Shopt-IT 2014 Het einde van Logon scripts?

1 Belangrijkste doeleinden logon scripts .............................................................................. 2

2 Klassieke werkwijze ........................................................................................................... 2

3 Logon scripts nu via Group Policy ..................................................................................... 3

4 Scripting of GPO preferences instellingen – best practices ............................................... 3

5 Kan ik mijn logon script’s vervangen door group policy preferences? ............................. 4

6 (Persoonlijke) Conclusies ................................................................................................... 5

7 Case 1: Logon script vervangen door GPO ........................................................................ 6

7.1 Vroeger: Logon script (47 lijnen VBS code) – locatie netlogon ................................ 6

1) Mapping netwerk share (DFS namespace) .................................................................. 6

2) BGInfo op bureaublad tonen ....................................................................................... 6

3) Update Access Front End – 40 lijnen VBS code (installatie afzonderlijk script) ....... 6

4) Schrijf systeeminformatie weg naar share voor Topsis (script Topdesk) ................... 6

7.2 Nu: GPO ...................................................................................................................... 7

1) Mapping netwerk share (DFS namespace) .................................................................. 7

2) BGInfo op bureaublad tonen ....................................................................................... 8

3) Installatie (vroeger 64 lijnen code) + Update van programma (Access Front End) .... 9

4) Schrijf systeeminformatie weg naar share voor Topsis (script Topdesk) ..................... 11

8 Case 2: Persoonlijke mappen maken via GPO ................................................................. 12

Stap 1 - Folder maken/delen en rechten instellen ................................................................ 12

Stap 2 - Security groep nieuwe gebruikers ........................................................................... 13

Stap 3 - GPO voor drive mapping ........................................................................................ 13

Stap 4 - Persoonlijke map aanmaken ................................................................................... 17

Shopt IT 2014 Ivo Depoorter Pagina 2 van 19

1 Belangrijkste doeleinden logon scripts

• Folder mapping • Printer mapping

• Omgevingsvariabelen • Registersleutels

• Acties eigen aan de onderneming

2 Klassieke werkwijze

(Belangrijkste) +Voordelen/-Nadelen:

+ Homedrive wordt automatisch gemaakt incl. rechten - 1 script per gebruiker - Script wordt enkel uitgevoerd tijdens het aanmelden - Scripten is arbeidsintensief en vergt veel kennis(overdracht)

Shopt IT 2014 Ivo Depoorter Pagina 3 van 19

3 Logon scripts nu via Group Policy Via computer configuration startup/shutdown of user configuration logon/logoff

(Belangrijkste) +Voordelen/-Nadelen:

+ Meerdere Logon & logoff scripts per gebruiker/computer/GPO mogelijk + Volledige ondersteuning van Powershell (Vanaf Windows 7) - Standaard geen ondersteuning voor Windows XP, Vista, Server 2003 (+R2) (installatie van GPO Client side extensions!)

4 Scripting of GPO preferences instellingen – best practices

Taken die uitgevoerd kunnen worden via group policy preferences

• Folder mapping

• Omgevingsvariabelen • Bestanden

• Registerinstellingen • Printers

(Belangrijkste) +Voordelen/-Nadelen: + Geen kennis van scripting nodig + ITL (Item Level Targetting) + CRUD (Create Read Update Delete) van objecten + Group policies worden periodiek vernieuwd (niet altijd logon of startup nodig)

Shopt IT 2014 Ivo Depoorter Pagina 4 van 19

5 Kan ik mijn logon script’s vervangen door group policy preferences? How to get rid of your logon scripts the easy and free way:

http://www.grouppolicy.biz/2012/09/teched-2012-video-how-to-get-rid-of-your-logon-scripts-the-easy-and-free-way/

Targeting Preferences

Targeting operatoren

Shopt IT 2014 Ivo Depoorter Pagina 5 van 19

6 (Persoonlijke) Conclusies • Het scripten van opstart taken is arbeidsintensief en kan in veel gevallen vervangen

worden door group policy preferences.

• GPO’s ter vervanging van scripts vraagt soms een andere aanpak • Security groepen spelen een belangrijke rol en kunnen voor meerdere doeleinden

(her)gebruikt worden. Tip maak gebruikers sjablonen!

• Het gebruik van de Netlogon share is niet langer nodig • Kennis van scripten blijft nodig voor andere doeleinden – meer en meer powershell!

Shopt IT 2014 Ivo Depoorter Pagina 6 van 19

Front-end schrijft

bij het openen het

versie nr naar het

register

Controle bestaat

de folder met de

front-end op het

bureaublad

Vergelijk versie uit

register met versie

uit text bestand op

server

Update indien

versie verschillend

Schrijf nieuw versie

nummer naar

register

7 Case 1: Logon script vervangen door GPO

7.1 Vroeger: Logon script (47 lijnen VBS code) – locatie netlogon

1) Mapping netwerk share (DFS namespace)

2) BGInfo op bureaublad tonen

3) Update Access Front End – 40 lijnen VBS code (installatie afzonderlijk script)

4) Schrijf systeeminformatie weg naar share voor Topsis (script Topdesk)

Shopt IT 2014 Ivo Depoorter Pagina 7 van 19

7.2 Nu: GPO

1) Mapping netwerk share (DFS namespace) • Maak een GPO (in het voorbeeld Drive mapping) • Gebruik User Configuration – Preferences – Drive Maps • Vul je eigen parameters (share, drive letter) in volgens het screenshot

• Maak een security groep (in het voorbeeld GS-DFS-Namespace-User)

Shopt IT 2014 Ivo Depoorter Pagina 8 van 19

• Optioneel: maak een snelkoppeling naar het bureaublad

2) BGInfo op bureaublad tonen • Maak een vbs of batch om BGInfo op te starten • Maak een nieuwe of gebruik een bestaande GPO • Ga naar User Configuration > Policies > Windows Settings > Scripts (Logon/Logoff)

en dubbel-click op Logon

Zie volledig voorbeeld op http://social.technet.microsoft.com/wiki/contents/articles/20262.apply-bginfo-using-a-group-policy-logon-script.aspx

Shopt IT 2014 Ivo Depoorter Pagina 9 van 19

3) Installatie (vroeger 64 lijnen code) + Update van programma (Access Front End)

In deze group policy worden de mappen gemaakt die nodig zijn voor het gebruik van de Acces Front End als de gebruiker lid is van een bepaalde security groep. Het bepalen van de volgorde kan van belang zijn, zeker als je creatie van items (in dit geval folders) afhankelijk maakt van het bestaan van andere items.

Opzoekingen in Active Directory zijn arbeidsintensiever van andere opzoekingen, zeker wanneer er een lage bandbreedte is tussen de client en de domein controller. In onderstaand geval wordt er alleen gecontroleerd of de gebruiker lid is van de opgegeven security groep bij de aanmaak van de eerste map (DB_Cliënten – order 1 ). Voor de creatie van de andere mappen wordt er gecontroleerd of de eerste map bestaat.

Volgorde Maak map Als En 1 DB_Cliënten Gebruiker =lid security

groep x De map DB_Cliënten bestaat niet

2 Cliënt_Fiches map DB_Cliënten bestaat 3 Excel_Sjablonen map DB_Cliënten bestaat 4 Word_Sjablonen map DB_Cliënten bestaat 5 Temp map DB_Cliënten bestaat Belangrijk voordeel: dezelfde security groep wordt gebruikt voor 3 doeleinden:

• Group policy: programma installeren en up-to-date houden • SQL Server: rechten op de cliëntdatabank • Fileserver: rechten op cliënt bestanden

In de volgende stap (order 1) wordt het bestand naar de map DB_Cliënten gekopieerd als deze bestaat.

Shopt IT 2014 Ivo Depoorter Pagina 10 van 19

Order 2 zorgt voor een update van het programma als de versie niet beantwoord aan de parameter in de group policy. Werking:

• Tijdens het starten van de front-end schrijft de toepassing het versie nummer weg naar het register

• De onderstaande ILT (Item Level Targeting) gaat deze versie uitlezen en opslaan in een variabele

• Er wordt een nieuwe versie gekopieerd als de versie van de variabele niet gelijk is aan de versie opgegeven in de group policy

Tot slot worden er ook enkele registersleutels aangemaakt die voordien in het installatiescript zaten

en krijgt de front end ook een snelkoppeling op het bureaublad

Shopt IT 2014 Ivo Depoorter Pagina 11 van 19

4) Schrijf systeeminformatie weg naar share voor Topsis (script Topdesk) Omwille van de compatibiliteit met Topdesk wordt dit script niet gewijzigd. Het script verhuist van de netlogon share naar een group policy onder de instelling: Computer Configuration > Policies > Windows Settings > Scripts Startup

Shopt IT 2014 Ivo Depoorter Pagina 12 van 19

8 Case 2: Persoonlijke mappen maken via GPO

Stap 1 - Folder maken/delen en rechten instellen

Maak een map gebruikersmappen aan Deel deze map (gebruikersmappen$) en zet de share permissies op full control voor authenticated users (geverifieerde gebruikers)

Wijzig de NTFS rechten door de volgende instellingen:

Schakel het erven van bovenliggende rechten uit (disable inheritance) en stel de volgende rechten in

SYSTEM = Full Control CREATOR OWNER = Full Control LOCAL\Administrators = Full Control Authenticated Users = Traverse folder (Door map bladeren/Bestanden uitvoeren); Create folder (Mappen maken/Gegevens toevoegen); Write attributes (Kenmerken schrijven); Write extended attributes (Uitgebreide kenmerken schrijven); Read permissions (Leesmachtigingen)

Shopt IT 2014 Ivo Depoorter Pagina 13 van 19

Stap 2 - Security groep nieuwe gebruikers

Maak een Security groep GS-Persoonlijke_map

Stap 3 - GPO voor drive mapping

Maak de GPO Drive Mapping aan

Onder User configuration – preferences – Drive maps bepaal je het path, de letter en het label van de homedrive. Door gebruik te maken van %LOGONUSER% zorg je ervoor dat de persoonlijke map de naam krijgt van de aangemelde gebruiker.

Shopt IT 2014 Ivo Depoorter Pagina 14 van 19

De variabele %LOGONUSER% is een functie die gebruikt kan worden binnen GPO’s om de naam van de aangemelde gebruiker weer te geven. Niet verwarren met de lokale variabele %USERNAME% !!!

Andere variabelen zijn terug te vinden op: http://technet.microsoft.com/en-us/library/cc753915.aspx

Shopt IT 2014 Ivo Depoorter Pagina 15 van 19

Klik op de Common tab en selecteer Run in Logged-on user’s security context (Uitvoeren in de beveiligingscontext van de aangemelde gebruiker ) en Item-level targeting (Itemniveau als doel instellen)

Run in Logged-on user’s security context

Als de optie Uitvoeren in de beveiligingscontext van de aangemelde gebruiker is geselecteerd, wordt de beveiligingscontext waarbinnen het voorkeursitems wordt verwerkt, gewijzigd. De voorkeursextensie verwerkt voorkeursitems binnen de beveiligingscontext van de aangemelde gebruiker. De voorkeurextensie verkrijgt hierdoor als gebruiker toegang tot bronnen in plaats van als computer. Dit kan bijzonder belangrijk zijn wanneer er gebruik wordt gemaakt van stations toewijzingen of andere voorkeuren waarin de computer mogelijk niet over de juiste machtigingen voor bronnen beschikt of in gevallen waarin er omgevingsvariabelen worden gebruikt. De waarde van een groot aantal omgevingsvariabelen wijkt af wanneer deze wordt beoordeeld in een andere beveiligingscontext dan in die van de aangemelde gebruiker.

Shopt IT 2014 Ivo Depoorter Pagina 16 van 19

Item-level targeting

Met de optie Itemniveau als doel instellen bepaal je aan welke voorwaarden er voldaan moet worden vooraleer de instelling toegepast worden. De instellingen hebben een waar/onwaar waarde die gewijzigd kan worden. Meerdere voorwaarden kunnen met de logische operatoren En/Of gecombineerd worden. De meest gebruikte filters zijn op security groep, IP adres bereik, organisatie eenheid, registerovereenkomst, bestandsovereenkomst

Klik op Targeting en Voeg de security groep GS-Persoonlijke_map toe

Shopt IT 2014 Ivo Depoorter Pagina 17 van 19

Stap 4 - Persoonlijke map aanmaken

In tegenstelling tot de home drive instellingen binnen Active Directory Users And Computers wordt de home map niet automatisch aangemaakt via de group policy dus zijn er enkele bijkomende stappen nodig.

Maak een nieuwe group policy Persoonlijke map maken

Verwijder authenticated users onder Security Filtering en voeg de net aangemaakte security groep toe (GS-Persoonlijke_map)

Editeer de GPO Persoonlijke map maken

Ga naar User configuration – preferences – Folder en maak een map aan die verwijst naar de share gemaakt in stap 1

Shopt IT 2014 Ivo Depoorter Pagina 18 van 19

De optie Create (Maken) is hier de beste optie en is ook veilig (zie groen icoontje voor de map naam). Indien de map bestaat wordt er verder niets meer ondernomen.

Maken Een nieuwe map voor computers of gebruikers maken.

Verwijderen Een map voor computers of gebruikers verwijderen.

Vervangen

Een map voor computers of gebruikers verwijderen en opnieuw maken. Het resultaat van de actie Vervangen is dat de inhoud van een bestaande map wordt verwijderd en alle bij de map behorende instellingen worden overschreven. Als de map niet bestaat, wordt met de actie Vervangen een nieuwe map gemaakt.

Bijwerken

Een bestaande map voor computers of gebruikers wijzigen. Het verschil met de actie Vervangen is dat uitsluitend binnen het voorkeursitem gedefinieerde instellingen worden bijgewerkt. Alle andere instellingen blijven zoals ze geconfigureerd zijn voor de map. Als de map niet bestaat, wordt met de actie Bijwerken een nieuwe map gemaakt.

Link de GPO’s Drive Mapping en Persoonlijke map maken aan een OU en controleer de volgorde van de GPO’s. Zorg ervoor dat de link order van de GPO die de map aanmaakt lager is dan de GPO die instaat voor de drive mapping.

Shopt IT 2014 Ivo Depoorter Pagina 19 van 19

Klik op common Run in Logged-On user’s security context