Problemas con script de inicio sesión en un dominio

#1
Hola forer@s,

Quería preguntar por si alguien tenía experiencia ejecutando scripts de inicio de sesión en un dominio, os cuento el problema:

Tengo un controlador de dominio Windows 2003 Server con un usuario dado de alta, y en el dominio tengo dos ordenadores, uno con Windows XP Profesional y otro con Windows 7 Ultimate.
Tengo al usuario en una GPO configurada para que durante el inicio de la sesión ejecute un VBscript que lo que hace es comprobar si existen previamente unas unidades de red para borrarlas si existieran, y finalmente las vuelve a crear asignándole unos nombres específicos (para que no salga la ruta del directorio compartido).
Si inicio sesión en el equipo con wXP va todo OK, se crean las unidades con los nombres indicados.
Si inicio sesión en el equipo con w7 falla, no se crean las unidades de red.

Algunas pruebas que he realizado por si pudiera servir:
- Una vez iniciada la sesión en w7 he ido al directorio compartido donde están los scripts, los he ejecutado a mano y se crean las unidades de red.
- Si añado al final del script que muestre una ventana con un mensaje, se muestra el mensaje cuando inicio la sesión del usuario.

De las pruebas deduzco que:
- Está bien codificado el script porque funciona en wXP y en w7 si lo lanzo manualmente.
- Se ejecuta el script en w7 porque muestra un mensaje si lo añado al final del script.

Os agradecería vuestra experiencia si os habéis encontrado con este problema, un saludo!.
 
#2
Da la casualidad de que yo también llevo días peleándome con un W7 enganchado a un dominio.

¿Cuando inicias el VBScript, ese usuario tiene permisos de administrador? En el caso de que no lo sea, como mínimo debes darle permisos a esa carpeta donde esté el script.

Yo lo que suelo hacer es poner siempre cualquier script en la carpeta Inicio.

Si vas al Menu Inicio > Inicio, le das con el botón derecho y seleccionas "Abrir para todos los usuarios" aquí puedes colocar lo que quieras. Haces un acceso directo a ese script y cualquier usuario que inicie sesión en ese PC se le ejecutará ese srcript.

Si ese PC está en un dominio, te aconsejo que le desactives el control de cuentas de usuario. Esto te evitará muchos problemas.

Aunque también, para ahorrarte trabajo quizá deberías considerar configurar una directiva LDAP en Active Directory, aunque es una sugerencia, nada más.
 
#3
Hola Goldeneye,

A lo que me comentabas, sí, el usuario está en el grupo de Administradores del dominio, de todos modos los VBscript los tengo en un directorio compartido en la red al que el grupo Todos tiene permisos de lectura.

Para ir un poco más allá he creado otro usuario que no fuera administrador, y en el XP funcionó con los dos usuarios, mientras que en el w7 con ninguno.
Lo que más me pierde es lo que comentaba, en w7 el VBscript funciona perfecto si lo ejecuto de forma manual :cautious: .

Sobre lo de colocar el script en Menu Inicio > Inicio, es una solución, pero en caso de preparar una red "grande" de equipos tendría que tenerlo en cuenta en cada uno, me gusta más la idea de aplicarlo desde la GPO, es más desasistido.

De momento lo que sí me ha funcionado tanto en wXP como en w7 es generar un script en batch que utilice el comando "net use", a esta solución también le pongo pegas porque no me deja ponerle el nombre de la unidad de red que yo quiera, pero funcionalmente me resuelve el problema...

Investigaré las directivas LDAP que es algo que no conozco y si encuentro una solución la comento por aquí por si más adelante a alguien le sirviera.

Un saludo y muchas gracias!.
 
#4
Pues yo tengo el mismo problema y he encontrado esta posible solución:

http://docsharing.wordpress.com/201...icio-que-no-funcionan-con-user-control-acces/

En la mayoría de compañías que utilizan directorio activo, se utilizan scripts de inicio (log on) para por ejemplo mapear unidades de red.
Con la aparición del UAC (control de acceso de usuario) en Windows Vista y Windows 7 estos scripts (vbs) dejan de funcionar debido a que el UAC trata a todos los usuarios como usuarios estándar, el script de inicio se ejecuta con las credenciales del token estándar.

Para solucionar este problema existen varios métodos, como retrasar la ejecución del script para hacerlo con el token del usuario, crear una tarea que ejecuta el script, etc. Voy a explicar cómo realizarlo vía registro implantándolo por políticas.


La clave de registro es:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
“EnableLinkedConnections”=dword:00000001

Este valor permite compartir conexión entre los token (acceso filtrado y administrador), una vez configurado la autoridad de seguridad local comprueba si hay otro token de acceso asociado a la sesión del
usuario y agrega el recurso compartido de red con ese token.

Para distribuir este registro por políticas de grupo (ejemplo con Windows 200:cool:, en el editor de políticas seleccionamos o creamos una política que afecte a los equipos que queremos agregar esta clave de
registro, desde computer configuration –> Preferences –> Windows Settings –> Registry, botón derecho New –> Registry Item
En cuanto pueda la pruebo y posteo si vale
 
Arriba