Обновлено 17.07.2019
Добрый день! Уважаемые читатели и гости одного из крупнейших IT порталов в России Pyatilistnik.org. В прошлый раз вы меня просили рассказать вам, о рабочих методах исправления черного экрана Windows 10 и я с вами ими поделился. Так как направленность моего ресурса больше рассчитана на системных администраторов и продвинутых пользователей, то я сегодня хочу вновь поговорить про групповые политики и автоматизацию получаемую благодаря им. В данной публикации речь пойдет, о запуске скрипта PowerShell средствами GPO (Групповой политики), мы рассмотрим все варианты доступные администраторам.
Постановка задачи
Когда начинающий системный администратор превращается в матерого админа, он хочет везде все автоматизировать и везде экономить свое время, и это логично люди существа любящие комфорт и лень. Рабочая среда Active Directory позволяет, как все знаете через групповые политики настройку почти всех компонентов в системе, а что не может замещается средствами PowerShell, вот такой симбиоз. В нашу задачу входит научиться запускать при загрузке компьютера или при входе пользователя на компьютер или сервер, наш скрипт PowerShell, который реализует ту или иную задачу, это не важно, пусть например монтирует базы 1С.
Методы запуска скрипта PowerShell через GPO
Существует несколько сценариев позволяющих вам применять к вашим объектам нужные скрипты:
- Скрипт применяется в автозагрузке системы, в момент загрузки операционной системы
- Скрипт отработает во время входа или выхода пользователя из системы
- Ну и запуск скрипта по расписанию, такое то же имеет место быть
Запуск PowerShell скрипта в автозагрузке сервера
Открываем оснастку «Управление групповой политикой» и создаем на нужном уровне вашей иерархии организационных подразделений, новую политику, в моем примере, это будет «Добавление баз 1С». Переходим к ее редактированию.
Для того, чтобы при загрузке вашего сервера или компьютера, к нему применялся нужный вам сценарий PowerShell вам необходимо перейти в раздел:
Конфигурация компьютера — Политики — Конфигурация Windows — Сценарий (запуск/завершение) (Computer Configuration — Policies — Windows Settings — Scripts (Startup/Shutdown)
Тут вы увидите два возможных варианта «Автозагрузка» и «Завершение работы»
Далее вы открываете пункт «Автозагрузка», переходите на вкладку «Сценарий PowerShell» и нажимаете кнопку «Добавить«. Через окно «добавление сценария» откройте папку «Startup» и скопируйте туда ваш скрипт. Теперь данный файл будет частью папки Sysvol и располагаться в конкретном GPO объекте.
Так же хочу отметить, что вы можете задать порядок выполнения PowerShell сценария в соответствующей области, выбрав будет ли он выполнятся после других сценариев или перед.
Еще есть ряд нюансов при использовании выполнения скриптов PowerShell средствами групповой политики:
- Во первых по умолчанию в Windows есть 5-ти минутная задержка выполнения скриптом, как ее отключать я рассказывал можете почитать вот тут.
- Если у вас в локальной сети присутствуют операционные системы по типу Windows Server 2008 или ниже, то там есть подводные камни в виде выполнения неподписанных скриптов и во вторых в старой версии PowerShell
Хочу отметить, что начиная с Windows Server 2012 R2, Windows 8.1 и выше, все запускаемые сценарии PowerShell через GPO работают в режиме Bypass, что подразумевает игнорирование политики Set-ExecutionPolicy. Но если у вас есть более старые клиенты, то вы можете пойти вот таким путем:
Вы можете явно указать исполняемый файл PowerShell, для этого в политике откройте вкладку «Сценарии», нажмите добавить. В имя сценария введите путь до файла powerShell, это:
%windir%System32WindowsPowerShellv1.0powershell.exe
В параметрах сценария введите вот такие ключи и сетевой путь до скрипта PowerShell.
-Noninteractive -ExecutionPolicy Bypass –Noprofile -file \root.pyatilistnik.orgSysVolroot.pyatilistnik.org Policies{2B79FA3E-CB2F-4D15-A446-3DBBF887CD40} MachineScriptsStartupAdd-Base-1C.ps1
Еще для подстраховки вы можете включить параметр GPO
Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Windows Powershell
(Computer Configuration — Administrative Templates — Windows Components — Windows PowerShell)
Активируем настройку «Включить выполнение сценариев (Turn On Script Execution)», выставим значение «Разрешать все сценарии«.
Небольшой совет, я бы вам рекомендовал включать выполнение всех сценариев исключительно для старых ОС, для этого вы можете сделать отдельную политику и применить ее только к старым операционным системам, через WMI фильтр
Проверяем применение вашей GPO, если все настроили правильно она отработает если нет, то начинается траблшутинг, проверяете фильтры GPO и общий алгоритм поиска проблем.
Запуск PowerShell скрипта для пользователя
Чтобы применить к пользователю ваш скрипт, вам необходимо в объекте групповой политики открыть вот такую ветку:
Конфигурация пользователя — Политики — Конфигурация Windows — Сценарии (Вход/Выход из системы) (User Configuration — Policies — Windows Settings — Scripts
Тут будет два варианта «Вход в систему» и «Выход из системы».
Настраиваем аналогично, как я показывал выше для компьютера, все одинаково.
Выполнение сценариев PowerShell по расписанию
Тут все просто, если вы хотите средствами групповой политики запускать скрипты PowerShell по расписанию, то вам нужно создать задание в шедуллере. Для этого есть ветки GPO:
Конфигурация пользователя — Настройки — Параметры панели управления — Назначенные задания
Конфигурация компьютера — Настройки — Параметры панели управления — Назначенные задания
Указываем в задании нужное время, имя и сетевой путь до скрипта.
Как видите все просто. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.
I posted this answer too over on superuser.
To do this you will need to set up a custom event filter in Task Scheduler.
Triggers > New > Custom > Edit Event > XML
and paste the following:
<QueryList>
<Query Id="0" Path="System">
<Select Path="System">
*[System[Provider[@Name='User32'] and (Level=4 or Level=0) and (EventID=1074)]]
and
*[EventData[Data[@Name='param5'] and (Data='power off')]]
</Select>
</Query>
</QueryList>
This will filter out the power off event only.
If you look in the event viewer you can see under Windows Logs > System under Details tab>XML View that there’s this.
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="User32" Guid="{xxxxx-xxxxxxxxxxx-xxxxxxxxxxxxxx-x-x}" EventSourceName="User32" />
<EventID Qualifiers="32768">1074</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x8080000000000000</Keywords>
<TimeCreated SystemTime="2021-01-19T18:23:32.6133523Z" />
<EventRecordID>26696</EventRecordID>
<Correlation />
<Execution ProcessID="1056" ThreadID="11288" />
<Channel>System</Channel>
<Computer>DESKTOP-REDACTED</Computer>
<Security UserID="x-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxx" />
</System>
- <EventData>
<Data Name="param1">Explorer.EXE</Data>
<Data Name="param2">DESKTOP-REDACTED</Data>
<Data Name="param3">Other (Unplanned)</Data>
<Data Name="param4">0x0</Data>
<Data Name="param5">power off</Data>
<Data Name="param6" />
<Data Name="param7">DESKTOP-REDACTEDusername</Data>
</EventData>
</Event>
You can test the query with the query list code above in the event viewer by clicking
Create Custom View… > XML > Edit query manually
and pasting the code, giving it a name Power Off Events Only before you try it in the Task Scheduler.
I posted this answer too over on superuser.
To do this you will need to set up a custom event filter in Task Scheduler.
Triggers > New > Custom > Edit Event > XML
and paste the following:
<QueryList>
<Query Id="0" Path="System">
<Select Path="System">
*[System[Provider[@Name='User32'] and (Level=4 or Level=0) and (EventID=1074)]]
and
*[EventData[Data[@Name='param5'] and (Data='power off')]]
</Select>
</Query>
</QueryList>
This will filter out the power off event only.
If you look in the event viewer you can see under Windows Logs > System under Details tab>XML View that there’s this.
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="User32" Guid="{xxxxx-xxxxxxxxxxx-xxxxxxxxxxxxxx-x-x}" EventSourceName="User32" />
<EventID Qualifiers="32768">1074</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x8080000000000000</Keywords>
<TimeCreated SystemTime="2021-01-19T18:23:32.6133523Z" />
<EventRecordID>26696</EventRecordID>
<Correlation />
<Execution ProcessID="1056" ThreadID="11288" />
<Channel>System</Channel>
<Computer>DESKTOP-REDACTED</Computer>
<Security UserID="x-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxx" />
</System>
- <EventData>
<Data Name="param1">Explorer.EXE</Data>
<Data Name="param2">DESKTOP-REDACTED</Data>
<Data Name="param3">Other (Unplanned)</Data>
<Data Name="param4">0x0</Data>
<Data Name="param5">power off</Data>
<Data Name="param6" />
<Data Name="param7">DESKTOP-REDACTEDusername</Data>
</EventData>
</Event>
You can test the query with the query list code above in the event viewer by clicking
Create Custom View… > XML > Edit query manually
and pasting the code, giving it a name Power Off Events Only before you try it in the Task Scheduler.
Всем привет.
Есть задача выполнять обслуживание компьютера, когда пользователь жмет на кнопку — завершить работу Windows и уходит домой.
В моем случае, необходимо запускать скрипт полной проверки компьютера на вирусы, и как вы понимаете длится этот процесс может до нескольких часов. Когда искал решение этой проблемы, встречал что люди например
при выключении компьютера запускают скрипт бэкапа всех наработанных данных пользователя, и когда они достигают нескольких гигабайт скрипт так же не успевает завершить свою работу, система завершает процесс клиента групповой политики gpsvc.
Для реализации данной задачи
Сначала включаем отображение консоли при завершении работы, чтобы пользователь мог видеть работу и сообщения нашего скрипта, а так же закрыть его и завершить работу Windows немедленно если захочет.
Конфигурация компьютера Административные шаблоны Система Сценарии — Выполнить сценарии завершения работы с отображением команд (Включить)
Computer Configuration Policies Administrative Templates System Scripts — Display instructions in shutdown scripts as they run (Enabled)
Далее прописываем путь к скрипту в
Computer Configuration Policies Windows Settings Scripts (Startup/Shutdown) — Shutdown
Конфигурация компьютера Конфигурация Windows Сценарии (запускзавершение) — Завершение работы
И по умолчанию при выключении компьютера, система автоматически завершает работу таких скриптов ровно через 10 минут.
Используем другую настройку политик, которая позволяет указать какое время могут выполняться скрипты групповой политики и система не будет их убивать.
Computer Configuration Policies Administrative Templates System Scripts — Specify maximum wait time for Group Policy scripts
Конфигурация компьютера Административные шаблоны Система Сценарии — Максимальное время выполнения сценариев групповой политики
По умолчанию там установлено значение 600 секунд (10 минут), меняем его на максимальное 32000 (8,8 часов) либо на 0 (ждать бесконечно)
И данная настройка работает в старенькой Windows XP скрипт работает сколь угодно долго! но перестает работать в следующих системах .
Windows 10 начинает убивать Клиент групповой политики ровно через 24 минуты
Windows 8.1 и Windows 7 убивают Клиент групповой политики ровно через 15 минут
Реализация обслуживания когда пользователь уже ушел и ему все равно, очень удобна для всех. И сам майкрософт этим активно пользуется когда можно выбрать пункт в винде — Запустить обновление и выключить компьютер.
Помогите найти что убивает Клиент групповой политики.
Опубликовано: 13.06.2017
Инструкция представляет шпаргалку по настройке автозапуска сценария при выполнении входа в систему Windows (login).
Настройка имеет некоторые нюансы, из-за которых, даже опытные системные администраторы не сразу могут понять причину неработоспособности сценария.
И так, запускаем консоль управления групповыми политиками и создаем новый объект GPO.
1. Разрешаем запуск скриптов.
Конфигурация компьютера Административные шаблоны Компоненты Windows Windows Powershell
(Computer Configuration Administrative Templates Windows Components Windows PowerShell)
Находим параметр Включить выполнение сценариев (Turn On Script Execution) и выставляем значение Включить и в выпадающем списке Разрешить все сценарии.
2. Настраиваем время задержки для выполнения скриптов.
Конфигурация компьютера Административные шаблоны Система Групповая политика
(Computer Configuration Administrative Templates System Group Policy)
Находим параметр Настроить задержку сценария входа в систему (Configure Logon Script Delay) и выставляем значение Включить и время задержки в минутах, например 1.
* как показала практика, лучше ставить хоть какую-то задержку.
3. Настраиваем автозапуск скрипта при входе.
Конфигурация компьютера (или Конфигурация пользователя) Политики Конфигурация Windows Сценарии
(Computer Configuration или User Configuration Policies Windows Settings Scripts)
В данной ветке мы увидим параметры для настройки сценария при входе или выходе из системы (включении или выключении компьютера). Дважды кликаем по нужному параметру и переходим на вкладку Сценарии Powershell (Powershell Scripts).
Нажимаем по Добавить и выбираем заранее написанный скрипт.
Если необходимо задать приоритет сценариям перед обычными сценариями, в выпадающем списке «Для этого объекта групповой политики выполните сценарии в следующем порядке» выбираем нужный пункт.
Была ли полезна вам эта инструкция?
Да Нет