[LOGICIEL] [RESOLU] Active Directory - Scripts de déconnexion

[towen00]

Bonjour,

J'ai préparé un "script de déconnexion" que j'ai inséré dans une GPO qui s'applique sur une OU dans laquelle se trouvent des serveurs (Pas des utilisateurs).

Malheureusement ce script ne s'exécute pas à la déconnexion de l'administrateur sur le serveur :(

Les scripts de déconnexion s'appliquent ils à des utilisateurs uniquement ou peuvent il s'appliquer à des machines pour que lors de chaque déconnexion d'un utilisateur le script s'exécute ?

Si quelqu'un peut m'apporter + d'infos ça m'aiderai assez.

Merci d'avance,

Cordialement,

[Higapeon]

Bonjour,

J'ai préparé un "script de déconnexion" que j'ai inséré dans une GPO qui s'applique sur une OU dans laquelle se trouvent des serveurs (Pas des utilisateurs).

Malheureusement ce script ne s'exécute pas à la déconnexion de l'administrateur sur le serveur :(

Les scripts de déconnexion s'appliquent ils à des utilisateurs uniquement ou peuvent il s'appliquer à des machines pour que lors de chaque déconnexion d'un utilisateur le script s'exécute ?

Si quelqu'un peut m'apporter + d'infos ça m'aiderai assez.

Merci d'avance,

Cordialement,

Une OU qui ne contient que des ordinateurs, une GPO qui s'applique a la déconnexion d'un utilisateur ...

Non non non

Une GPO qui touche un compte utilisateur ne s'associe qu'avec des comptes utilisateurs.

Une GPO qui touche un compte d'ordinateur ne s'associe qu'avec des comptes ordinateurs.

Ton script fonctionnera à l'allumage & l'extinction de l'ordinateur, rien de plus.

Passe le sur l'OU qui contient les users, ou test en déplaçant TON user dans une OU a part pour tester.

[towen00]

Non, Il faut que mon Script ne s'exécute que sur les ordinateurs présents dans cette OU seulement à la fermeture de session.

Mon utilisateur peut se connecter à d'autres machines sur lesquelles ce Script ne doit pas s'exécuter.

A priori il y a une histoire de Boucle de Rappel mais je n'ai pas encore bien compris le fonctionnement :(

En tout cas merci pour ta réponse.

Quelqu'un aurait + d'infos ?

Merci d'avance.

[towen00]

Petites précisions :

Il s'agit d'un script qui s'exécute sur les contrôleurs de domaines présents dans leur OU "Domain Controlers".

J'ai créé une GPO supplémentaire et l'ai activée.

Dans cette GPO j'ai mis le script de "Fermeture de session" et ai configuré en mode "Fusionner" la stratégie de Traitement par boucle de rappel.

Test toujours négatif :(

[Higapeon]

Petites précisions :

Il s'agit d'un script qui s'exécute sur les contrôleurs de domaines présents dans leur OU "Domain Controlers".

J'ai créé une GPO supplémentaire et l'ai activée.

Dans cette GPO j'ai mis le script de "Fermeture de session" et ai configuré en mode "Fusionner" la stratégie de Traitement par boucle de rappel.

Test toujours négatif :(

Le traitement par loopback, c est pour réappliquer les "paramètres ordinateur" d'une GPO par dessus celle de user (En théorie, il applique Computer PUIS User, la, il fait Computer, User puis Computer ENCORE).

Ca ne sert donc pas

Essaye en utilisant les filtres WMI. Mais je ne pense pas que tu auras ce que tu cherches. Si tu expliquais ce que tu veux faire avec ton script, on pourrait peut être trouver une autre solution

[towen00]

Je veux qu'à la fermeture de session soit généré un fichier dans lequel seront listée les imprimantes, ce fichier sera enregistré sous \\domain.fr\NETLOGON pour ensuite être exploité par un script de connexion utilisateur qui leur remontera ainsi automatiquement les imprimantes du serveur d'impression.

Comme ça quand mes collègues viennent se connecter au serveur pour ajouter / supprimer une imprimante réseau ils n'auront pas à aller modifier le script de connexion des utilisateurs pour qu'ils aient la mise à jour du panel d'imprimantes.

En résumé :

1 - Connexion d'un admin sur le serevur

2 - Ajout d'une imprimante

3 - Fermeture de la session : Mon script se lance et liste les imprimantes dans un fichier dans le NETLOGON

4 - L'user se connecte : Son script de connexion vient lire le fichier dans le NETLOGON et lui connecte les imprimantes.

Edit :

Concernant le Traitement par boucle je vois plusieurs sites qui ne disent pas tout à fait comme toi, à savoir :

"Avant que certains ne demandent « c’est quoi le loopback processing »: c’est en fait une petite astuce qui vous permet d’appliquer une stratégie utilisateur à une machine, en effet si vous activez la stratégie

Configuration ordinateur->Modèles d’administration->Système->Stratégie de groupe->Mode de traitement par boucle de rappel de la stratégie de groupe utilisateur

Elle permet de fusionner ou d’écraser la stratégie utilisateur assignée à la machine sur toute stratégie utilisateur qui a été définie pour l’utilisateur se connectant, de plus cela s’applique aussi à tous les utilisateurs connectés localement."

Source = http://www.laboratoire-microsoft.org/artic.../zone_ie_sp2/0/

(Dans la section 2.2.1)

Donc je ne sais plus trop quoi en penser . . .

[dohier]

Salut,

Tu peux peut être intégrer un log off à ton script ?

Tu peux ajouter les paramètres de création de l'imprimante si tu le souhaites.

[Higapeon]

Elle permet de fusionner ou d’écraser la stratégie utilisateur assignée à la machine sur toute stratégie utilisateur qui a été définie pour l’utilisateur se connectant, de plus cela s’applique aussi à tous les utilisateurs connectés localement.

C'est juste exactement ce que je viens de dire. En ré appliquant la partie "Ordinateur" d'une GPO, il écrase la partie utilisateur. C'est uniquement dans le cas ou on a des paramètres en conflit entre les 2 parties de la GPO. Ca permet de rendre la partie "Ordinateur" primordiale, alors que celle qui s'applique en dernier (et fait donc autorité) est normalement la partie utilisateur.

Pour ce qui est de ton "problème" de listing d'imprimante, pourquoi ne pas faire une tache schédulée qui lance ton script toutes les 10 minutes, h24 j7, en utilisant un compte admin ? Je pense pas que ce soit un script SUPER lourd, et une bonne tâche schédulée, ya rien de tel

Je ne vois pas d'autre moyen, à moins de passer par un filtre WMI, mais bon, c'est plus complexe je trouve

PS : Ce que raconte le type du labo krosoft de Sup Info, c'est très loin d'être clair ...

PPS : La description sur le site de Microsoft : http://technet.microsoft.com/fr-fr/library...28WS.10%29.aspx

[towen00]

Oki mais là d'après ce que je lis dans l'article du lien que tu as donné, la GPO utilisée sur une OU d'une machine avec loopback vient bien remplacer les stratégies utilisateur et pas uniquement les stratégies ordinateur :

"The loopback policy setting will be configured to replace mode in GPO A6. GPO A7 will be configured with the desired user-based policy settings for the Terminal Services desktop."

D'après le schéma la GPO 7 est bien appliquée à des machines.

Donc normalement ça devrait fonctionner je pense... J'aimerai bien pouvoir faire fonctionner ce système de loopback qui serait bien pratique pour d'autres choses.

[Higapeon]

Oki mais là d'après ce que je lis dans l'article du lien que tu as donné, la GPO utilisée sur une OU d'une machine avec loopback vient bien remplacer les stratégies utilisateur et pas uniquement les stratégies ordinateur :

"The loopback policy setting will be configured to replace mode in GPO A6. GPO A7 will be configured with the desired user-based policy settings for the Terminal Services desktop."

D'après le schéma la GPO 7 est bien appliquée à des machines.

Donc normalement ça devrait fonctionner je pense... J'aimerai bien pouvoir faire fonctionner ce système de loopback qui serait bien pratique pour d'autres choses.

Mea culpa, mea culpa, mea maxima culpa

http://support.microsoft.com/kb/231287

Je ne voyais pas le loopback ainsi en fait. Juste en résolution de conflit.

Voici la marche à suivre http://support.microsoft.com/kb/260370

Voir la fin de l'aide Krosoft. Elle est adaptée pour TS, mais c'est un bon début.

Il faut mettre alors le script en utlisateur (en logoff), et régler les ACL de la GPO pour qu'elle ne touche que les serveurs. Un Deny - process GPO pour tout ce qui n'est pas serveur ? Peut être.

En fin de compte, je ne suis même pas sur qu'il faille mettre en bouclage. Le réglage par ACL devrait suffire, tant que l'on met un Deny - Read & Deny - Process GPO pour les autres ordinateurs.

A tester

[towen00]

Merci pour tes infos

Pour le moment . . . Je patauge toujours. lol

Le script ne s'exécute absolument pas.

Je sens que je vais abandonner l'idée de script de fermeture de session pour le moment car ça n'a pas l'air si facile que ça a mettre en place et je n'ai pas énormément de temps pour faire ça (Beaucoup de travail à coté de ça )

Mais je repasserai pour voir si quelqu'un connait ce sujet sur le bout des doigts . . . Ou suffisamment pour me dire ce qui peut clocher.

Merci et bon après midi.

[towen00]

Bonjour !

Pour ceux que ça intéresse : Ca fonctionne enfin !!

Je n'ai rien remodifié, à priori c'était le temps que toutes les réplications AD se soient terminées et maintenant le script de fermeture de session fonctionne bien :-)

Donc pour résumé : j'ai juste créé une GPO pour l'OU de mes serveurs, inséré mon script de fermeture de session dans les paramètres utilisateur et configuré le loopback en "Fusionner"

Tout fonctionne super bien.

Merci à ceux qui m'ont aidé, et à ceux qui ont cherché sans trouvé de réponse.