這是一個讓我摸不著頭腦的快速說明。不是一個引人注目的問題,所以答案並不緊急,但仍然如此。
我正在嘗試修改登入腳本目錄以包含登入腳本。我已經將遠端桌面連接到我的網域控制站中,並且我正在使用專門建立的管理帳戶(在建立網域時不存在該帳戶),該帳戶屬於以下群組:
- 管理員(內建)
- 企業管理員
- 網域管理員
- 網域用戶
- 群組原則建立者擁有者
- 掃描操作員
- 架構管理員
不幸的是,我無法在以下資料夾中建立任何文件:
\\網域\SYSVOL\網域\{策略}\機器\腳本\啟動
然而,如果我使用最初用於設定網域的原始管理員帳戶登錄,我就可以!事實上,原始管理員帳戶可以執行許多(顯然)相同的專用超級管理員帳戶無法執行的操作。我的意思是,WTF?這兩個帳戶在所屬群組以及所屬組織單位方面完全相同,因此我不確定到底有什麼不同。
事實上,實際放置腳本的唯一方法是檢查磁碟機本身:
C:\Windows\SYSVOL\sysvol\domain\Policies\{policy}\Machine\Scripts\Startup
答案1
取得所有權,最好是在 gpmc 中。
答案2
如果您走了很長的路,它似乎可以工作...本地瀏覽到 SYSVOL 而不是使用“顯示文件”快捷方式,該快捷方式實際上顯示 UNC 路徑 (\SERVER...)
到:C:\Windows\SYSVOL\sysvol{yourdomain}\Policies{yourpolicy}\USER\Scripts\Logon
然後,您可以將登入 bat 腳本拖曳到此資料夾中,這將提示您以管理員身分執行該操作。現在,當您單擊 GPO 中的「顯示檔案」按鈕時,您將在相應的資料夾中看到登入腳本。
答案3
只需查看 SYSVOL 資料夾的預設安全性設定 - 對於網域管理員來說,沒有修改權限:
這只是為了防止意外刪除此資料夾中的重要內容。作為網域管理員,您將能夠在此處新增對象,但預設情況下不能刪除它們,甚至不能重新命名。但網域管理員擁有此資料夾的所有權以及管理權限的權利,因此沒有什麼可以阻止您授予修改權限和重新命名/刪除內容。您可以在下方看到 SYSVOL 資料夾上網域管理員的預設進階權限:
我強烈建議您保留預設權限不變,僅當您確實需要修改某些內容時才向您的帳戶授予修改權限,然後為了將來的安全起見再次撤銷此權限。
答案4
我之前也遇到過幾次類似的事情。
登入腳本目錄可能會繼承一些權限,從而阻止您進行完全控制。使用您的網域管理員帳戶獲得該目錄的所有權,並按照您喜歡的方式設定權限,並且您應該能夠新增腳本。