Extraño: el administrador del dominio no tiene derechos para modificar el directorio de scripts del dominio

tag-icon tag-icon active-directory permissions domain group-policy
Extraño: el administrador del dominio no tiene derechos para modificar el directorio de scripts del dominio

Aquí hay un rapidito que me ha tenido rascándome la cabeza. No es algo espectacular, por lo que una respuesta no es urgente, pero aun así.

Estoy intentando modificar el directorio de secuencias de comandos de inicio de sesión para incluir una secuencia de comandos de inicio de sesión. Utilicé Escritorio remoto en mi controlador de dominio y estoy usando una cuenta administrativa especialmente creada (algo que no estaba allí cuando se creó el dominio) que forma parte de los siguientes grupos:

  • Administradores (integrados)
  • Administradores empresariales
  • Administradores de dominio
  • Usuarios de dominio
  • Propietarios del creador de políticas de grupo
  • Operadores de escaneo
  • Administradores de esquemas

Lamentablemente, no puedo crear ningún archivo dentro de la siguiente carpeta:

\\dominio\SYSVOL\dominio\{política}\Máquina\Scripts\Inicio

Y, sin embargo, si inicio sesión con la cuenta de administrador original que se utilizó para configurar el dominio en primer lugar, ¡puedo hacerlo! De hecho, la cuenta de administrador original puede hacer muchas cosas que la cuenta de superadministrador especial (aparentemente) idéntica no puede hacer. Quiero decir, ¿WTF? Ambas cuentas son absolutamente idénticas en términos de los grupos a los que pertenecen, así como de la unidad organizativa de la que forman parte, por lo que no estoy seguro de cuál es la maldita diferencia.

De hecho, la única forma de colocar un script allí es pasar por la propia unidad:

C:\Windows\SYSVOL\sysvol\domain\Policies\{policy}\Machine\Scripts\Startup

Respuesta1

Tomar posesión, preferiblemente en gpmc.

Respuesta2

Parece funcionar si toma el camino más largo... Busque SYSVOL localmente en lugar de usar el acceso directo "Mostrar archivos", que en realidad muestra la ruta UNC (\SERVIDOR...)

Vaya a: C:\Windows\SYSVOL\sysvol{sudominio}\Policies{supolítica}\USER\Scripts\Logon

Luego puede arrastrar y soltar su script bat de inicio de sesión en esta carpeta, lo que le pedirá que realice la acción como administrador. Ahora, cuando haga clic en el botón "Mostrar archivos" en GPO, verá su secuencia de comandos de inicio de sesión en la carpeta correspondiente.

Respuesta3

Simplemente mire la configuración de seguridad predeterminada para la carpeta SYSVOL; para los administradores de dominio no hay derechos de modificación:

ingrese la descripción de la imagen aquí

Y esto es sólo una precaución contra la eliminación accidental de algo importante colocado en esta carpeta. Como administrador de dominio, podrá agregar objetos aquí, pero no eliminarlos de forma predeterminada ni cambiarles el nombre. Pero el Administrador de dominio tiene la propiedad de esta carpeta, así como los derechos para administrar los permisos, por lo que nada le impide simplemente otorgar derechos de modificación y cambiar el nombre/eliminar cosas. A continuación puede ver los permisos avanzados predeterminados para administradores de dominio en la carpeta SYSVOL:

ingrese la descripción de la imagen aquí

Le recomiendo encarecidamente que deje intactos los permisos predeterminados, otorgando el derecho de Modificar a su cuenta solo si realmente necesita modificar algo y luego revocar este derecho nuevamente para estar seguro en el futuro.

Respuesta4

Me he encontrado con algo similar varias veces antes.

Es posible que el directorio de secuencias de comandos de inicio de sesión esté heredando algunos permisos que le impiden tener el control total. Tome posesión del directorio con su cuenta de administrador de dominio, configure los permisos como desee y debería poder agregar sus scripts.

información relacionada