- PR -

スタートアップスクリプトとログインスクリプトについて

1
投稿者投稿内容
Yosee
会議室デビュー日: 2007/07/12
投稿数: 14
投稿日時: 2008-05-15 18:05
環境:2003Server R2のみのドメイン(機能レベル:2003Server)、クライアント:2000Pro SP4、XP SP2
現在ユーザーアカウントにadmin権限を与え、旧来からのログインスクリプト(GPではない)を使っています。
ログインスクリプトでc:\program files、%windir%等へのファイルCOPY、レジストリHKLMの変更等を行うためにadmin権限を外せずにいたのですが、GPのスタートアップスクリプト&ログインスクリプトを使ってなんとか解決できそうなところまで調べました。
具体的には、
スタートアップスクリプトでは、c:\program files、%windir%等へのファイルCOPY、レジストリHKLM等の変更を行う。
ログインスクリプトでは、上記以外のファイルCOPY、レジストリHKCU等の変更、その他もろもろの処理を行う。
に分ければいいと思うのですがこの方法が一般的(ベター)でしょうか?他に方法があれば教えて頂きたく。
(長期的な運用管理を考慮し、煩雑または特殊な方法は避けたい)

しかし、上記の方法でも移行できない点があり、困っています。
例えば、以下です。
ifmember ドメイン\usb_user || regedit /s usb_enable.reg(usb_userグループに所属しているユーザーの場合、USBを有効にする(HKLMのKEY))
if %username%==user1 xcopy \\サーバ\共有フォルダ\ファイル "c:\program files\・・・(特定のユーザーの場合、c:\program files\・・・にファイルcopyする)
HKLMの変更、c:\program files\・・・へのcopyはスタートアップスクリプトで可能ですが、ifmemberと%username%はログイン後にしか利用できません。何か解決策はないでしょうか?(c:\program filesのアクセス権にユーザーは追加したくない。アプリケーションをc:\program files以外のフォルダにインストールすることはしたくない)

あと、スタートアップスクリプトで\\サーバ\共有フォルダにアクセスする場合、共有フォルダに設定するアクセス権はどうすればいいのでしょうか?everyoneはOKでしたが使いたくない。SYSTEMはNGでした。スタートアップスクリプトはドメインアカウントを使わないので無理?

長くなりすいませんが、宜しくお願い致します。
まるちねす
ぬし
会議室デビュー日: 2004/04/28
投稿数: 302
投稿日時: 2008-05-15 21:19
スタートアップスクリプト
共有フォルダに Domain Computers を追加する必要があります。
これは GPO で MSI パッケージを割り当てる場合にも必要です。

スタートアップスクリプトでなく、MSIパッケージを作成して割り当てる方法
もありますよ。Advanced Installer とういうフリーソフトがあります。

× ログインスクリプト ○ ログオンスクリプト

ユーザーの資格でタスクが実行されるのでアクセス権がない場所への書き込み
は不可能ではないでしょうか?
プリンタの追加はユーザーが実行したとしても HKLM や
%windir%\system32\spool\drivers に書き込めるので vbs で制御可能ですが

http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=19576&forum=6&5
を見ると難しそうですよ。
Yosee
会議室デビュー日: 2007/07/12
投稿数: 14
投稿日時: 2008-05-16 13:34
まるちねすさん
ありがとうございます。

共有フォルダに設定するアクセス権はDomain Computersでしたか!!なるほど。納得です。

「スタートアップスクリプトでなく、MSIパッケージを作成して割り当てる方法」
とは、スタートアップスクリプト&ログオンスクリプトの代替策のことですよね?
毎回、インストーラー(MSIパッケージ)でインストールするイメージでしょうか?

USBの件は、特定ユーザーのHKLMを変更することは難しそうですね。
やるとすれば、
レス頂いたページにあった「XCACLS.vbsを同じくポリシーのログオンスクリプトで使って、usbstor.infのアクセス権を書き換える」か「HKLMのアクセス権にユーザーが変更できる権限を付与する」かのどちらかですかね。後者はやりたくありませんが、検討してみます。

ちなみにプリンタについては、ログオンスクリプトでcon2prt.exe使って割当てるつもりです。(従来からこの方法を使っているのでとりあえず。近い将来時間ができたらGPで割り当てたいと思っています)
1

スキルアップ/キャリアアップ(JOB@IT)