Вот кое-что, что заставило меня почесать голову. Не критично, так что ответ не срочный, но все же.
Я пытаюсь изменить каталог сценариев входа, чтобы включить сценарий входа. Я подключился к своему контроллеру домена с помощью удаленного рабочего стола и использую специально созданную учетную запись администратора (которой не было, когда создавался домен), которая является частью следующих групп:
- Администраторы (встроенные)
- Администраторы предприятия
- Администраторы домена
- Пользователи домена
- Владельцы создателей групповой политики
- Операторы сканирования
- Администраторы схемы
К сожалению, я не могу создать ни одного файла в следующей папке:
\\domain\SYSVOL\domain\{policy}\Machine\Scripts\Startup
И все же, если я войду в систему, используя изначальную учетную запись администратора, которая использовалась для настройки домена в первую очередь, я смогу! На самом деле, изначальная учетная запись администратора может делать многое из того, что (очевидно) идентичная учетная запись специального назначения суперадминистратора не может. Я имею в виду, WTF?? Обе учетные записи абсолютно идентичны с точки зрения групп, к которым они принадлежат, а также организационной единицы, частью которой они являются, поэтому я не уверен, в чем чертова разница.
Фактически, единственный способ разместить там скрипт — это пройти через сам диск:
C:\Windows\SYSVOL\sysvol\domain\Policies\{политика}\Machine\Scripts\Startup
решение1
Возьмите на себя ответственность, желательно в gpmc.
решение2
Кажется, это работает, если пойти длинным путем... Перейдите к SYSVOL локально, а не используйте ярлык «Показать файлы», который на самом деле показывает путь UNC (\SERVER...)
Перейдите в: C:\Windows\SYSVOL\sysvol{yourdomain}\Policies{yourpolicy}\USER\Scripts\Logon
Затем вы можете перетащить ваш скрипт входа в bat в эту папку, что предложит вам выполнить действие как администратор. Теперь, когда вы нажмете кнопку "Показать файлы" в GPO, вы увидите ваш скрипт входа в соответствующей папке.
решение3
Просто посмотрите на настройки безопасности по умолчанию для папки SYSVOL — для администраторов домена нет прав на изменение:
И это всего лишь мера предосторожности от случайного удаления важных вещей, размещенных в этой папке. Как администратор домена вы сможете добавлять сюда объекты, но не удалять их по умолчанию или даже переименовывать. Но администратор домена имеет право собственности на эту папку, а также права на управление разрешениями, поэтому ничто не мешает вам просто предоставлять права на изменение и переименовывать/удалять вещи. Ниже вы можете увидеть расширенные разрешения по умолчанию для администраторов домена на папку SYSVOL:
Я настоятельно рекомендую вам оставить разрешения по умолчанию без изменений, предоставляя право «Изменить» своей учетной записи только в том случае, если вам действительно нужно что-то изменить, а затем снова отзывать это право, просто чтобы обезопасить себя в будущем.
решение4
Я уже несколько раз сталкивался с чем-то подобным.
Каталог сценариев входа может наследовать некоторые разрешения, которые не дают вам полного контроля. Станьте владельцем каталога с помощью учетной записи администратора домена, установите разрешения по своему усмотрению, и вы сможете добавлять свои сценарии.