问题[logon-scripts](server)

运行带有一个应用程序的 Win 2016 服务器，一次只能由一个用户使用。我在服务器上有一个优先用户帐户。当该用户登录时，他应该始终能够启动该特定应用程序。

我的想法是制作一个登录脚本来杀死所有用户的应用程序任务。这样我的优先用户将能够启动应用程序。

我没有成功创建该登录脚本。任何人都可以帮助我或建议我任何其他解决方案吗？

我正在尝试让组策略为用户 OU 运行登录脚本。该脚本运行，但它创建要运行的 Shell 对象的部分在登录期间不会加载。如果我双击脚本，它会按预期工作 - 问题出在登录期间。

以下是脚本的内容（已清理）：

Dim Response,URL,WshShell,
URL = "https://forms.office.com/Pages/ResponsePage.aspx?id=REDACTED"
Response = MsgBox("Have you completed your Daily Health Check survey today?", vbYesNo + vbQuestion + 4096,"Company Name Here")s
if Response = vbNo Then
    Set WshShell = CreateObject("WScript.shell")
    WshShell.run "CMD /C start """" /MAX /B ""C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"" " & URL, 0, False
End if

在 Windows 2012 R2 服务器上打开 RDS 会话时，我运行了一个 powershell 登录脚本。我还在启动文件夹中运行了一个 powershell 脚本。

• 在登录脚本中询问CLIENTNAME环境变量时，我得到了以前打开的会话客户端名称，而不是当前的。如果我在关闭前一个会话之前删除注册表HKCU\Environment\Clientname属性，我只会在登录期间为 ClientName 获得一个空值。
• 在会话打开后启动的脚本中询问 ClientName 变量时，我得到了当前的客户端名称（如预期的那样）。

我有两个客户：

• TestClient1带 IP 地址10.100.20.201
• TestClient2带 IP 地址10.100.20.202

RDS 服务器是SRV-XA01.

我还使用了一个名为gettscip.exe获取客户端 IP 地址的小实用程序

我登录TestClient1然后关闭会话。然后我从TestClient2（日期为法语格式dd/mm/YYYY）开始一个会话。

登录脚本：

29/12/2016 10:57:07 : --- SRV-XA01 新会话打开 ---
29/12/2016 10:57:07 : * 客户名称（来自 env:CLIENTNAME）：
29/12/2016 10:57:10：* IP 地址：10.100.20.202
29/12/2016 10:57:11：* ClientName 来自 [Environment]::GetEnvironmentVariables("user").ClientName：TestClient1
29/12/2016 10:57 :11: --- 登录脚本成功结束！---

第二个脚本：

29/12/2016 10:57:25 : --- 会话打开后运行的脚本 ---
29/12/2016 10:57:25 : * 客户端名称（来自 env:CLIENTNAME）：TestClient2
29/12/2016 10:57:25 : --- 脚本结束 ---

在登录脚本中env:CLIENTNAME返回一个空值，[Environment]::GetEnvironmentVariables("user").ClientName返回以前的客户端名称。登录后，一切正常。

我得到的 IP 地址是来自当前客户端的好地址。

那么为什么在登录脚本运行时 ClientName 环境变量没有更新呢？

编辑：脚本代码。

登录脚本：

$DomainName = "domain.fr"

# Nom de l'utilisateur
$UserName = $env:USERNAME

$ScriptsDir = "\\$DomainName\Scripts"
$LogDir = "$ScriptsDir\ScriptsXA7\Logs"
$global:LogFile = "$LogDir\$UserName.log"
Import-Module "$ScriptsDir\Systeme\Modules\Write-Log"

# Serveur Citrix
$ComputerName = $env:COMPUTERNAME
# Poste client
$ClientName = $env:CLIENTNAME

Write-Log "--- New Session opening on $ComputerName ---"
Write-Log "* Client Name (from env:CLIENTNAME) : $ClientName"

$IPExe = "$PSScriptRoot\IP\gettscip.exe"
# On lance l'exécutable qui va remonter l'adresse IP et on la stocke dans la variable `$ip`
$ip = Invoke-Expression $IPExe
$ip = $ip -replace "WTSClientAddress: ",""
#  On place cette adresse IP dans la variable d'environnement `CLIENTIP`
[Environment]::SetEnvironmentVariable("CLIENTIP", $ip, "User")
Write-Log "* IP address : $ip"

Write-Log "* ClientName from [Environment]::GetEnvironmentVariables("user").ClientName : $([Environment]::GetEnvironmentVariables("user").ClientName)"
Write-Log "--- Logon script successfully ended ! ---"

第二个脚本：

$DomainName = "domain.fr"

# Nom de l'utilisateur
$UserName = $env:USERNAME

$ScriptsDir = "\\$DomainName\Scripts"
$LogDir = "$ScriptsDir\ScriptsXA7\Logs"
$global:LogFile = "$LogDir\$UserName.log"

Import-Module "$ScriptsDir\Systeme\Modules\Write-Log"

# Serveur Citrix
$ComputerName = $env:COMPUTERNAME
# Poste client
$ClientName = $env:CLIENTNAME

Write-Log "--- Script running after session is opened ---"
Write-Log "* Client Name (from env:CLIENTNAME) : $ClientName"
Write-Log "--- Script ended ---"

我创建了一个 VBScript，旨在更改服务器上的文件夹共享名称。这目前作为我的测试用户的登录脚本运行。

我已经定义了这个函数：

Private Function intChangeShareName()
   Dim intPoz1, intPoz2, intIndex
   Dim strPom

   intChangeShareName = CONST_NO_CHANGE

   strActions = strActions & strOldNameShare & vbcrlf
  strPom = Trim(strOldNameShare)
  If Left(strPom, 2) <> "\\" then Exit Function

   intPoz1 = inStr(3, strPom, "\")
   intPoz2 = inStr(3, strPom, ".")
   If intPoz2 > 0 Then
      strSrvName = Mid(strPom, 3, intPoz2 - 3)
      strDomName = Mid(strPom, intPoz2 + 1, intPoz1 - intPoz2 - 1)
   Else
     strSrvName = Mid(strPom, 3, intPoz1 - 3)
      strDomName = ""
   End If

   intIndex = 0
  Do while intIndex <= UBound(arrOldSrv)
     If UCase(strSrvName) = UCase(arrOldSrv(intIndex)) Then
        If strDomName = "" Then
           strNewNameSrv = arrNewSrv(intIndex)
           strNewNameDom = ""
        intChangeShareName = CONST_CHANGE
         End If

        If UCase(strDomName) = UCase(arrOldDom(intIndex)) Then
           strNewNameSrv = arrNewSrv(intIndex)
           strNewNameDom = "." & arrNewDom(intIndex)
        intChangeShareName = CONST_CHANGE
         End If
      End If
      intIndex = intIndex + 1
   Loop

   If intChangeShareName = CONST_CHANGE Then
      strNewNameShare = "\\" & strNewNameSrv & strNewNameDom & Mid(strPom, intPoz1)
      strActions = strActions & "*  " & strNewNameShare & vbcrlf
      blRequireLogoff = True
'       Wscript.Echo "a " & strNewNameShare
   End If

End Function

但是，每次我登录时都会收到以下错误：VBScript 运行时错误 - 无效的过程调用或参数：'Mid' - 代码 800A0005

我看不出我的 Mid 功能有什么问题，有人可以帮我吗？

我被要求在我们的网络上设置一个用户，通过 RDP 访问远程域上的 RDS 服务器。我们已经很好地设置了 VPN，并且可以访问远程 RDS 服务器。到目前为止的问题是，当用户尝试 RDP 连接时，他们的身份验证很好，但随后他们被停止并显示有关运行 cmd 被拒绝的消息。这不是我来这里的问题。在对远程 RDS 服务器的 SysAdmin 问题进行故障排除时，我被告知问题可能是因为我们有 bat filea 作为本地域组策略上的登录脚本设置执行。他的想法是，当我们的本地用户登录到远程服务器时，我们的本地登录脚本策略适用并且远程服务器尝试执行远程网络上不存在的 bat 文件。这也运行到远程服务器'

这可能是真的吗？当根本不存在信任时，本地域的域策略是否会应用于远程域上的远程用户登录。只有一个 VPN 和连接两个网络的开放端口。这对我来说听起来不太对劲。

我正在我们的域上测试升级到 Windows 10，该域当前基于 Windows Server 2012 DC 和所有 Windows 7 工作站。我无法让它在 Windows 7 上运行，所以我放弃了，因为我真的不需要它，但在 Windows 10 上，我确实需要它。我花了数小时和数天试图弄清楚，但我没有想法。这是我当前的 GPO 设置，按继承顺序排列（缩写名称以使帖子更短）：

森林计算机（计算机配置）

1. 策略 > Windows > 安全 > Windows 防火墙
   • 域 = 关闭
   • 私人 = 关闭
   • 公共 = 关闭
2. 策略 > 管理模板 > 网络/网络连接/Windows 防火墙
   • 域配置文件 > 保护所有网络连接 = 已禁用
   • 标准配置文件 > 保护所有网络连接 = 禁用
3. 策略 > 管理模板 > 系统/组策略
   • 慢速链路检测 = 禁用
   • 登录脚本延迟 = 禁用
   • 脚本策略处理 = 已启用，允许跨慢速网络 = 已启用
   • 启动策略处理等待时间 = 禁用
4. 策略 > 管理模板 > 系统/登录
   • 在计算机启动和登录时始终等待网络 = 已启用
5. 策略 > 管理模板 > 系统/脚本
   • 禁用 NetBIOS 或 WINS 时允许登录脚本 = 已启用
   • 同步运行登录脚本 = 已启用
   • 异步运行启动脚本 = 禁用
   • 在计算机启动时首先运行 Windows PowerShell 脚本，关机 = 已启用
   • 在用户登录时首先运行 Windows PowerShell 脚本，注销 = 已启用
   • GP 脚本的最大等待时间 = 启用，秒 = 0

森林工作站（计算机配置）

1. 策略 > Windows > 脚本
   • 启动 = %SystemDrive%\Tools\Configuration.ps1 -WorkstationStartup
2. 策略 > 管理模板 > Windows 组件/Windows PowerShell
   • 打开脚本执行=启用，允许所有脚本
3. 首选项 > Windows 设置 > 注册表
   • 禁用DHCPMediaSense = 1
   • DependOnService = LanmanWorkstation、LanmanServer、Netman

林用户（用户配置）

1. 策略 > 脚本
   • 登录 = %SystemDrive%\Tools\Configuration.ps1 -UserLogon
   • 注销 = %SystemDrive%\Tools\Configuration.ps1 -UserLogoff

脚本的工作站特定部分运行得非常好，但用户部分却没有。据我从事件日志（脚本写入自定义事件日志）中可以看出，根本没有调用用户的部分。我认为这可能是因为它在共享上，所以我将它复制到本地系统驱动器，但没有任何作用。如您所见，所有防火墙均已禁用，但没有任何效果。

域和林功能级别是 Windows Server 2012，如果重要的话。我还应该注意，PowerShell 执行策略设置为无限制。

我不知道还有什么可以让登录（以及扩展注销）脚本在它们应该运行的时候运行。我请你帮忙。

更新

因此，我进行了更多挖掘，然后在客户端上运行了 RSoP，在那里我发现了一些奇怪的东西，或者更确切地说，我没有找到它。没有为用户配置定义登录/注销设置。事实上，我期望的很多设置都没有。相反，应用的设置仅适用于域管理员。所以看起来 GPO 继承不起作用？域/OU 的配置如下：

这是 GP 继承：

那么，无论出于何种原因，未应用森林用户政策？我以为全科医生是按级联顺序应用的？

我创建了一个批处理登录脚本，用于检查和删除特定软件的旧版本并安装最新版本。安装和卸载过程都使用 .EXE 文件。如果用户是管理员，该脚本非常有效，但由于登录脚本是使用用户权限运行的，因此使用普通的最终用户帐户会失败。

以管理员身份运行登录脚本的最佳方式是什么？

当我们网络上的域用户帐户不是任何安全组的成员时，他们可以在大约 2 秒内登录。

但是，当他们是任何安全组的成员时，此登录时间会增加到约 35 秒，并在登录时显示以下消息：

此远程站点 (XP Professional) 只有 1 台 PC，通过 LogMeIn Hamachi VPN 链接连接到 SBS 2003 服务器。

登录后，在访问服务器资源和 Active Directory 集成方面一切正常。

DNS 设置似乎是正确的 - 至少据我所知：

我假设这与驱动器映射有关 - 但不能完全弄清楚它为什么会发生（只是远程站点的问题，而不是主办公室的问题）或者如何让这些用户访问某些资源而不增加半分钟到他们的登录时间。

有谁知道这里可能会发生什么？

我正在使用登录批处理脚本将一些 dll 文件复制到 c:\windows\system32 文件夹中，并使用 regsrv32 命令注册它们。

但是，这两个操作都失败了。

我在这里应用脚本：user configuration\policies\scripts (logon/logoff)/logon

脚本本身确实得到执行。但是，它只是不执行任何需要管理员凭据的操作。

我怎样才能解决这个问题？

我有一个属于域的 Windows 7 系统。当它无法访问域控制器时，它是否仍然运行登录脚本？现在，我们有一个从注册表的运行部分启动的本地脚本，用于检查连接。如果它无法与服务器通信，它会修改一些设置以防止在使用机器时出现重大错误。

这可能是最糟糕的方法，但这是以前的技术设置。使用 GPO 和活动目录设置登录脚本的最佳做法是什么？无论我设置什么，仍然需要在系统断网时能够运行。

谢谢