ここに、私が頭を悩ませているちょっとした質問があります。大したことではないので、答えは緊急ではありませんが、それでもです。
ログオン スクリプト ディレクトリを変更して、ログイン スクリプトを含めようとしています。リモート デスクトップを使用してドメイン コントローラーにアクセスし、特別に作成された管理アカウント (ドメインの作成時には存在しなかったもの) を使用しています。このアカウントは、次のグループに属しています。
- 管理者(組み込み)
- エンタープライズ管理者
- ドメイン管理者
- ドメインユーザー
- グループ ポリシー作成者所有者
- スキャンオペレーター
- スキーマ管理者
残念ながら、次のフォルダ内にファイルを作成することはできません。
\\domain\SYSVOL\domain\{policy}\Machine\Scripts\Startup
それでも、最初にドメインを設定するために使用された元の管理者アカウントを使用してログオンすると、できます。実際、元の管理者アカウントは、(明らかに)同一の特別な目的のスーパー管理者アカウントではできない多くのことを実行できます。つまり、WTF?? 両方のアカウントは、所属するグループと、一部である組織単位の点ではまったく同一であるため、その違いがまったくわかりません。
実際、そこにスクリプトを配置する唯一の方法は、ドライブ自体を経由することです。
C:\Windows\SYSVOL\sysvol\domain\Policies\{ポリシー}\Machine\Scripts\Startup
答え1
できれば gpmc で所有権を取得します。
答え2
遠回りをすればうまくいくようです...「ファイルの表示」ショートカットを使用するのではなく、ローカルで SYSVOL を参照します。実際には UNC パス (\SERVER...) が表示されます。
次の場所に移動します: C:\Windows\SYSVOL\sysvol{yourdomain}\Policies{yourpolicy}\USER\Scripts\Logon
次に、ログイン bat スクリプトをこのフォルダーにドラッグ アンド ドロップすると、管理者としてアクションを実行するように求められます。これで、GPO の [ファイルの表示] ボタンをクリックすると、適切なフォルダーにログイン スクリプトが表示されます。
答え3
SYSVOL フォルダーのデフォルトのセキュリティ設定を確認してください。ドメイン管理者には変更権限がありません。
これは、このフォルダに置かれた重要なものを誤って削除しないようにするための予防策です。ドメイン管理者は、ここにオブジェクトを追加できますが、デフォルトでは削除したり名前を変更したりすることはできません。ただし、ドメイン管理者にはこのフォルダの所有権と権限の管理権限があるため、変更権限を付与したり、名前を変更/削除したりすることを妨げるものは何もありません。以下は、SYSVOL フォルダのドメイン管理者のデフォルトの高度な権限です。
本当に何かを変更する必要がある場合にのみアカウントに変更権限を付与し、将来の安全のためにこの権限を再度取り消すように、デフォルトの権限をそのままにしておくことを強くお勧めします。
答え4
以前にも何度か似たようなことに遭遇したことがあります。
ログオン スクリプト ディレクトリが、完全な制御を妨げる権限を継承している可能性があります。ドメイン管理者アカウントでディレクトリの所有権を取得し、権限を希望どおりに設定すると、スクリプトを追加できるようになります。