La GPO « eole_script »

Le paquet eole-gpo-script met en place un GPO[1] permettant notamment de déclarer simplement des scripts personnalisés à exécuter lorsqu'un utilisateur ouvre une session sur un poste Windows (logon.exe).

Il permet également le déploiement automatisé du nouveau client EOLE (SaltMinion).

L'outil ré-utilise les mêmes concepts que l'exécution des scripts personnalisés par l'ancien client Scribe NT.

Truc & astuce

Le paquet eole-gpo-script est pré-installé sur les modules Scribe et Horus en mode AD.

Les GPO « eole » sont désactivables dans l'onglet Gpo de l'interface de configuration du module.

Emplacement des fichiers

Les commandes doivent être renseignées dans des fichiers texte se trouvant dans l'un des sous-répertoire du dossier scripts situé dans le répertoire SYSVOL[2] du contrôleur de domaine Active Directory.

Sur un module Scribe en mode AD, ces fichiers sont situés dans le conteneur addc.

Le répertoire des scripts est accessible par :

  • le chemin Unix depuis le serveur Scribe : /var/lib/lxc/addc/rootfs/home/sysvol/<REALM>/scripts/

    1
    root@scribe:~# tree /var/lib/lxc/addc/rootfs/home/sysvol/dompedago.etb1.lan/scripts/
    2
    /var/lib/lxc/addc/rootfs/home/sysvol/dompedago.etb1.lan/scripts/
    3
    ├── groups
    4
    │   └── professeurs.txt
    5
    ├── machines
    6
    ├── os
    7
    │   └── Vista.txt
    8
    └── users
    9
    10
    4 directories, 2 files
  • le chemin Unix à l'intérieur du conteneur addc : /home/sysvol/<REALM>/scripts/

    1
    root@scribe:~# ssh addc "ls /home/sysvol/dompedago.etb1.lan/scripts/"
    2
    groups
    3
    machines
    4
    os
    5
    users
  • le chemin UNC[3] : \\<REALM>\sysvol\<REALM>/scripts

  • le chemin UNC (raccourci) : \\<REALM>\netlogon

Truc & astuce

Le début du chemin UNC \\REALM pourra être remplacé par :

  • \\<NOM_COURT> : le nom court étant la première partie du REALM.

  • \\addc : puisque addc est le nom du serveur hébergeant le contrôleur sur un module Scribe en mode AD.

Arborescence des fichiers

Les scripts peuvent être ajoutés pour :

  • un utilisateur → ../scripts/users/admin.txt ;

  • un groupe → ../scripts/groups/eleves.txt ;

  • une machine → ../scripts/machines/poste01.txt ;

  • un OS (Win95, Win2K, WinXP, Samba, Vista) → ../scripts/os/Vista.txt ;

Attention

Windows 7 et Windows 10 sont traités de la même manière que Windows Vista (OS=Vista).

Les noms de machines doivent être écrits en minuscules.

Scripts personnalisés pour exécuter des commandes

Pour exécuter des commandes il faut utiliser l'instruction cmd.

Par défaut, le programme d'ouverture de session affiche le programme et attend la fin de son exécution pour continuer. Un programme qui ne se ferme pas (ex. notepad.exe) provoquera des ouvertures de session très longue et incomplètes.

  • l'option NOWAIT permet de ne pas attendre la fin de l'exécution du programme ;

  • l'option HIDDEN permet de masquer la fenêtre.

Le format est :

cmd,commande,[options]

Exemple

Exécuter notepad.exe pour l'utilisateur toto lorsqu'il ouvre une session :

Fichier \\<REALM>\netlogon\scripts\users\toto.txt :

cmd,%WINDIR%\notepad.exe,NOWAIT

Truc & astuce

Les scripts personnalisés sont concaténés dans le script principal, par défaut au début de celui-ci. Si des instructions doivent être effectuée après (nécessité d'avoir accès au lecteur commun par exemple), placez la balise %%NetUse%% et ajoutez les instructions ensuite.

Scripts personnalisés pour monter des lecteurs

Pour monter des lecteurs il faut utiliser l'instruction lecteur.

Le format est :

lecteur,lettre:,partage

Exemple

Monter le partage \\monserveur\partage sur la lettre V: pour tous les utilisateurs du domaine :

Fichier \\<REALM>\netlogon\scripts\groups\DomainUsers.txt :

lecteur,V:,\\monserveur\partage

Complément

Une clé de registre a été ajouté dans le GPO afin que le montage des lecteurs soit disponible pour les comptes possédant une élévation de pouvoir (ex : admin).

https://support.microsoft.com/fr-fr/help/3035277/mapped-drives-are-not-available-from-an-elevated-prompt-when-uac-is-co