Quais são as configurações da política de grupo de pedidos aplicadas?

13

Então, eu tenho lido o documento " Processamento e precedência da Diretiva de Grupo ". Entendo que as políticas são aplicadas na ordem do local, site, domínio, unidade organizacional, unidade organizacional filha. O artigo não está claro sobre a ordem em que as coisas são aplicadas ao computador, como instalação de software, script e as novas preferências de diretiva de grupo .

Estou tentando escrever um script para ajustar algumas coisas no computador que não parecem possíveis com as preferências, mas preciso ter certeza de que a instalação de um software foi concluída e que algumas preferências foram aplicadas primeiro.

Atualizar:

Aqui estão algumas informações básicas. Eu tenho uma diretiva de grupo que possui uma instalação de software para o Widget A (Configuração do Computador \ Diretivas \ Configurações de Software \ Aplicativos Designados). O Widget A coloca atalhos por todo o lado que são irritantes, então estou tentando usar o recurso de preferências (Configuração do Computador \ Preferências \ Configurações do Windows \ Atalhos) para excluir os atalhos desnecessários. O programa tem um pequeno bug e eu tenho que corrigi-lo, mas o editor não forneceu um msi atualizado, apenas um exe que aplicará uma atualização. Então, eu tenho que executar um script de inicialização para executar o EXE que deve corrigir o programa.

Parece que 'Configuração do computador \ Preferências' é aplicada antes da instalação do software, porque meus arquivos excluídos parecem não ter efeito até depois de algumas reinicializações. Parece que algo sobre este pacote de software precisa de uma reinicialização porque o script de inicialização que deve corrigir os erros até eu reiniciar.

Na minha pesquisa no Google, não consegui encontrar um documento que indique especificamente qual é o pedido. Também estou curioso para saber qual é o pedido entre as várias preferências disponíveis. Por exemplo, eu posso definir variáveis ​​de ambiente por meio de preferências. Posso usar essas variáveis ​​nas preferências de Arquivos, Pastas ou Atalhos?

Espero que exista um documento em algum lugar que descreva o processo em detalhes.

windows group-policy Zoredache
fonte

Respostas:

3

A política de instalação do software é processada antes da execução dos scripts de inicialização. Às vezes é exatamente isso que você quer e outras vezes não. Você não pode mudar isso.

Quando quero que um script de inicialização seja executado antes da instalação do software, acabo usando a associação ao grupo para controlar a execução do script de inicialização e finalizo o script de inicialização com um comando para adicionar o computador a um segundo grupo que controla a instalação do software. O único problema é que, até o momento, ainda não encontrei uma maneira confiável de reiniciar o Windows XP ou o SO mais recente a partir de um script de inicialização. (Sim, sim - eu tentei vários métodos também. Posso discuti-los em detalhes, se desejar.) Assim, isso sempre faz com que essa estratégia exija duas botas para "entrar em vigor".

Você menciona "preferências", então acho que está tentando fazer coisas no ambiente do usuário por meio de um script de logon. Os scripts de logon são executados, obviamente, após o logon. Se você deseja verificar se um software foi instalado durante o script de logon, consulte o "banco de dados" do Windows Installer no registro para ver se o programa está lá e "salve". Você encontrará os produtos instalados na chave "HKEY_CLASSES_ROOT \ Installer \ Products". Obviamente, você terá que descobrir o GUID do pacote com o qual está lidando.

Editar: a ordem de processamento da extensão do lado do cliente da Diretiva de Grupo (CSE) é realizada com base no valor do GUID da extensão do lado do cliente, pelo que pude coletar na documentação. Parece que os CSEs com GUIDs numericamente mais altos são executados mais tarde. Eu não tenho o GUID do CSE "Preferences" à mão, portanto não posso dizer como ele deve agir: executando antes / depois de outros CSEs.

No Windows XP, pelo menos, procure HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ WinLogon \ GPExtensions e procure o CSE para "Prefernces". O REGEDIT também classificará esses GUIDs numericamente, para que você possa saber visualmente se o CSE "Preferences" será executado antes / depois de outros CSEs.

Evan Anderson
fonte
Na situação, estou tentando depurar tudo em um único GPO e tudo é uma configuração por computador. Parece que vou precisar de algo complicado para garantir que o sistema seja reiniciado e que as coisas aconteçam na ordem que eu preciso.
Zoredache
@ Zoredache: Sim. É desse tamanho. É possível filtrar scripts e pacotes de instalação de software em um único GPO por participação em grupos, para que você possa ficar bastante "complicado" com ele. Realmente, se você quiser apenas executar um script de inicialização específico após a instalação de um pacote, verifique esse pacote no registro no início do script e efetue o resgate se não estiver instalado. Se você deseja executar exatamente uma vez, marque a verificação mais tarde no registro local ou faça com que o computador se junte a um grupo ao qual foram negados os direitos de ler o script (heh heh).
Evan Anderson
2

Existem dois tipos de scripts que são executados. Os scripts de inicialização são executados depois que as preferências do computador são definidas (itens na parte Configurações do computador do GPO). Os scripts de logon são executados depois que o usuário efetua login e as Configurações do usuário são aplicadas. Os scripts são executados de forma síncrona na ordem em que estão listados no GPO (portanto, um script precisa ser concluído antes do início do próximo). Observe que, por padrão, o Windows XP realmente permite que você efetue login antes que as Configurações de Rede sejam processadas, o que significa que você pode efetuar logon antes do processamento dos GPOs. Esse comportamento pode ser ignorado usando a configuração GPO encontrada em Configuração do Computador \ Modelos Administrativos \ Sistema \ Logon \ Sempre aguarde a rede na inicialização e no logon do computador. Então, os scripts de inicialização serão executados após as preferências do computador, mas antes que as preferências do usuário e os scripts de logon ocorram após todas as preferências terem sido definidas. Espero que ajude.

Catherine MacInnes
fonte
Obrigado, mas eu esperava algo mais detalhado do que apenas scripts de inicialização antes dos scripts de login.
Zoredache
Leia a última frase que indica exatamente em que ordem as coisas são aplicadas. Configurações do Computador (itens na parte de configurações do computador do GPO), scripts de inicialização, Configurações do Usuário (itens na parte de configurações do usuário do CPO) e, em seguida, logins . Essa é a ordem exata em que as coisas são executadas.
Catherine MacInnes
@ Catherine: Ele está perguntando sobre onde o CSE de preferências também se enquadra nesse mix.
Evan Anderson
1

A ordem é definida pelo administrador com a configuração com o menor pedido de link processado por último (tendo, portanto, a maior precedência). Se você precisar garantir que as políticas sejam aplicadas na inicialização, use a configuração Configuração do Computador \ Modelos Administrativos \ Sistema \ Logon \ Sempre aguarde a rede na inicialização e no logon do computador. Defina também Aplicar Diretiva de Grupo para computadores de forma síncrona durante a inicialização. Isso força o sistema a esperar até que ele possa recuperar e processar a política do computador antes de permitir que o usuário efetue login. Se você precisar verificar se a política de grupo foi executada com êxito, verifique os arquivos de log listados aqui

Jim B
fonte
1
Tudo isso é interessante, mas realmente não me diz muito sobre a ordem das coisas. Minhas preferências por computador (criação de atalhos, exclusão de arquivos etc.) são processadas antes da instalação do software, após scripts ou quando?
Zoredache