GPO refusé [Fermé]

Signaler
Messages postés
88
Date d'inscription
lundi 14 février 2011
Statut
Membre
Dernière intervention
4 octobre 2012
-
Messages postés
88
Date d'inscription
lundi 14 février 2011
Statut
Membre
Dernière intervention
4 octobre 2012
-
Bonjour,

J'essaie désespérément de mettre en place une GPO sur mon serveur contrôleur de domaine.
Je dois exécuter un script à l'ouverture de sessions de tous les utilisateurs.
J'ai déclaré une nouvelle stratégie de groupe ou j'ai mis le script en ouverture de session dans la configuration utilisateur - paramètres windows - scripts - ouverture de sessions.
J'ai fait un gpupdate sur le poste client et à l'ouverture de session mon script n'est pas lancé.
J'ai vérifié les utilisateurs associés à cette stratégie, tout le domaine est déclaré (c'est ce que je veux) et j'ai déclaré ma session en plus.
Malgré cela rien n'y fait ...
Avec la commande gpresult j'ai pu remarque qu'il y avait ce message :
Les objets stratégie de groupe n'ont pas été appliqués car ils ont été refusé
Auriez-vous un coup de main à me donner afin de sortir de cette galère ?
Merci par avance !



A voir également:

24 réponses

Messages postés
88
Date d'inscription
lundi 14 février 2011
Statut
Membre
Dernière intervention
4 octobre 2012
13
En fait mon fichier .bat est bien exécuté !!!
J'ai fait un test avec le contenu suivant :
net use x: \\IP_Serveur\sysvol\itw-bc.ad\Policies\{BC56915F-1292-49B4-A74D-0FF4E74CB6FB}\User\Scripts\Logon 
echo TEST ! 
pause 
net use x: /d 

Et sur mes postes clients j'ai pu voir le lecteur Logon de monté.
Donc le .bat plante du moment qu'on passe à la ligne echo.
Si j'enlève la ligne echo et la ligne pause mon lecteur disparait donc ça indique bien que le contenu du .bat est lu ...

En fait ça s'exécute bien.
Par contre ça ne m'affiche pas de fenêtre DOS donc c'est pour ça que je pensais que ça ne faisait rien.
J'avais mis un echo test suivi d'un pause et rien ne s'affichait...
Par contre ça ne rend pas la main au premier .bat (celui qui appelle) donc le lecteur réseau n'est jamais "démappé"
3
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci

Messages postés
227
Date d'inscription
lundi 31 mai 2010
Statut
Membre
Dernière intervention
16 septembre 2015
20
C'est normal car ça se charge durant la configuration des paramètres Utilisateur ou ordinateur au démarrage donc invisible.
Messages postés
88
Date d'inscription
lundi 14 février 2011
Statut
Membre
Dernière intervention
4 octobre 2012
13
Si normalement c'est à l'ouverture de session donc le script s'il y a pause devrait s'afficher.
En fait des les GPO par défaut les script d'ouverture / fermeture de session sont invisibles.
Pour les voir il faut modifier comme ceci :
Config Ordinateur / Modele d'admin / systeme /scripts / Executer le script d'arret en mode visible

Maintenant je peux les voir.
J'ai encore quelques soucis notamment lorsque je mappe mon lecteur et que j'appelle un autre .bat. Le second ne rend pas la main au premier et le lecteur réseau reste connecté.
J'ai également un soucis pour le choix de la lettre, comment être sûr qu'elle ne soit pas déjà utilisée ?
Merci pour votre aide, on a bien avancé déjà :)
Messages postés
88
Date d'inscription
lundi 14 février 2011
Statut
Membre
Dernière intervention
4 octobre 2012
13
ben moi c'est plus comme ceci :

\WINDOWS\SYSVOL\sysvol\domaine.local\scripts\test.bat
Ici c'est le répertoire pour les scripts qui se lancent via les propriétés d'un user sur l'AD puis dans l'onglet profil.
Quand je fais comme ceci le script est lancé.
Mais si je met ce chemin via une stratégie de groupe pour que tous mes users de l'AD lancent le script j'ai un message (via gpresult) :
Les objets stratégie de groupe n'ont pas été appliqués car ils ont été refusé.
Messages postés
434
Date d'inscription
mardi 18 mars 2008
Statut
Membre
Dernière intervention
14 mars 2018
165
...
Messages postés
88
Date d'inscription
lundi 14 février 2011
Statut
Membre
Dernière intervention
4 octobre 2012
13
D'accord mais je le met où ce code ?
Messages postés
434
Date d'inscription
mardi 18 mars 2008
Statut
Membre
Dernière intervention
14 mars 2018
165
Au temps pour moi, j'annule ce que j'ai dit.

C'est bien dans le profil de chaque user de l'AD que se lance le script (Pas dans une GPO)?
Si c'est ça, essaies de ne mettre que le nom du script (test.bat sans chemin), normalement il va chercher les scripts directement dans ton répertoire scripts
Messages postés
88
Date d'inscription
lundi 14 février 2011
Statut
Membre
Dernière intervention
4 octobre 2012
13
En fait j'ai déjà un script dans le profil des users.
C'est un peu le bordel parce que certains ont un script, d'autre en ont un autre et d'autre n'en n'ont pas ...
Avec l'histoire des GPO ça m'évitait de me taper chaque user et de définir un script ou de modifier ceux existants.
Je ne suis pas trop censé les changer donc si je pouvais éviter ça m'arrangerais.
Messages postés
227
Date d'inscription
lundi 31 mai 2010
Statut
Membre
Dernière intervention
16 septembre 2015
20
C'est un peu le bordel parce que certains ont un script, d'autre en ont un autre et d'autre n'en n'ont pas ...
Avec l'histoire des GPO ça m'évitait de me taper chaque user et de définir un script ou de modifier ceux existants. 


J'aime bien KixStart pour la gestion des logon script, très facile d'utilisation, très paramétrable et surtout gratuit..

ex: if ingroup " comptable " use L:\svr \..... (probablement le plus utile car tu pousses les logon script a des groupes AD donc tu n'as besoin que d'un bon script unique)
ou
if $ip3 = 1 fait ceci (pour différencier tes réseaux)
if $wksta = serveur go to end (pour ne pas appliquer de script sur les serveurs)
Messages postés
434
Date d'inscription
mardi 18 mars 2008
Statut
Membre
Dernière intervention
14 mars 2018
165
Bonjour,

Le script se trouve sur le serveur. Tu as vérifié les droits en lecture du dossier dans lequel il se trouve ?
Messages postés
88
Date d'inscription
lundi 14 février 2011
Statut
Membre
Dernière intervention
4 octobre 2012
13
Oui tous les utilisateurs du domaine ont le droit en lecture et exécution.
C'est bien souvent un problème de droit mais je ne vois pas où ça peut coincer !
La commande nslookup me renvoie bien mon dns ...

Avec la commande rsop.msc j'obtiens la même arborescence que sur mon serveur avec mon .bat dans l'ouverture de session.
Mais celui-ci ne se lance toujours pas à l'ouverture ...
Messages postés
434
Date d'inscription
mardi 18 mars 2008
Statut
Membre
Dernière intervention
14 mars 2018
165
Et le répertoire est bien partagé ?

Tu arrives à lancer le .bat après l'ouverture de session en utilsant le même chemin que dans la GPO ?
Messages postés
88
Date d'inscription
lundi 14 février 2011
Statut
Membre
Dernière intervention
4 octobre 2012
13
Merci pour ton aide !

Oui je peux lancer le .bat après l'ouverture de session.
J'ai essayé aussi de le mettre dans le répertoire C:\WINDOWS\SYSVOL\sysvol\nom-domaine\scripts
Ce répertoire est celui qui est utilisé lorsque l'on met un script à l'ouverture de session dans l'onglet profil avec Active Directory.
Ce répertoire est accessible et lorsque l'on passe pas Active Directory -> User -> profil -> ouverture session
et que l'on met un .bat celui-ci est bien exécuté !
Je sèche quant à la solution de ce problème ...
Messages postés
434
Date d'inscription
mardi 18 mars 2008
Statut
Membre
Dernière intervention
14 mars 2018
165
Dans ta GPO tu mets le script avec un chemin du style ? :

\\tondomain.local\Sysvol\scripts\tonscript.bat

OU

\\tondomain.local\Sysvol\tondomain.local\scripts\tonscript.bat

suivant la configuration
Messages postés
434
Date d'inscription
mardi 18 mars 2008
Statut
Membre
Dernière intervention
14 mars 2018
165
"Ici c'est le répertoire pour les scripts qui se lancent via les propriétés d'un user sur l'AD puis dans l'onglet profil."

Ok, en fait j'ai cru qu'au final tu voulais le script dans le profil de l'utilisateur.

Bon, j'ai regardé. Chez moi, les scripts inclus dans les GPO utilisent bien un chemin UNC.

Mes scripts, sur le serveur, sont dans "C:\WINDOWS\SYSVOL\sysvol\monDomaine.local\scripts"

J'appelle mes scripts (dans les GPO) comme ceci:\\monDomaine.local\sysvol\monDomaine.local\scripts\monscript.bat

Regardes si tu as bien utilisé le bon chemin.

- Après, il faut revérifier les droits (dossier), le partage.
- La GPO est une GPO utilisateur ?
- Elle est placée dans la bonne OU ?

On va trouver !!^^
Messages postés
88
Date d'inscription
lundi 14 février 2011
Statut
Membre
Dernière intervention
4 octobre 2012
13
Merci pour ton aide :)
Nous avons le même chemin concernant le placement des scripts :

Mes scripts, sur le serveur, sont dans "C:\WINDOWS\SYSVOL\sysvol\monDomaine.local\scripts" 


Par contre pour l'appel moi j'ai le même chemin que les scripts étant donné que je vais les chercher via l'onglet parcourir ...
Pour les droit du répertoire scripts je suis sûr vu que ça marche via le profil des users dans l'AD.
C'est en effet une GPO utilisateurs placé dans une OU Utilisateurs.
Arborescence de ce genre :

- monDomaine.local
- OU
- Utilisateurs
- GPO
Messages postés
227
Date d'inscription
lundi 31 mai 2010
Statut
Membre
Dernière intervention
16 septembre 2015
20
As-tu essayé avec le share NETLOGON?

\\serveur\NETLOGON\script.bat
Messages postés
88
Date d'inscription
lundi 14 février 2011
Statut
Membre
Dernière intervention
4 octobre 2012
13
Je n'ai pas ce répertoire sur mon serveur :(
Messages postés
227
Date d'inscription
lundi 31 mai 2010
Statut
Membre
Dernière intervention
16 septembre 2015
20
C'est le partage par défaut sur le répertoire script
Messages postés
88
Date d'inscription
lundi 14 février 2011
Statut
Membre
Dernière intervention
4 octobre 2012
13
Je n'ai que les répertoires de SYSVOL ...
Mais j'avais déjà lu des choses à propos de NETLOGON normalement c'est dans ce répertoire qu'on met les scripts que l'on affecte au profil des users de l'AD non ?
Je ne sais pas pourquoi je ne l'ai pas ...
Mais je ne pense pas que ce soit une histoire de partage parce que depuis un PC client je peux me connecter au répertoire "\\IP_Serveur\WINDOWS\SYSVOL\sysvol\monDomaine.local\scripts" et lancer mon .bat
Par contre impossible qu'il se lance à l'ouverture de ma session.
Mes GPO ne sont toujours pas active :
Les objets stratégie de groupe n'ont pas été appliqués car ils ont été refusé
Messages postés
227
Date d'inscription
lundi 31 mai 2010
Statut
Membre
Dernière intervention
16 septembre 2015
20
Ce n'est pas un répertoire!!!
Regarde le partage sur le répertoire scripts

As-tu d'autres gpo qui fonctionnent?

As-tu essayé de modifier d'autres paramètres avec le même gpo pour savoir si le problème s'applique seulement au logon scripts ou au gpo lui-même.
Messages postés
88
Date d'inscription
lundi 14 février 2011
Statut
Membre
Dernière intervention
4 octobre 2012
13
Ha pardon ... oui le partage est bien NETLOGON.
Je n'ai pas d'autres GPO qui fonctionnent.
J'ai essayer de masquer dans le menu démarrer le raccourcis à Musique et ceci à bien marcher.
Donc ça à l'air de concerner que mes scripts sur logon ...
Messages postés
227
Date d'inscription
lundi 31 mai 2010
Statut
Membre
Dernière intervention
16 septembre 2015
20
Est-ce que tu as inséré le batchfile de logon dans
C:\WINDOWS\SYSVOL\sysvol\ton_réseau\Policies\{xxxxxxxxxx}\User\Scripts\Logon ?
Messages postés
88
Date d'inscription
lundi 14 février 2011
Statut
Membre
Dernière intervention
4 octobre 2012
13
Oui il est bien présent dans ce répertoire.
Ainsi que dans C:\WINDOWS\SYSVOL\sysvol\ton_réseau\Scripts
Messages postés
227
Date d'inscription
lundi 31 mai 2010
Statut
Membre
Dernière intervention
16 septembre 2015
20
Je te conseillerais plutôt de démapper les lecteurs avec un logoff script à la fermeture d'une session utilisateur.

Pour ce qui est de la lettre à utiliser, c'est toi qui devrait les gérer de manière à standardiser les clients.
Messages postés
88
Date d'inscription
lundi 14 février 2011
Statut
Membre
Dernière intervention
4 octobre 2012
13
Mouais je suis pas trop pour laisser un lecteur où finalement il y a tous les scripts dedans.
Même si les utilisateurs n'ont pas le droit en écriture, je ne vois pas top l'intérêt de le laisser.
Je pourrais appeler un troisième script mais ça commence à faire là ^^
Messages postés
227
Date d'inscription
lundi 31 mai 2010
Statut
Membre
Dernière intervention
16 septembre 2015
20
Je n'avais pas remarqué que tu mappais un lecteur logon!!!

Je croyais que tu faisais simplement des tests

Tu n'as pas à faire ça!!
Messages postés
434
Date d'inscription
mardi 18 mars 2008
Statut
Membre
Dernière intervention
14 mars 2018
165
Tu dois bien pouvoir créer le lecteur et le désinstaller dans le même script non?