Aqui está uma rapidinha que me fez coçar a cabeça. Não é um empecilho, então uma resposta não é urgente, mas ainda assim.
Estou tentando modificar o diretório de scripts de logon para incluir um script de login. Usei a Área de Trabalho Remota em meu Controlador de Domínio e estou usando uma conta administrativa especialmente criada (algo que não existia quando o domínio foi criado) que faz parte dos seguintes grupos:
- Administradores (integrados)
- Administradores empresariais
- Administradores de domínio
- Usuários de domínio
- Proprietários do Criador de Política de Grupo
- Operadores de varredura
- Administradores de esquema
Infelizmente, não consigo criar nenhum arquivo na seguinte pasta:
\\domínio\SYSVOL\domínio\{política}\Máquina\Scripts\Inicialização
E ainda assim, se eu fizer logon usando a conta de administrador original que foi usada para configurar o domínio, eu posso! Na verdade, a conta de administrador original pode fazer muitas coisas que a conta de superadministrador (aparentemente) idêntica para fins especiais não pode. Quero dizer, WTF?? Ambas as contas são absolutamente idênticas em termos dos grupos a que pertencem, bem como da unidade organizacional da qual fazem parte, por isso não tenho a certeza de qual é a grande diferença.
Na verdade, a única maneira de realmente colocar um script é passar pela própria unidade:
C:\Windows\SYSVOL\sysvol\domain\Policies\{policy}\Machine\Scripts\Startup
Responder1
Assuma a propriedade, de preferência no gpmc.
Responder2
Parece funcionar se você seguir o caminho mais longo... Navegue até SYSVOL localmente em vez de usar o atalho "Mostrar Arquivos", que na verdade mostra o caminho UNC (\SERVER...)
Vá para: C:\Windows\SYSVOL\sysvol{seudomínio}\Policies{suapolítica}\USER\Scripts\Logon
Você pode então arrastar e soltar seu script de login nesta pasta, que solicitará que você execute a ação como administrador. Agora, ao clicar no botão "Mostrar arquivos" no GPO, você verá seu script de login na pasta apropriada.
Responder3
Basta observar as configurações de segurança padrão da pasta SYSVOL - para administradores de domínio não há direitos de modificação:
E isso é apenas uma precaução contra exclusão acidental de algo importante colocado nesta pasta. Como Administrador de Domínio, você poderá adicionar objetos aqui, mas não poderá excluí-los por padrão ou até mesmo renomeá-los. Mas o Administrador de Domínio tem propriedade sobre esta pasta, bem como direitos para gerenciar permissões, então nada impede que você apenas conceda direitos de modificação e renomeie/exclua coisas. Abaixo você pode ver as permissões avançadas padrão para administradores de domínio na pasta SYSVOL:
Eu recomendo fortemente que você deixe as permissões padrão intactas, concedendo o direito Modificar à sua conta apenas se você realmente precisar modificar algo e, em seguida, revogar esse direito novamente, apenas para estar seguro no futuro.
Responder4
Já encontrei algo semelhante algumas vezes antes.
O diretório de scripts de logon pode estar herdando algumas permissões que impedem você de ter controle total. Assuma a propriedade do diretório com sua conta de administrador de domínio, defina as permissões da maneira que desejar e você poderá adicionar seus scripts.