GPO и bat
 

Необходимо, чтобы у пользователей при старте винды запускался bat-файл.
Сделал следующее:
1. Написал сам батник cleaner.bat
2. Создал в AD группу "batnik", куда поместил пользователя, к которому необходимо применить политику
3. Поместил батник cleaner.bat в C:\Windows\SYSVOL\sysvol\domen.local\scripts на контроллере домена
4. Создал политику cleaner, в фильтры безопасности подвязал группу batnik и назначил ее принудительной
5. Конфигурация пользователя - политики - административные шаблоны - система - вход в систему - выполнять эти программы при входе в систему (путь к батнику \\server\SYSVOL\domen.local\scripts\cleaner.bat)
6. Сделал gpupdate /force
7. Перезагрузил клиента, зашел под нужной учеткой, ничего не произошло, запустил батник вручную, все сработало
...
8. Добавил в группу batnik не пользователя, а компьютер, политика не сработала
9. Заменил Конфигурация пользователя - политики - административные шаблоны - система - вход в систему - выполнять эти программы при входе в систему (путь к батнику \\server\SYSVOL\domen.local\scripts\cleaner.bat) на Конфигурация компьютера - не сработало
...

Подскажите, что я сделал не так?

Пользователь и компьютер находятся в OU на который назначена политика?
rsop запускали?

Конфигурация пользователя - Политики - Конфигурация Windows - Сценарии (вход/выход из системы) - Вход в систему - Закладка "Сценарии" - Показать файлы - скопировать в открывшуюся папку свой батник - Закрыть папку - Нажать "Добавить" - выбрать только что добавленный батник.
В политике во вкладке "Таблица" отключить параметры компьютера (ведь у нас батник выполняется от имени пользователя, не так ли?), во вкладке "Область" выбрать нужную группу.
Так тоже не заработало?

нет, пользователь и компьютер находятся в другой OU, именно для этого и создавалась группа batnik, т.к. если переносить всех пользователей, к которым необходимо применять этот батник в новую OU, нарушатся текущие политики, а так покидал нужных пользователей в группу и применил в ней политики

P.S. добавил пользователя в OU, к которой применена политика и все заработало, затем удалил его оттуда и добавил туда группу batnik, в которой находится этот пользователь. Не получилось

пробовал, не получилось

пункт 3... \\КОНТРОЛЛЕР ДОМЕНА ГДЕ ЛЕЖИТ БАТНИК\SYSVOL\nav.local\Policies\{GUID GPO}\user или machine\...и т.д. на контроллере домена

От пользователя у которого не работает Батник.... gpresult что показывает? (gpresult /v)

в GPO так и прописал путь \\server\...,
с:\windows\SYSVOL... - это на контроллере домена

показывает примененные политики, среди которых только что созданной политики "cleaner" нет

права пользователя проверь на GPO

Мне кажется, что у тебя не там батник лежит

у меня скрипты и батники лежат в \\domain.local\SysVol\domain.local\Policies\{1B02E78F-2A7E-4DE2-BE10-D7878C3F0655}\User\Scripts\Logon

именно поэтому политика и не действует и создание группы не поможет.

Переместите политику выше, что бы она перекрывала OU в котором находится пользователь.

это, конечно, хорошо, но как реализовать это для примерно такой структуры:
OU

ou policy

OU1 (user1, user2)

OU2 (user3, user4)

ou2 policy

OU3 (user5, user6)

OU4 (user7, user8)

ou4 policy

OU4-1 (user9, user10)

ou4-1 policy

Вот надо, чтобы новая политика применялась к user1, user5 и user9. Выделить каждого юзера в отдельную ou и для каждой новой ou создать новую политику?[list=a]

Я бы привязал GPO к ou policy

и в фильтре поставил - user1, user5 и user9.

должно работать

да, спасибо, помогло, только вместо user1, user5, user9 добавил в фильтр группу batnik, в которой уже содержатся эти пользователи

Тоже вариант))

Хм, возникла другая незначительная трудность: при запуске этого скрипта на терминальном сервере (windows server 2008 r2) вылазит окошко "предупреждение системы безопасности". Ничего, конечно, сложного нет, нажать на кнопку "Запустить", но хотелось бы, чтобы все делалось само собой и пользователям не приходилось лишний раз "утруждать" себя нажатием очередной кнопки

Покопал в интернете, нашел, что это связано с политиками безопасности internet explorer'a. Надо во вкладке безопасность - местная интрасеть - узлы, добавить адрес КД, на котором лежит батник. Но как это сделать через GPO для всех пользователей? Копал в сторону политики компьютера - административные шаблоны - компоненты windows - internet explorer - панель управления браузером - Вкладка безопасности - Зона интрасети. Там есть параметр "Запуск программ и небезопасных файлов". Вроде бы его включение помогает, окошко перестает появляться, но оно перестает появляться не только для данного конкретного батника, а для всех исполняемых файлов со всех ресурсов сети

См. рисунок...

Попробовал, первое что смутило это надпись при включении импорта текущих параметров - "выбран импорт параметров конфигурации усиленной безопасности IE, совместимых только с Windows Server 2003"

Нажал продолжить, перешел во вкладку безопасность, добавил адрес КД (как DNS, так и IP) в местные интрасети в надежные узлы. Политика применилась, но в самой оснастке GPO вот такое (адрес КД не прописался):

все, нашел нужное мне решение: конфигурация компьютера - административные шаблоны - компоненты windows - internet explorer - панель управления браузером - вкладка безопасности - список назначений зоны безопасности для веб-сайтов

Большое спасибо всем за помощь