Какие параметры порядка групповой политики применяются?

13

Поэтому я читаю документ « Обработка групповой политики и приоритет ». Я понимаю, что политики применяются в следующем порядке: локальный, сайт, домен, организационная единица, дочерняя организационная единица. В статье неясно, в каком порядке к компьютеру применяются такие вещи, как установка программного обеспечения, сценарии и новые настройки групповой политики .

Я пытаюсь написать сценарий, чтобы настроить некоторые вещи на компьютере, которые кажутся невозможными с настройками, но я должен быть уверен, что установка программного обеспечения завершена, и сначала были применены некоторые настройки.

Обновить:

Вот некоторая справочная информация. У меня есть групповая политика с установкой программного обеспечения для виджета A (Конфигурация компьютера \ Политики \ Параметры программного обеспечения \ Назначенные приложения). Виджет А размещает ярлыки повсюду, которые раздражают, поэтому я пытаюсь использовать функцию настроек (Конфигурация компьютера \ Настройки \ Настройки Windows \ Ярлыки), чтобы удалить ненужные ярлыки. В программе есть небольшая ошибка, и я должен ее исправить, но издатель не предоставил обновленную версию MSI, а только исполняемый файл, который применит обновление. Поэтому я должен запустить скрипт, чтобы запустить EXE, который должен исправлять программу.

Похоже, что «Конфигурация компьютера \ Предпочтения» применяются до того, как произойдет установка программного обеспечения, потому что удаление моего файла, кажется, вступает в силу только после нескольких перезагрузок. Похоже, что-то в этом программном пакете нуждается в перезагрузке, потому что сценарий запуска, который должен исправлять ошибки, до перезагрузки.

В моем поиске Google я не смог найти документ, в котором конкретно указано, что это за заказ. Мне также любопытно, каков порядок между различными доступными предпочтениями. Например, я могу установить переменные среды через настройки. Смогу ли я использовать эти переменные в настройках «Файлы», «Папки» или «Ярлыки»?

Я надеюсь, что где-то есть документ, в котором подробно описан процесс.

windows group-policy Zoredache
источник

Ответы:

3

Политика установки программного обеспечения обрабатывается перед выполнением сценариев запуска. Иногда это именно то, что вы хотите, а иногда нет. Вы не можете это изменить.

Когда я хочу, чтобы сценарий запуска выполнялся до установки программного обеспечения, я в конечном итоге использую членство в группах для управления выполнением сценария запуска и заканчиваю сценарий запуска командой добавления компьютера во вторую группу, которая контролирует установку программного обеспечения. Единственная проблема заключается в том, что на сегодняшний день мне еще не удалось найти надежного способа перезапустить Windows XP или более новую ОС из сценария запуска. (Да, да - я тоже пробовал множество методов. Я могу обсудить их подробно, если хотите.) Таким образом, это всегда заставляет эту стратегию требовать двух ботинок, чтобы «вступить в силу».

Вы упоминаете «предпочтения», так что я думаю, что вы смотрите на то, чтобы что-то делать в среде пользователя с помощью сценария входа. Сценарии входа в систему выполняются, очевидно, после входа в систему. Если вы хотите проверить, установлено ли какое-либо программное обеспечение во время сценария входа в систему, запросите «базу данных» установщика Windows в реестре, чтобы узнать, существует ли программа и «выручить». Вы найдете установленные продукты в ключе "HKEY_CLASSES_ROOT \ Installer \ Products". Очевидно, вам придется выяснить GUID для пакета, с которым вы имеете дело.

Редактирование: Порядок обработки клиентского расширения групповой политики (CSE) выполняется на основе значения GUID для клиентского расширения, которое я смог почерпнуть из документации. Похоже, что CSE с численно более высокими идентификаторами GUID будут выполнены позже. У меня нет удобного GUID для CSE «Preferences», поэтому я не могу сказать вам, как он должен действовать при запуске до / после других CSE.

В Windows XP, по крайней мере, покопайтесь в HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ WinLogon \ GPExtensions и найдите CSE для «Предпочтений». REGEDIT также будет сортировать эти GUID по номерам, чтобы вы могли визуально определить, будет ли CSE «Preferences» выполняться до / после других CSE.

Эван Андерсон
источник
В ситуации я пытаюсь отладить все в одном GPO, и все это для каждого компьютера. Звучит так, будто мне нужно что-то хитрое, чтобы убедиться, что система перезагружается и все происходит в нужном мне порядке.
Зоредаче
@Zoredache: Да. Это о размере этого. Вы можете фильтровать сценарии и пакеты установки программного обеспечения в рамках одного объекта групповой политики для каждого членства в группе, так что вы можете получить довольно "хитрый" с ним. Действительно, если вы просто хотите запустить определенный сценарий запуска после установки пакета, просто проверьте этот пакет в реестре в начале сценария и поручитесь, если он не установлен. Если вы хотите запустить ровно один раз, либо сделайте пометку, которую вы проверяете позже, в локальном реестре, либо попросите компьютер присоединиться к группе, которой запрещены права на чтение сценария (хе-хе).
Эван Андерсон
2

Есть два вида скриптов, которые запускаются. Сценарии запуска запускаются после установки параметров компьютера (в разделе «Параметры компьютера» объекта групповой политики). Сценарии входа в систему запускаются после входа пользователя в систему и применения пользовательских настроек. Сценарии запускаются синхронно в том порядке, в котором они перечислены в объекте групповой политики (поэтому один сценарий должен завершиться, прежде чем может начаться следующий). Обратите внимание, что по умолчанию Windows XP фактически позволяет вам входить в систему до обработки параметров сети, а это означает, что вы можете войти в систему до обработки объектов групповой политики. Это поведение можно обойти, используя параметр объекта групповой политики, который находится в разделе Конфигурация компьютера \ Административные шаблоны \ Система \ Вход в систему \ Всегда ожидать сети при запуске компьютера и входе в систему. Так, Скрипты запуска будут запускаться после предпочтений компьютера, но до того, как будут установлены пользовательские настройки и сценарии входа в систему после того, как все настройки будут установлены. Надеюсь, это поможет.

Кэтрин Макиннес
источник
Спасибо, но я надеялся на что-то более подробное, чем просто сценарии запуска перед сценариями входа.
Zoredache
Прочитайте последнее предложение, в котором рассказывается, в каком порядке все применяется. Параметры компьютера (элементы в разделе параметров компьютера в объекте групповой политики), затем сценарии запуска, затем Параметры пользователя (элементы в разделе параметров пользователя в CPO), затем сценарии входа , Это ТОЧНЫЙ порядок, в котором все происходит.
Кэтрин Макиннес,
@ Кэтрин: он спрашивает о том, где CSE для предпочтений также попадает в эту смесь.
Эван Андерсон
1

Порядок устанавливается администратором с настройкой самого низкого порядка ссылок, обрабатываемого последним (таким образом, имеющего самый высокий приоритет). Если вам необходимо убедиться, что политики применяются при загрузке, используйте параметр Конфигурация компьютера \ Административные шаблоны \ Система \ Вход в систему \ Всегда ждать сети при запуске компьютера и входе в систему. Также установите Применить групповую политику для компьютеров синхронно при запуске. Это заставляет систему ждать, пока она не сможет получить и обработать политику компьютера, прежде чем разрешить пользователю войти в систему. Если вам нужно проверить, успешно ли работала групповая политика, проверьте перечисленные здесь файлы журнала.

Джим Б
источник
1
Это все интересно, но на самом деле мало что говорит мне о порядке вещей. Обрабатываются ли мои персональные настройки (создание ярлыков, удаление файлов и т. Д.) До установки программного обеспечения, после сценариев или когда?
Zoredache