GPO. Почему не выполняется скрипт PowerShell в Startup на части хостов в сети?

Question

[Dmitriy]

Здравствуйте, Коллеги

Столкнулся с проблемой во процессе автоматизации обновления платформ 1С на хостах в сети.
Имеется исправный скрипт ПаверШелл (готовое решение отсюда: https://github.com/Dragonim/1C8InstallAndUninstall), который должен отрабатываться во время включения компьютера, размещенный в сценарии автозагрузки (Конфигурация компьютера - Политики - Конфигурация Windows - Сценарии (запуск-завершение) - Автозагрузка). На части машин Windows 7/Windows 10 он отрабатывает как положено, но на другой же части машин 1 станция Windows 10 и несколько Windows 7 он игнорируется при запуске, хотя по результатам Rsop или GPResult политика проходит по всем фильтрам.
Антивирус на всех компьютерах одинаковый и с идентичным компьютером.

В чем может быть проблема? Куда копать?

Answer 1

[Alexey Dmitriev]

Слишком неопределенно - может быть куча проблем - версия PS, права и т.п.
Пробуйте раскатать его не как Startup скрипт, а как Scheduled task с повышенными правами. Это тоже через GPO можно сделать и вы можете на проблемной машине создать таск и запустить его ручками и тогда уже дебажить.

Comments

[Евгений]

(тоже нравится этот способ)
Добавлю что scheduled task можно привязать к событию старта системы / входа пользователя что полностью имитирует функциональность startup script

[Dmitriy]

В идеале хочется построить централизованное управление с использованием единой политики, но такой вариант тоже хорош. Если не удастся разобраться с запускам скрипта, то реализую таким образом.

Были мысли насчёт устаревшей версии PS.

[MaxKozlov]

lewy1, $PSVersionTable/Get-ExecutionPolicy вам всегда поможет с дебагом подобных проблем :)
только не в скрипте установки, а заранее на нужных машинах, через Invoke-Command

[Alexey Dmitriev]

lewy1, не наверно не поняли. Scheduled task будет раскатываться и управляться той же самой политикой - через GPO Preferences.
Есть возможность создавать, изменять Sheduled task с запуском чего удобно при старте системы.
Более того, возможности фильтра через Item-level targeting в preferences более гибкие, можно настроить все что угодно.

spoiler

Answer 2

[Dmitriy]

UPD:
Доброго времени суток
В качестве решения использовал совет Alexey Dmitriev.
- В GPO создал новую политику.
- Для Компьютера залил в Sheduled Task задачу на запуск батника из непубличной шары с повышенными правами при включении компьютера.
- Закрепил политику за группой AD, внёс в эту группу необходимые клиентские машины.
- Убедился в наличии необходимых прав на доступ к шаре
- profit
Имеем:
При запуске ПК система обращается к скрипту на шаре, проверяет последнюю версию 1С на шаре, проверяет последнюю установленную версию 1С на клиенте, в случае появления новой - устанавливает.

Answer 3

[younghacker]

1) руками он отрабатывает на всех машинах?
2) политика применяется для всех машин?
3) права для запускающего пользователя?
4) запрет на выполнение неподписанных скриптов?
5) что видно в логах?
Попробуйте заменить скрипт чем-то более тривиальным cmd сценарием который создаёт файл в %TMP%.

Comments

[Евгений]

к пункту 4 можно еще посмотреть на execution policy, которое может быть разным на разных машинах.

[Dmitriy]

В GPO добавил политику включения режима Bypass для скриптов PowerShell на группе станций (для которых требуется установка), она отыгрывается перед применением скрипта. Запуск скрипта происходит от имени самой машины, а не пользователя.