GPO refuséFermé

Question

Bonjour, 

J'essaie désespérément de mettre en place une GPO sur mon serveur contrôleur de domaine.
Je dois exécuter un script à l'ouverture de sessions de tous les utilisateurs.
J'ai déclaré une nouvelle stratégie de groupe ou j'ai mis le script en ouverture de session dans la configuration utilisateur - paramètres windows - scripts - ouverture de sessions.
J'ai fait un gpupdate sur le poste client et à l'ouverture de session mon script n'est pas lancé.
J'ai vérifié les utilisateurs associés à cette stratégie, tout le domaine est déclaré (c'est ce que je veux) et j'ai déclaré ma session en plus.
Malgré cela rien n'y fait ...
Avec la commande gpresult j'ai pu remarque qu'il y avait ce message :
Les objets stratégie de groupe n'ont pas été appliqués car ils ont été refusé
Auriez-vous un coup de main à me donner afin de sortir de cette galère ?
Merci par avance !



Configuration: Windows XP / Firefox 5.0

Etudiant_Informatique · Accepted Answer

En fait mon fichier .bat est bien exécuté !!! 
J'ai fait un test avec le contenu suivant : 

net use x: \IP_Serveur\sysvol\itw-bc.ad\Policies\{BC56915F-1292-49B4-A74D-0FF4E74CB6FB}\User\Scripts\Logon 
echo TEST ! 
pause 
net use x: /d 

Et sur mes postes clients j'ai pu voir le lecteur Logon de monté. 
Donc le .bat plante du moment qu'on passe à la ligne echo. 
Si j'enlève la ligne echo et la ligne pause mon lecteur disparait donc ça indique bien que le contenu du .bat est lu ...

En fait ça s'exécute bien.
Par contre ça ne m'affiche pas de fenêtre DOS donc c'est pour ça que je pensais que ça ne faisait rien.
J'avais mis un echo test suivi d'un pause et rien ne s'affichait...
Par contre ça ne rend pas la main au premier .bat (celui qui appelle) donc le lecteur réseau n'est jamais "démappé"

Sebbonard · Answer

Bonjour,

Le script se trouve sur le serveur. Tu as vérifié les droits en lecture du dossier dans lequel il se trouve ?

Etudiant_Informatique · Answer

Oui tous les utilisateurs du domaine ont le droit en lecture et exécution. 
C'est bien souvent un problème de droit mais je ne vois pas où ça peut coincer ! 
La commande nslookup me renvoie bien mon dns ...

Avec la commande rsop.msc j'obtiens la même arborescence que sur mon serveur avec mon .bat dans l'ouverture de session.
Mais celui-ci ne se lance toujours pas à l'ouverture ...

Sebbonard · Answer

Et le répertoire est bien partagé ?

Tu arrives à lancer le .bat après l'ouverture de session en utilsant le même chemin que dans la GPO ?

Etudiant_Informatique · Answer

Merci pour ton aide !

Oui je peux lancer le .bat après l'ouverture de session.
J'ai essayé aussi de le mettre dans le répertoire C:\WINDOWS\SYSVOL\sysvol
om-domaine\scripts
Ce répertoire est celui qui est utilisé lorsque l'on met un script à l'ouverture de session dans l'onglet profil avec Active Directory.
Ce répertoire est accessible et lorsque l'on passe pas Active Directory -> User -> profil -> ouverture session 
et que l'on met un .bat celui-ci est bien exécuté !
Je sèche quant à la solution de ce problème ...

Sebbonard · Answer

Dans ta GPO tu mets le script avec un chemin du style ? :

\tondomain.local\Sysvol\scripts	onscript.bat

OU

\tondomain.local\Sysvol	ondomain.local\scripts	onscript.bat

suivant la configuration

Etudiant_Informatique · Answer

ben moi c'est plus comme ceci :

\WINDOWS\SYSVOL\sysvol\domaine.local\scripts	est.bat
Ici c'est le répertoire pour les scripts qui se lancent via les propriétés d'un user sur l'AD puis dans l'onglet profil.
Quand je fais comme ceci le script est lancé.
Mais si je met ce chemin via une stratégie de groupe pour que tous mes users de l'AD lancent le script j'ai un message (via gpresult) :
Les objets stratégie de groupe n'ont pas été appliqués car ils ont été refusé.

Sebbonard · Answer

"Ici c'est le répertoire pour les scripts qui se lancent via les propriétés d'un user sur l'AD puis dans l'onglet profil."

Ok, en fait j'ai cru qu'au final tu voulais le script dans le profil de l'utilisateur.

Bon, j'ai regardé. Chez moi, les scripts inclus dans les GPO utilisent bien un chemin UNC.

Mes scripts, sur le serveur, sont dans "C:\WINDOWS\SYSVOL\sysvol\monDomaine.local\scripts"

J'appelle mes scripts (dans les GPO) comme ceci:\monDomaine.local\sysvol\monDomaine.local\scripts\monscript.bat

Regardes si tu as bien utilisé le bon chemin.

- Après, il faut revérifier les droits (dossier), le partage.
- La GPO est une GPO utilisateur ?
- Elle est placée dans la bonne OU ?

On va trouver !!^^

Etudiant_Informatique · Answer

Merci pour ton aide :)
Nous avons le même chemin concernant le placement des scripts :

Mes scripts, sur le serveur, sont dans "C:\WINDOWS\SYSVOL\sysvol\monDomaine.local\scripts" 

Par contre pour l'appel moi j'ai le même chemin que les scripts étant donné que je vais les chercher via l'onglet parcourir ...
Pour les droit du répertoire scripts je suis sûr vu que ça marche via le profil des users dans l'AD.
C'est en effet une GPO utilisateurs placé dans une OU Utilisateurs.
Arborescence de ce genre :

- monDomaine.local
      - OU
          - Utilisateurs
                - GPO

!Roulov! · Answer

As-tu essayé avec le share NETLOGON?

\serveur\NETLOGON\script.bat

Etudiant_Informatique · Answer

Je n'ai pas ce répertoire sur mon serveur :(

!Roulov! · Answer

C'est le partage par défaut sur le répertoire script

Etudiant_Informatique · Answer

Je n'ai que les répertoires de SYSVOL ... 
Mais j'avais déjà lu des choses à propos de NETLOGON normalement c'est dans ce répertoire qu'on met les scripts que l'on affecte au profil des users de l'AD non ? 
Je ne sais pas pourquoi je ne l'ai pas ... 
Mais je ne pense pas que ce soit une histoire de partage parce que depuis un PC client je peux me connecter au répertoire "\IP_Serveur\WINDOWS\SYSVOL\sysvol\monDomaine.local\scripts" et lancer mon .bat 
Par contre impossible qu'il se lance à l'ouverture de ma session. 
Mes GPO ne sont toujours pas active : 
Les objets stratégie de groupe n'ont pas été appliqués car ils ont été refusé

!Roulov! · Answer

Ce n'est pas un répertoire!!!
Regarde le partage sur le répertoire scripts

As-tu d'autres gpo qui fonctionnent?

As-tu essayé de modifier d'autres paramètres avec le même gpo pour savoir si le problème s'applique seulement au logon scripts ou au gpo lui-même.

Etudiant_Informatique · Answer

Ha pardon ... oui le partage est bien NETLOGON.
Je n'ai pas d'autres GPO qui fonctionnent.
J'ai essayer de masquer dans le menu démarrer le raccourcis à Musique et ceci à bien marcher.
Donc ça à l'air de concerner que mes scripts sur logon ...

!Roulov! · Answer

Est-ce que tu as inséré le batchfile de logon dans 
C:\WINDOWS\SYSVOL\sysvol	on_réseau\Policies\{xxxxxxxxxx}\User\Scripts\Logon ?

Etudiant_Informatique · Answer

Oui il est bien présent dans ce répertoire.
Ainsi que dans C:\WINDOWS\SYSVOL\sysvol	on_réseau\Scripts

!Roulov! · Answer

Je te conseillerais plutôt de démapper les lecteurs avec un logoff script à la fermeture d'une session utilisateur.

Pour ce qui est de la lettre à utiliser, c'est toi qui devrait les gérer de manière à standardiser les clients.

Etudiant_Informatique · Answer

Mouais je suis pas trop pour laisser un lecteur où finalement il y a tous les scripts dedans.
Même si les utilisateurs n'ont pas le droit en écriture, je ne vois pas top l'intérêt de le laisser.
Je pourrais appeler un troisième script mais ça commence à faire là ^^

Sebbonard · Answer

Tu dois bien pouvoir créer le lecteur et le désinstaller dans le même script non?

Etudiant_Informatique · Answer

Ben en fait j'avais un soucis avec le chemin UNC sinon ... 
Je vais réessayer sans monter un lecteur pour voir si ça se lance bien.

Etudiant_Informatique · Answer

Effectivement ça marche mais j'ai bien un message me disant que les chemins UNC ne sont pas pris en charge ...

!Roulov! · Answer

Là on commence à se compliquer la vie. 
  
Tu peux toujours ajouter use lecteur: /delete dans le logon script du profil qui agira après le script du gpo!!!

ceci était un commentaire à Sebonard

Etudiant_Informatique · Answer

Ce warning n'empêche pas l'exécution du script donc je vais laisser comme ça.
C'est bien plus simple :p
Encore une toute petite chose ... peut-on lancer un .bat avec les droits admin ?
Parce que je veux installer OCS via ce batch mais les comptes utilisateurs n'ont pas les droits.

GPO refusé

24 réponses

Discussions similaires

Newsletters