Tilpasning av brukermiljø

Det finnes en rekke innstillinger i Windows og programmer vi bruker, som påvirker utseende og hvordan programmene oppfører seg. Noen innstillinger er personlige, mens andre er knyttet til maskinen som brukes. Mange av disse innstillingene lagres i brukerprofiler som er en viktig del av brukermiljøet. Ved hjelp av Group Policy kan vi gjøre om på en mengde innstillinger som forandrer brukernes omgivelser. Påloggingsskript kan også benyttes til å påvirke brukermiljøet.

Profiler

Profiler brukes for å tilpasse og lagre brukernes omgivelser. I en profil lagres for eksempel skrivebordet, Mine dokumenter og innstillinger i Windows. Også innstillinger fra forskjellige applikasjoner som Word, Excel, Internet Explorer og Windows Live Mail lagres her. Det er for eksempel i profilen vi finner favorittene og adresseboka.

Profiler kan enten lagres lokalt (Local Profiles) eller på en server (Roaming Profiles). Profiler gir oss flere fordeler:

• Flere personer kan dele samme maskin og fortsatt få sitt personlige oppsett.
• Brukere kan benytte vilkårlige maskiner og få sitt personlige oppsett. Eksempler på slike brukere er elever på en skole eller medarbeidere i et firma uten faste kontorer.
• Endringer som gjøres av én bruker, påvirker ikke andre.
• Den nettverksansvarlige kan lage en standardprofil som inneholder fornuftige innstillinger for nye brukere.

Roaming Profiles

Når vi har brukere som logger seg på et Windows-nettverk, bruker vi ofte Roaming Profiles (roaming = omstreifende). Profilen til alle brukere er da lagret på serveren, og brukerne kan logge på alle PCer som er medlem av domenet vårt, og få sin egen profil.

Når en bruker med Roaming Profiles logger seg på, vil hele profilen bli kopiert fra nettet til harddisken på den lokale PCen (normalt til C:\Users). Når brukeren logger seg av, blir eventuelle endringer i profilen kopiert tilbake til profilen på nettet. Profilen blir også liggende på den lokale harddisken, slik at ikke hele profilen må kopieres over neste gang brukeren logger seg på den samme maskinen.

Når vi oppretter en bruker, må vi fortelle hvor profilen til brukeren skal plasseres. Vi kan enten legge profilen i en mappe på brukerens hjemmeområde, eller vi kan lage en egen deling (et share) for profiler der alle brukerne får hver sin mappe for sin profil.

Det kan være noen ulemper med Roaming Profiles. I noen tilfeller kan profilen vokse seg så stor at det tar lang tid å logge seg inn på en ny PC. I andre tilfeller kan profilen bli ødelagt slik at brukeren får problemer med noen programmer.

Sette opp en Roaming Profile

Vi ønsker å sette opp Roaming Profile for våre studenter.

1. Lag en katalog C:\profil og del denne for Domain users med lesetilgang.
2. Gå til Properties → Security → Advanced på profilkatalogen.
3. Marker Domain users og velg Edit.
4. Endre Applies to slik at rettighetene gjelder This folder only.
5. Velg så Show advanced permission og gi gruppen Create file → Create file og Create folder rettigheter.
6. Legg til rettigheter for spesialbrukeren Creator Owner. Dette skal gjelde for Subfolders and files only, og rettighetene skal være Full control: Add → Select a principal → create → show advanced.

Når rettighetene settes slik, vil alle brukerne ha rettigheter til å opprette en katalog for sin profil. Dette skjer automatisk første gang en bruker logger inn med Roaming Profile. Etter at katalogen for brukeren er opprettet, vil rettighetene til Creator Owner sørge for at kun brukeren har tilgang til sin katalog. Dette medfører at heller ikke Administrator har tilgang til brukernes profiler. For å endre dette kan man bruke Group Policien Computer Configuration → Policies → Administrative Templates → System → User Profiles → Add the administrators security group to roaming users profile.

• Vi kan nå gå inn på de eksisterende brukerne og sette profile path til \\server1.mittdomene.no\profile\%username%.
• Logg så inn og ut igjen med en av de aktuelle brukerne på klienten.
• Sjekk så at profilkatalogen har blitt opprettet på profilområdet på serveren.

Valg av profiltype

Vi kan velge om brukerne i nettverket vårt skal ha lokale profiler eller nettverksprofiler (Roaming). Valg av profiltype kan variere ut fra bruksmønsteret i nettverket og hvilken programvare som brukes.

Her er noen punkter for valg av profiltype:

• Hvis hver bruker har en fast PC, kan vedkommende godt klare seg med lokale profiler.
• Selv om brukerne vanligvis jobber på en fast maskin, kan det allikevel være en fordel om profilen ligger på nettet. Hvis en av brukerne må bytte maskin på grunn av feil eller oppgradering, vil han eller hun fortsatt møtes av sine vanlige omgivelser når vedkommende logger seg inn på en ny maskin.
• Hvis man bruker lokale profiler, bør man sørge for at de vanligste folderne i profilen (f.eks. Mine dokumenter, Mine bilder og Skrivebord), blir redirigert til brukerens hjemmeområde. Dette sørger for at brukernes dokumenter lagres på serveren.
• Hvis man velger nettverksprofiler, bør man også redirigere foldere. Dette forhindrer at brukerprofilen vokser seg for stor.

Det er anbefalt å sette opp en Roaming Profile samtidig som man redirigerer flest mulig foldere fra profilen til hjemmeområdet.

Søke etter feil i profiler

Hvis det oppstår feil i en profil, kan det medføre at en bruker ikke får logget seg inn, eller at han eller hun ikke får utført enkelte oppgaver. Det kan også føre til problemer for brukerne hvis profilen blir så stor at det tar lang tid å logge seg inn. Det kan for eksempel skje hvis en bruker lagrer store dokumenter på skrivebordet eller i Mine dokumenter.

Her er noen tips til hvordan du kan løse eventuelle problemer i profiler:

• Slett Ntuser.dat (brukeren må være logget av) og la brukeren logge seg inn på nytt. Han eller hun vil da få en ny kopi av denne filen fra standardprofilen (Default Profile). Brukeren mister noen av innstillingene sine, men får beholde alle filer og snarveier (Mine dokumenter, Skrivebord, favorittene osv.).
• Hvis tipset ovenfor ikke hjelper, må du gi hele profilmappa et nytt navn (for eksempel profile.old). Logg så inn som administrator på klienten som brukeren benytter, og slett brukerens profil fra C:\users eller c:\brukere. Gå inn i registry og fjern referansen til brukerens profil fra HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList.
• La så brukeren logge seg inn på nytt. Han eller hun vil nå få en helt fersk profil. Enkelte elementer, som favoritter og adressebøker, kan nå kopieres over fra mappa profile.old.
• For å unngå at profilen blir for stor, kan du flytte mappene Mine dokumenter og Skrivebord ut av profilen og legge dem direkte på hjemmeområdet. Bruk Group Policy (se nedenfor). Disse mappene vil da automatisk bli flyttet for eksisterende brukere. Området som det redirigeres til, må være tilgjengelig med skrivetilgang for brukeren.
• Hvis det er mange brukere som deler et sett med maskiner, kan det bli liggende mange kopier av profiler på hver maskin, som igjen opptar altfor mye plass. For å unngå det kan vi angi at det ikke skal lagres kopier av profiler når brukerne logger seg av. Sett da opp følgende Group Policy: Delete cached copies of roaming profiles. Den ligger her: Computer Configuration\Administrative Templates\System\Logon.

Group Policy

Group Policy er et sett med regler som kan knyttes til grupper av maskiner eller brukere. Disse reglene kan brukes til å styre en rekke forskjellige innstillinger for brukere og maskiner. Group Policy (GP) er et kraftig verktøy for administrasjon av brukere og maskiner, men i og med at det har så mange innstillingsmuligheter, er det også en potensiell feilkilde. En stor fordel med GP er at vi kan endre innstillinger på en PC som en normal bruker uten administratortilgang ikke har rettigheter til å gjøre. Det vil si at vi istedenfor å gå rundt på alle maskiner og gjøre en endring, kan vi gjøre dette automatisk når en normal bruker logger inn ved hjelp av en GP-setting.

Her er de viktigste områdene vi kan bruke Group Policy på:

• Installasjon av programvare: Vi kan bruke Group Policy til å sørge for at programvare blir installert på arbeidsstasjonene i nettet.
• Sikkerhet: Vi kan sette opp innstillinger for bytting av passord, logging, brannmur, Windows-oppdateringer osv.
• Programvareinnstillinger: Vi kan for eksempel bestemme hvordan skrivebordet og Start-menyen skal se ut, eller hvilke innstillinger vi skal bruke i Internet Explorer.
• Systeminnstillinger i Windows: Vi kan f.eks. forhindre at arbeidsstasjonene blir skrudd av for brukerne (shutdown), eller at brukerne ikke får fram et kommandovindu.

Hvor kan vi bruke Group Policy?

Group Policy er nær knyttet til Active Directory. Det er derfor viktig at du kjenner til begrepene Domain (domene) og Organizational Unit (OU) før du tar i bruk Group Policy (se kapitlet om Active Directory).

Group Policy kan settes på følgende objekter:

• Site: Vi kan sette Group Policy på en site, det vil si hvis vi har splittet opp ett eller flere domener i flere sites fordi maskinene i nettverket er spredd geografisk. Dette gjelder altså bare store nettverk.
• Domain: Vi kan sette innstillinger som gjelder alle maskiner eller brukere i et domene. Det betyr at hvis nettet vårt bare består av ett domene, vil Group Policy innstillinger her gjelde alle maskinene. Det finnes en policy som standard som heter Default Domain Policy.
• OU: Vi knytter Group Policy til grupperinger av maskiner eller brukere. En av de største fordelene med å bruke OU-er er kanskje nettopp muligheten til å knytte Group Policy til dem. Det kan derfor være lurt å vente med å lage OU-er til vi har fått oversikt over hva vi har behov for å bruke Group Policy til.

Vi kan ikke sette Group Policy på en sikkerhetsgruppe (se brukeradministrasjon). Gruppebegrepet i Group Policy har altså ingen sammenheng med sikkerhetsgrupper som Domain Users eller Domain Admins. Vi kan derimot sette policy på en OU og deretter sette at den kun skal gjelde for enkelte sikkerhetsgrupper (under Scope).

Vi kan heller ikke sette policy på standard OU-ene Builtin, Users og Computers (policy som er satt på domene, vil fungere). Vi bør flytte brukere og maskiner over i egne OU-er slik at vi har mulighet for å sette policy direkte på disse.

Vi har også noe som heter Local Group Policy. Alle Windows-arbeidsstasjoner (ikke Home-versjonene) har en Local Policy selv om de ikke er knyttet til et nettverk med Active Directory. Her er det et begrenset antall settinger. Når vi melder en maskin inn i et domene, er det ønskelig å styre alle policies fra serveren, så de lokale innstillingene er det da lite aktuelt å bruke.

Vi kan sette policy på flere nivåer. Hvis samme verdi er satt på forskjellige nivåer, vil den som settes sist, gjelde. Følgende rekkefølge gjelder:

1. Local Group Policy
2. Site Policy
3. Domain Policy
4. OU Policy

Vi kan ha flere OU-er under hverandre. I vårt eksempel kan vi sette policy på både Elever og Kull2018. Vi kan også ha flere policies på hvert OU. I og med at det er mulig å sette policy så mange steder, kan vi lett gå i surr når det gjelder hvilke rettigheter en maskin eller bruker ender opp med. Vi må derfor ha en plan for hvordan vi ønsker at Group Policy skal settes.

Her er noen tips i den forbindelse:

• Tenk igjennom hva du skal bruke Group Policy til, og sørg for at OU- strukturen er bygd opp slik at det blir enklest mulig å gjennomføre det du vil.
• Finn ut om det først og fremst er behov for å dele opp maskiner eller brukere med forskjellige policies.
• Ikke sett Group Policy for mange forskjellige steder. Ofte er det tilstrekkelig å sette policy på domenet og enkelte utvalgte OU-er.
• Ikke lag for mange innstillinger i en policy. Lag heller flere policies.

Hvordan sette Group Policy?

De objektene det er vanligst å sette Group Policy på, er Domain og OU. Vi bruker verktøyet Group Policy Management i kombinasjon med Active Directory Users and Computers til dette formålet.

Sette Group Policy på brukere

Vi skal sette Group Policy for alle elever. Vi ønsker blant annet at elevene ikke skal kunne bruke funksjonen Lock Computer.

1. Start først Active Directory Users and Computers (AD) og sjekk at alle elevene er plassert under OU-en Elever.
2. Start nå Group Policy Management fra Tools menyen i Server Manager.
3. Finn fram til OU-en Elever.
4. Høyreklikk på OU-en og velg Create a GPO in this domain, and link it here (GPO=Group Policy Object).
5. Kall policyen Lock computer.
6. Høyreklikk nå på policyen Lock Computer og velg Edit.
7. Finn nå fram til settingen User Configuration → Policies → Administrative Templates → System → Ctrl+Alt+Del Options.
8. Dobbelklikk på Remove Lock Computer. Kryss av for Enabled og trykk på OK.
9. Prøv nå å logge inn som en av elevene og sjekk om policyen virker.

Policy på maskiner

Vi ønsker å sette en policy på alle maskiner i elevenes maskinrom som hindrer at nye brukere får velkomstanimasjonen i Windows 10.

Sette policy på maskiner:

1. Gå inn i AD og lag en OU som heter Maskinrom.
2. Flytt de aktuelle klientene til denne OU-en.
3. Start så Group Policy Management.
4. Lag en ny policy på Maskinrom som heter First sign-on.
5. Velg Edit på den nye policyen.
6. Finn fram til Computer Configuration → Administrative Templates → System → Logon.
7. Dobbeltklikk på Show first sign-in animation og sett den til Disabled.
8. Prøv nå å logge inn med en ny bruker fra klienten.

Forskjellige policies

Vi skal her gå igjennom noen flere eksempler på innstillingsmulighetene i Group Policy.

Vi ser at Group Policy er delt i to hoveddeler: Computer Configuration og User Configuration.

Det er viktig å være klar over at hvis vi lager en Group Policy på en OU som inneholder maskiner, er det kun innstillingene i Computer Configuration som vil bli benyttet, selv om valgene for User Configuration er tilgjengelige. Det motsatte gjelder hvis OU-en inneholder brukere.

Policysettinger er delt inn i følgende hoveddeler:

Under Policies finner vi følgende:

• Software Settings
• Windows Settings
• Administrative Templates

Under Preferences finner vi:

• Windows Settings
• Control Panel Settings

Software Settings

Et av bruksområdene til Group Policy er muligheten til automatisk å installere programvare på arbeidsstasjonene. Vi kan knytte et program enten til brukere (User Configuration) eller maskiner (Computer Configuration). Et program kan enten installeres automatisk (Assignment) eller gjøres tilgjengelig slik at brukerne selv kan velge å installere det med funksjonen Add/Remove Programs i kontrollpanelet (Published).

Hvis vi legger ut et program ved å tildele det en bruker, vil det bli lagt snarveier til programmet i Start-menyen og på skrivebordet. Den første gangen brukeren forsøker å starte programmet eller åpne et dokument som hører til programmet, vil programmet bli installert. Hvis vi derimot tildeler en maskin programmet, blir det installert automatisk når maskinen startes.

Før vi kan bruke programvareinstallasjonen, må vi lage en deling som installasjonsfilene kan ligge i. Hvis vi tildeler et program til maskiner, så installeres dette før noen bruker logger inn. Vi må derfor sørge for at maskinen har tilgang til delingsområdet. Dette gjøres enklest ved å gi rettigheter for gruppen Everyone. Hvis man vil begrense tilgangen til området, kan man gi tilgang til gruppen Domain Computers. Velg Object Types.

Installasjon av programvare fra Group Policy baserer seg på at programmet har en installasjonsfil i msi-format (Microsoft Installer). Hvis vi ønsker å installere et program som ikke har noen msi-fil, er det mulig å lage en slik fil selv ved hjelp av egen programvare for dette.

Legge ut et program på nettverket

Vi ønsker å legge ut webleseren Chrome til alle elever:

1. Først må vi laste ned en msi-fil for Chrome. Denne finnes ved å søke på Chrome msi.
2. Lagre msi-filen et sted på serveren som alle brukere og/eller maskinene har tilgang til. Vi kan f.eks. lage en katalog under Apps og legge filen der.
3. Start Group Policy management og finn fram til OU-en Maskinrom.
4. Lag en ny policy som heter Chrome, og velg Edit.
5. Finn fram til Machine Configuration → Policies → Software Settings.
6. Høyreklikk på Software installation og velg New → package.
7. Vi må nå oppgi share-adressen hvor pakken ligger. Skriv derfor \\server1.mittdomene.no og bla deg fram til Apps → Programpakker.
8. Velg Assigned.

Vi kan nå gå på klienten og teste:

• Når man skal teste en policy på maskiner, bør man ta en omstart av klienten man tester på.
• Noen maskin-policies krever faktisk to omstarter.
• Sjekk at programmet kommer fram på skrivebordet.

Windows Settings

Windows Settings inneholder en rekke innstillinger for følgende områder:

• Scripts: Her kan vi lage logonskript som utfører forskjellige oppgaver hver gang en bruker logger inn.
• Security Settings: Passord og andre sikkerhetsinnstillinger.
• Folder Redirection: Flytte kataloger ut av profilen.
• Policy-based QoS (Quality of Service): Kan brukes for å reservere kapasitet i nettverket.
• Deployed Printers: Her kan vi sette opp nettverksskrivere slik at de blir koblet opp for brukere eller maskiner.
• Internet Explorer Maintenance: Her kan vi gjøre forskjellige innstillinger i IE.

Security Settings

Under Account Policies er det spesielt Password Policy og Account Lockout som er viktige. Her setter vi innstillinger som lengde på passord, hvor ofte det må byttes, hvor mange forsøk brukerne skal få ved feil passord før kontoen sperres, og lignende. Legg spesielt merke til følgende: Account Policies må settes på policyen som ligger på domenenivå (Default Domain Policy). Hvis vi setter Account Policies på OU-er, vil dette kun gjelde for lokale brukerkonti på arbeidsstasjonene i OU-en.

Under Local Policies kan vi styre brukernes rettigheter på de maskinene som dekkes av policyen. Vi kan for eksempel nekte enkelte brukere tilgang til disse maskinene (Deny logon locally) eller kontrollere hvem som skal få lov til å skru dem av (Shut down the system).

Ved å definere grupper under Restricted Groups kan vi styre hvem som er medlem av de lokale gruppene på hver enkelt PC. Dette kan typisk brukes til å gi enkelte brukere eller grupper lokale administratorrettigheter på enkelte maskiner.

Sette lokale rettigheter på PCer i nettet

Vi ønsker å gi alle lærere lokale administratorrettigheter på alle PCer på maskinrommene for elever.

1. Først må vi sjekke at vi har en gruppe i domenet som inneholder de aktuelle brukerne. I vårt tilfelle bruker vi lærere.
2. Lag en ny Group Policy som heter Lokal admin på OU-en maskinrom og velg Edit på denne.
3. Gå til Computer Configuration - Policies - Windows Settings – Security Settings.
4. Trykk på browse og finn fram til gruppen mittdomene\lærere.
5. Nå kan vi velge This group is a member of og legge til administrators.

Administrators er da en lokal gruppe på en klient som bestemmer hvem som har administratortilgang for denne maskinen.

Folder redirection

Redirigering brukes for å flytte noen foldere ut fra brukerens profil. Dette gjøres for å forhindre at profilen blir for stor. Vi ønsker å redirigere flest mulige foldere ut fra profilene til alle elever.

1. Lag en policy på OU-en Elever og kall denne Redirekt.
2. Velg Edit → Policy.
3. Finn fram til User Configuration → Windows Settings → Folder Redirection.
4. Vi kan nå høyreklikke på en av folderne og velge Properties for å sette opp en redirigering.
5. Velg verdiene som i figuren. Med disse innstillingene vil det bli opprettet en katalog på brukernes hjemmeområde, i dette eksemplet en Dokumenter-katalog.
6. Velg så tab-en Settings.
7. Fjern krysset for Grant the user exclusive rights to desktop. (Hvis vi ikke endrer denne innstillingen, får ikke administrator tilgang til denne katalogen på serveren, og det kan være upraktisk hvis det er behov for vedlikehold av Home-området.)
8. Gjenta så tilsvarende for resten av folderne.
9. Logg så inn på klienten med en av elevbrukerne og sjekk at det fungerer. (Policyen for redirigering er litt spesiell, så du må antakelig logge på to ganger før den fungerer.)

Skrivere

Det er mulig automatisk å koble opp skrivere til brukere eller maskiner ved å legge til skriverne under Deployed Printers. For at dette skal fungere, må vi passe på at skriverne er delt og satt opp korrekt på serveren.

Administrative maler (Administrative Templates)

Med administrative maler kan vi sette registerinnstillinger (Registry) i Windows.

I Windows Components kan vi lage en del innstillinger for spesielle programmer. Hvilke valg som er tilgjengelige, er avhengig av om vi er under Computer Configuration eller User Configuration. Vi kan blant annet sette innstillinger for Internet Explorer, Windows Explorer og Windows Installer.

Under System kan vi stille inn forskjellige forhold på systemnivå. Vi kan for eksempel fjerne muligheten til å kjøre kommandoen Prompt eller Regedit. Under Logon finner vi innstillinger som har betydning for hva som skjer når en bruker logger seg på eller av.

Fra Control Panel kan vi styre hva brukerne skal ha tilgang til i kontrollpanelet. I Desktop og Start Menu & Taskbar kan vi bestemme hvordan disse menyene skal se ut, og hva som skal være tilgjengelig i dem.

Preferences

Under Preferences kan vi sette en rekke utvidelser til Group Policy som ble introdusert sammen med Windows Server 2008. Ved hjelp av disse kan vi bl.a. koble opp nettverksstasjoner, legge til nye snarveier på desktop eller startmeny, endre registry og legge til lokale brukere. Disse funksjonene vil i mange tilfeller erstatte funksjoner vi ellers ville gjort i et logonskript.

Lage en snarvei på desktop for flere brukere

Vi ønsker å legge ut en snarvei til et program på serveren på desktopen for alle elever.

1. For øvelsens skyld legger vi en kopi av notepad.exe i katalogen \\server1.mittdomene.no\apps\notepad.
2. Lag en ny policy på Elever.
3. Finn fram til User Configuration → Preferences → Windows Settings → Shortcut og legg til en snarvei slik:
4. Logg så inn på klienten som en elev og sjekk resultatet.

Koble en diskstasjon til et share for flere brukere

Vi ønsker å koble diskstasjonen I: til sharet Apps på serveren for alle elever:

1. Bruk samme policy som vi brukte for shortcut.
2. Finn fram til Drive → maps og legg til følgende:
• Når trer en policy i kraft?
• Når vi lager eller endrer en policy, vil normalt innstillingene i Computer Configurations settes når maskinen startes opp, og innstillingene i User Configurations settes når en bruker logger seg på. I tillegg vil de fleste policyinnstillingene oppdateres med et fast intervall (normalt 90 minutter).

Søke etter feil i Group Policy

Hvis du har satt innstillinger i Group Policy som ikke trer i kraft, kan du gjøre følgende for å søke etter feil:

• Dobbeltsjekk plassering av brukere og maskiner i OU-er.
• Logg inn på nytt, eventuelt start arbeidsstasjonen på nytt for sikkerhets skyld.
• Kjør programmet gpresult /v fra kommandolinjen for å se hvilke policies som slår til for brukeren og maskinen.
• Kjør rsop.msc (eventuelt som administrator).
• Sjekk Windows-logger på den lokale klienten.
• Ikke sett for mange innstillinger på en gang. Test dem etter hvert.

Se policy som blir satt på maskinen

Hvis man kjører gpresult eller rsop.msc og ikke har administratortilgang til den lokale maskinen, får man kun sett brukerpolicy. Man kan eventuelt bruke denne metoden for å se policy som blir satt på maskinen:

1. Kjør cmd som administrator, enten ved å høyreklikke på cmd og velge “kjør som administrator” eller trykke på Shift+Ctrl+Enter på cmd.
2. Skriv gpresult /user brukernavn /v for å se resultatet for den brukeren man ønsker.
3. Skriv eventuelt gpresult /user brukernavn /h rapport.html for å få generert en rapport på html-format.

Påloggingsskript (Logon Script)

Logon script er en kommandofil som kan kjøres når en bruker logger seg inn på nettverket. Vi kan ha forskjellige skript, både for grupper av brukere og for enkeltbrukere. En av de vanligste funksjonene i et påloggingsskript er oppkobling av logiske stasjoner til områder på en server (mapping).

Vi kan også foreta en del vedlikehold og tilpasninger på hver enkelt brukers arbeidsstasjon i påloggingsskriptet. For eksempel kan vi installere programvare, gjøre endringer i registeret og kopiere filer.

Etter at vi fikk Preferences-tilleggene i Group Policy, er logonscript ofte unødvendig å bruke.

Eksempel på et cmd påloggingsskript: @echo off
net use i: \\server1.mittdomene.no\apps

I Windows Server 2012 kan standard .cmd filer benyttes som påloggingsskript. Slike filer har begrensede muligheter når det gjelder å utføre avanserte kommandoer, så det kan være mer aktuelt å benytte Powershell.

Skript plasseres ofte i delingen netlogon (\WINDOWS\SYSVOL\domain\scripts) lokalt på serveren, men det er mer aktuelt å legge inn skript som en Group Policy (under Windows Settings på Computer eller User Configuration). Ved å bruke Group Policy blir det enklere å ha forskjellige skript for forskjellige typer brukere. Det er også mulig å lage skript som kjøres når en maskin starter opp eller skrus av, og når en bruker logger av.