Как из GPO удалить папку при выходе из системы?

Question

[Григорий]

Windows Server 2012 R2.
Есть политика RDS_GPO, она хранится в OU RDS. В этой же OU находится компьютер RDS, он же сервер терминалов.
В RDS_GPO есть огромное количество политик, в том числе политики компьютера и политики пользователя.
Политики пользователя успешно применяются ко всем пользователям, которые работают на этом компьютере. По-моему, это нормально поведение.

Появилась необходимость при выходе из системы (но можно и при входе) пользователя, удалять папку %USERPROFILE%\AppData\Roaming\Corel

Попытался на скриншоте отразить всё что сделано:


Если скопировать содержимое podarok.bat и вставить его в командную строку у пользователя, нажать энтер, то все выполнится успешно и папка будет удалена.
Но при выходе из системы - не получается.

Пробовали запускать у пользователя этот же podarok.bat прямо из папки где он хранится:
\\Amigo.local\sysvol\Amigo.local\Policies\{ED9FFD35-1E14-412D-B3FA-1DC173DE64B3}\User\Scripts\Logoff
Отказано в доступе.

Я бы подумал, что дело в правах доступа к папке \\Amigo.local\sysvol\Amigo.local\Policies\{ED9FFD35-1E14-412D-B3FA-1DC173DE64B3}\User\Scripts\Logoff
Но дело в том, что в этой же папке хранятся и другие файлы, которые отлично выполняются при выходе из системы, но точно так же не выполняются (отказано в доступе) при ручном вызове этих файлов у пользователя в сеансе.

Куда копать?
Понимаю, что не хватает теории.
1. Не знаю от чьего имени выполняется сценарий при выходе из системы.
2. Не знаю нужен ли пользователю доступ к файлу, который выполняется, но подозреваю, что не нужен, выше описал почему.

Спасибо.

Answer 1

[Alexey Dmitriev]

Если реализовать это через GPO-User Settings-Preferences-Control Panel Settings-Schedule task и создават в планировщике заданий задачу на запуск скрипта при logoff - вам будет удобнее дебажить.

Comments

[Григорий]

Не совсем понимаю. Задачу в планировщике будет создаваться каждый раз (при логофе) - новая? Или как?
И не совсем понимаю от чьего имени будет выполняться задача.
Никогда не использовал такое, поэтому тяжело понять.

Спасибо за участие!!

[Alexey Dmitriev]

Григорий, задача будет создаваться один раз или не один-зависит от выбранных вами настроек.
Тоже самое и по пользователю-или от пользователя, к которому будут применяться настройки, или от указанного.

[Григорий]

Попробовал. Не работает и это вполне логично. Планировщик запускает задачу от имени юзера (так я настроил в политике), а у юзера нет доступа сюда: "\\Amigo.local\sysvol\Amigo.local\Policies\{ED9FFD35-1E14-412D-B3FA-1DC173DE64B3}\User\Scripts\Logoff"
Переложил файл туда, куда у юзера есть доступ.
Запустил руками файл от юзера, все ОК.
При входе в систему не отрабатывает. И теперь я не понимаю как дебажить. Вы, наверное, имели ввиду какой-то журнал?

[Alexey Dmitriev]

Григорий, да для GPO есть отдельный журнал в Applications and Services Log-Microsoft-Windows-Group Policy

Answer 2

[Григорий]

Не знаю на сколько это будет полезно другим, но моя проблема решилась тем, что я разобрался с политиками, которые не должны были применяться после той политики, в которой я делал удаление.
То есть вопрос был больше не к удалению, а вообще к управлению политиками и к пониманию того, как применяются политики.
Всем спасибо.