gemaakt.
Link de GPO’s Drive Mapping en Persoonlijke map maken aan een OU en controleer de volgorde van de GPO’s. Zorg ervoor dat de link order van de GPO die de map aanmaakt lager is dan de GPO die instaat voor de drive mapping.
Shopt IT 2014
Ivo Depoorter
Pagina 18 van 19
Klik op common Run in Logged-On user’s security context
Shopt IT 2014
Ivo Depoorter
Pagina 19 van 19