Hei, Scripting Guy! Blogg Hei, Scripting Guy! Blog.

L r om Windows PowerShell.

Bruk PowerShell og gruppepolicy for paloggingsskriptet.

Sammendrag: Microsoft Scripting Guy Ed Wilson diskuterer fordelene og ulempene ved a bruke Windows PowerShell for paloggingsskript.

Hei, Scripting Guy! Tidligere jobbet jeg med et firma som hadde et imponerende paloggingsskript. Den ble skrevet i VBScript og konsumert mer enn 5000 linjer med kode & ndash; Jeg tuller ikke her, det var mer enn 5000 linjer lang. Jeg jobber ikke lenger for det selskapet, men jeg er sikker pa at hvis det ble konvertert til Windows PowerShell, ville det ikke v re nesten sa lenge. Sporsmalet mitt er dette: bruker folk Windows PowerShell for paloggingsskript? Hvis ja, hvordan er det gjort?

Hei YT, Microsoft Scripting Guy Ed Wilson her. Jeg vet ikke om deg, men jeg gar sakte tilbake til “arbeidsmodus & rdquo; etter en anstendig mengde tid unna. Da Scripting Wife og jeg dro til Greenville, South Carolina for en overnighter, pakket jeg ikke engang min laptop. Senere den kvelden begynte jeg a ha tilbaketrekningssymptomer, og jeg spurte henne spesielt: “Minner du deg selv sist sist vi har v rt borte uten en datamaskin?” A lose mysteriet, nei; verken scripting kone eller jeg husket sist gang vi var borte fra hjemmet uten en b rbar datamaskin.

Etter refleksjon, var den siste gangen jeg dro hjem uten a b re en b rbar PC, tilbake nar jeg var nettverksadministrator, for b rbare datamaskiner ble kommersielt tilgjengelige. Faktisk, tilbake i dagene da jeg var nettverksadministrator, var innloggingsskriptene alle raseri. Alle som var noen, ville tilbringe uker og uker ved a lage det perfekte paloggingsskriptet. Likevel, for a v re rlig, var paloggingsskriptene da den prim re maten brukerhandtering. Hvis man onsket a distribuere programvare til en bruker, brukte man et paloggingsskript. Hvis man onsket a kartlegge stasjoner eller skrivere for en bruker, var paloggingsskriptet igjen mekanismen for a utnytte. Faktisk hadde jeg til og med en kommando som jeg pleide a synkronisere tiden pa alle arbeidsstasjonene med domenekontrolleren. Ingen av disse tingene er nodvendig i dag. I mange tilfeller kan et moderne nettverk overleve uten et paloggingsskript. Verktoyet som erstatter det gammeldags paloggingsskriptet er Gruppepolicy.

Med gruppepolicy er det enkelt a kartlegge stasjoner og skrivere ved a opprette et nytt normalt “> Gruppepolitisk objekt. Dette ses i folgende figur.

En av de kule tingene ved a bruke et paloggingsskript for a kartlegge stasjoner er at jeg kan bruke WMI til a avgjore om skriptet kjorer pa en server (for eksempel nar jeg ma logge pa en server for a gjore endringer jeg ikke trenger et paloggingsskript kjorer og kartlegger en haug med stasjoner.) Ved hjelp av Gruppepolicy kan jeg ogsa bruke WMI til a utfore denne filtreringen. Jeg opprettet et WMI-filter for a filtrere ut bare arbeidsstasjoner. Dette er en viktig teknikk for Scripters a l re (selv om det er en gruppepolitisk ting) og jeg diskuterer det i detalj i Bruke gruppepolicy for a distribuere en Windows PowerShell Logon Script-post.

Etter at stasjonskartleggingene er oppnadd, vises skjermkortskjermbildet som vist i figuren nedenfor.

Hvis du skal bruke Windows PowerShell for paloggingsskript, blir de tilordnet via Gruppepolicy. I dette tilfellet vil jeg bruke et standard GPO (Group Policy Object) for a utfore sa mange konfigurasjonsoppgaver som kan oppnas via Gruppepolicy. Da ville jeg bruke WMI-filtrering til a utfore all filtrering som ma utfores. Alt annet som ma gjores, vil da bli henvist til Windows PowerShell logon script. (Pa samme mate som jeg foretrekker, foretrekker jeg a opprette GPO-en for enkelt formal i stedet for massiv og konfigurere alt “GPO”. Dette gjor det enklere a aktivere eller deaktivere etter behov. I tillegg gjor det dem enklere a feilsoke. Fordi Min GPOs har en tendens til a v re enkelt formal, jeg slar alltid av behandlingen av den ubrukte delen av GPO.

Fordi jeg bruker GPOs til a utfore de fleste av de eldre konfigurasjonsoppgaver som tidligere ble henvist til a logge pa skript, kan du sporre hva jeg bruker paloggingsskript for a oppna i dag. Svaret er at min & ldquo; nye & rdquo; logon skript tendens til a v re spesielle formal. For eksempel liker jeg a bruke Gruppepolicy for a lage en mappe av roten og a fylle den med verktoyskript. Dette oppnas enkelt ved a bruke File-delen av GPO og Folder-delen av GPO-en. Tidligere brukte jeg et paloggingsskript for a lage mappen og for a fylle den med skriptene. En av mine favoritt ting a gjore er a lage en Scripting event logg. Dette er noe som ikke kan oppnas via gruppepolicy, og det er derfor en god kandidat for et paloggingsskript. Da jeg skrev Weekend Scripter-artikkelen som samler prosessfotografier under paloggingsprosessen, utformet jeg skriptet slik at jeg kunne bruke et paloggingsskript for a ringe pa skriptet. Igjen, dette er en oppgave som ikke kan utfores med gruppepolicy, og er en perfekt kandidat for et Windows PowerShell-logonskript.

Hvis du ikke bruker gruppepolicy, kan du fortsatt bruke et Windows PowerShell-skript i et logonskript. For a gjore dette, endrer du logon.bat-filen din (eller hva det hevder a bli kalt) og har det ringe til Windows PowerShell-skriptet. Kontroller at skriptet er plassert pa en tilgjengelig fildeling, og det er det. Du vil kanskje bruke bypass-alternativet. Et eksempel pa denne kommandoen er sett her.

powerhell -executionpolicy bypass -fil \\ DC1 \ scripts \ myLoginScript.ps1.

For a oppsummere, gar det generelt mange godt administrerte og godt vedlikeholdte nettverk uten a bruke et paloggingsskript. Dette skyldes at de fleste, om ikke alle, av de tradisjonelle oppgavene til paloggingsskriptene har blitt samordnet av Gruppepolicy. Fordelene med gruppepolicy er at den er enkel a bruke, enkel a vedlikeholde, og enkel a sikkerhetskopiere konfigurasjonsendringer som den utforer. Jeg bruker kun paloggingsskript for a utfore oppgaver som Gruppepolicy ikke utforer.

YT, det er alt som er a bruke Windows PowerShell og logon skript. Bli med oss i morgen for Quick Hits fredag.

Jeg inviterer deg til a folge meg pa Twitter eller Facebook. Hvis du har noen sporsmal, send epost til meg pa scripter@microsoft.com eller legg dem pa Official Scripting Guys Forum. Sees i morgen. Inntil da, fred.

Ed Wilson, Microsoft Scripting Guy.

Avbryt svar.

Jeg er enig med deg i a bruke GPO-preferanser for de fleste handlinger. Jeg har gjort innlogging og oppstartsskript for vare kunder i mange ar na. Hva jeg gjorde for a unnga at administratorer gjor endringer i innloggingskript eller GPO nar en bruker trenger et nytt nettverk, deler for a kartlegge til en stasjon: Opprett en Active Directory-global gruppe med navnekonvensjon, eks. G_MAP_G_Share, sett UNC-banen i info-attributten pa gruppen, sett brukeren i gruppen. Paloggingsskriptet leser brukergruppemedlemskapet, og kart G: til nettverket deles i infoattributtet pa gruppeobjektet. Vi gjorde det samme for snarveier pa skrivebord. Servicedesk kan opprette nye grupper og trenger ikke a kontakte administratorer. Jeg har jobbet for dette selskapet i 6-7 ar, og vi har sv rt fa endringer i loggingsskriptet og antall gruppepolitiske objekter.

Vi bruker Gruppepolicy, og jeg er enig i at GPO er en renere mate a fa mye gjort enn et skript, og at noen ganger ma du bare bruke et skript. Jeg gjor ogsa en liten (enkel) PoSh-skripting, men det jeg ikke finner svaret pa, er relatert til hvordan et GPO-distribuert, PoSh-skript passer inn med eksekveringspolitikk.

Siden en bruker eller datamaskin ikke har noe valg a stole pa domenet, og den som administrerer gruppepolicy likevel, synes det a v re rimelig at et skript som er skapt via GPO ikke behover a bli signert, og at det ville kjore med standard (begrenset) eksekveringspolicy pa plass. Hva er alternativene mine?

& # 8211; Kan jeg skyve en .ps1 via GPO uten a justere eksekveringspolitikken?

& # 8211; Ma jeg sette ExPol til RemoteSigned og kopiere eller skrive politikken til den lokale maskinen?

Jeg vil virkelig ikke gjore alle mine maskiner ubegrenset. Jeg er ikke i stand til (eller forstaelse) for hvordan man skal signere et skript og sorge for at signaturen er klarert over domenet. Pa dette punktet er jeg tvunget til a bruke det ikke-sa elegante, flerfil, ikke-gruppepolitiske skriptet (som ikke fungerer for meg), lure deg pa a demonstrere?