여기 내 머리를 긁게 만든 간단한 내용이 있습니다. 대단한 내용은 아니므로 답변이 긴급하지는 않지만 그래도 그렇습니다.
로그인 스크립트를 포함하도록 로그온 스크립트 디렉터리를 수정하려고 합니다. 내 도메인 컨트롤러에 원격 데스크톱을 사용하고 있으며 다음 그룹의 일부인 특별히 생성된 관리 계정(도메인을 만들 때 없었던 계정)을 사용하고 있습니다.
- 관리자(기본 제공)
- 엔터프라이즈 관리자
- 도메인 관리자
- 도메인 사용자
- 그룹 정책 작성자 소유자
- 스캔 연산자
- 스키마 관리자
안타깝게도 다음 폴더에는 파일을 생성할 수 없습니다.
\\도메인\SYSVOL\도메인\{정책}\Machine\Scripts\Startup
하지만 처음에 도메인을 설정하는 데 사용된 원래 관리자 계정을 사용하여 로그온하면 가능합니다! 실제로 원래 관리자 계정은 (분명히) 동일한 특수 목적의 최고 관리자 계정이 할 수 없는 많은 일을 할 수 있습니다. 내 말은, WTF ?? 두 계정 모두 그들이 속한 그룹과 그들이 속한 조직 단위 측면에서 완전히 동일하므로 차이점이 무엇인지 잘 모르겠습니다.
실제로 실제로 스크립트를 배치하는 유일한 방법은 드라이브 자체를 통과하는 것입니다.
C:\Windows\SYSVOL\sysvol\domain\Policies\{정책}\Machine\Scripts\Startup
답변1
gpmc에서 소유권을 가져오는 것이 좋습니다.
답변2
먼 길을 가면 작동하는 것 같습니다... 실제로 UNC 경로(\SERVER...)를 표시하는 "파일 표시" 바로 가기를 사용하는 대신 로컬로 SYSVOL을 찾아보세요.
이동: C:\Windows\SYSVOL\sysvol{도메인}\Policies{정책}\USER\Scripts\Logon
그런 다음 로그인 Bat 스크립트를 이 폴더로 끌어서 놓으면 관리자로 작업을 수행하라는 메시지가 표시됩니다. 이제 GPO에서 "파일 표시" 버튼을 클릭하면 해당 폴더에 로그인 스크립트가 표시됩니다.
답변3
SYSVOL 폴더의 기본 보안 설정을 살펴보세요. 도메인 관리자에게는 수정 권한이 없습니다.
이는 이 폴더에 있는 중요한 항목을 실수로 삭제하는 것을 방지하기 위한 조치입니다. 도메인 관리자는 여기에 개체를 추가할 수 있지만 기본적으로 삭제하거나 이름을 바꿀 수는 없습니다. 그러나 도메인 관리자는 이 폴더에 대한 소유권과 권한을 관리할 수 있는 권한을 갖고 있으므로 수정 권한을 부여하고 항목 이름을 바꾸거나 삭제할 수 있습니다. 아래에서는 SYSVOL 폴더에 대한 도메인 관리자의 기본 고급 권한을 볼 수 있습니다.
실제로 무언가를 수정해야 하는 경우에만 계정에 수정 권한을 부여하고 나중에 안전을 유지하기 위해 이 권한을 다시 취소하여 기본 권한을 그대로 유지하는 것이 좋습니다.
답변4
나는 전에도 비슷한 일을 몇 번 겪었습니다.
로그온 스크립트 디렉터리는 사용자가 모든 권한을 갖지 못하게 하는 일부 권한을 상속할 수 있습니다. 도메인 관리자 계정으로 디렉터리의 소유권을 갖고 원하는 방식으로 권한을 설정하면 스크립트를 추가할 수 있습니다.