我得到了一个问题,这是我的驾驶室之外,我不知道解决这个问题的最好方法。 我试图解决的问题是双重的:
我想在login时运行PowerShell脚本,从pipe理员组中拉取帐户并将其保存到networking驱动器上的csv。 我编写了脚本并在本地进行了testing,工作起来非常完美。 但是,我想写的份额只能由networking安全团队访问。 我相信,如果我运行脚本作为NT AUTHORITY / SYSTEM帐户,我也可以写入networking共享W / O问题。
所以,我的问题是:
第1项 – 我想我明白你的问题。 您是否询问在GPO中定义的脚本与在AD的用户login脚本字段中定义的脚本? 那么你在正确的轨道上,但有一点错误。 用户configuration中定义的GPOlogin脚本(或AD用户login脚本)以用户身份运行 – 它以该用户的login名运行,因此以用户身份运行。 计算机configurationGPO中定义的机器启动脚本将作为本地工作站的NT AUTHORITY / SYSTEM帐户运行。
第2项 – 不正确,NT AUTHORITY / SYSTEM只对其运行的本地系统拥有权限 – 在您的scheme中,这是工作站。 该帐户将无权networking共享。 如果您以启动脚本的身份运行,则可以允许GUEST写入共享和文件夹,但不能读取。 如果您作为login脚本运行,则可以允许“域用户”写入但不能读取。
在任何一种情况下,只要脚本的每个实例都写入一个唯一的CSV文件,或许它正在运行的工作站的名称,可能与date和时间戳连接起来,那么应该是好的。
第3项 – 正如JScott所说,您可以在受限制的群组中定义此项,而不是手动调查和修复。 定义你想要的政策比应用创可贴更好。
编辑:
第3项选项2 – 编写或查找远程连接到Windows计算机的function,并转储本地pipe理员组的成员(recursion)。 在你的域中创build一个所有机器的数组。 作为一个拥有pipe理员权限的帐户,在一台可以访问所有机器的机器上,对该arrays运行该function,或许可以通过智能检查/logging无法访问的机器,以便再次运行这些机器和/或清理AD如果有陈旧的机器。 将输出导出到您的CSV文件。