évolution de votre solution sans VBS

Bonjour, merci des précisions.
Du coup  j'ai importé votre script dans koxo sur un groupe secondaire de test en refusant l'héritage du primaire. J'y ai ajouté d'autres mappages utilisés chez nous,  avec la fonction connect-drive. 

Malheureusement, le script ne semble pas s'executer lors de l'ouverture de session. Au niveau AD dans les propriétés de l'utilisateur, tout semble correct (nom du script porte bien le nom du groupe secondaire de l'utilisateur, et l'extension a été remplacée manuellement par "ps1". Le script "sans_specialite.ps1" est aussi bien présent dans le netlogon. Si on lance le script après ouverture de session en allant manuellement dans \\serveur\netlogon, là il fonctionne et les mappages apparaissent bien.

Au niveau GPO, on a autoriser tous les scripts powershell non signés, mais ça ne change rien.

Les tests ont lieu sur une station Windows 11 23H2 propre.

Qu'est-ce qui pourrait bloquer ?

Bonjour,
Vous lancez bien le fichier CMD en double cliquant dessus, et là ça fonctionne ?
Est ce que vos scripts attendent le réseau ? Si vous êtes en mode "Fast Logon" ce script ne peut pas fonctionner.
Cdt
Le support

Bonjour,

Pour faire peut-être avancer l'étude, ici les Ps1 commence souvent par "set-ExecutionPolicy -scope CurrentUser Bypass", cependant la sécurité n'est pas fameuse. mais c'est pour du testing...

Le script s'exécute bien en faisant bouton droit puis "exécuter avec powershell". (le double clic édite le fichier avec notepad)
Si c'était un soucis de sécurité d'exécution, je pense qu'on obtiendrait le message comme quoi l'exécution des script est désactivée.

Dans notre GPO on a le paramètre "Toujours attendre que le réseau lors du démarrage de l'ordinateur...." dans système/ouverture de session
Faut-il vérifier d'autres paramètres ?




 

Bonjour,

Merci pour cette remarque.

Pour clarifier : Set-ExecutionPolicy -Scope CurrentUser Bypass modifie la policy de façon persistante, ce qui évite de passer -ExecutionPolicy Bypass à chaque appel. Dans notre solution, ce paramètre est déjà passé ponctuellement à l'appel du wrapper, donc le résultat fonctionnel est identique.

Sur la sécurité : l'ExecutionPolicy PowerShell n'est pas à proprement parler une barrière de sécurité — Microsoft le précise lui-même, c'est un garde-fou contre l'exécution accidentelle, pas un mécanisme anti-malware. Elle ne bloque que le lancement de fichiers .ps1 ; elle n'empêche ni les commandes tapées directement en console, ni -EncodedCommand, ni l'exécution d'un .exe/.bat/macro Office. Le passage de Restricted à Bypass au scope CurrentUser n'élargit donc pas significativement la surface d'attaque pour un utilisateur pouvant déjà lancer powershell.exe.

Dans un contexte sans droits admin locaux ni droits réseau étendus (lecteurs de groupe et lecteur personnel uniquement), les risques réels résideraient plutôt dans l'exploitation d'une faille locale d'élévation de privilèges, ou dans l'abus des droits d'écriture déjà existants — deux points indépendants de l'ExecutionPolicy.

Nous rejoignons donc votre prudence : Bypass en mode persistant reste à réserver au testing. Dans notre cas, le paramètre étant appliqué uniquement à l'appel, l'impact sécurité demeure limité.

Cdt.

Le support

Bonjour M. RANNOU,

En principe les scripts sont exécutés par le wrapper (CMD) de même nom.
Est ce que ça fonctionne en double cliquant sur le fichier CMD (avec le fichier PS1 de même nom dans le même dossier) ?

Le modèle de wrapper "LogonWrapper.cmd" est dans le dossier "KoXoAdm\Config", voici le contenu par défaut : 

@echo off
if exist "%ProgramFiles%\PowerShell\7\pwsh.exe" (
    start "" /b "%ProgramFiles%\PowerShell\7\pwsh.exe" -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -File "%~dp0%~n0.ps1"
) else (
    start "" /b PowerShell.exe -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -File "%~dp0%~n0.ps1"
)
exit

Cdt.

Le support