奇怪 – 域pipe理员没有权限修改域脚本目录
这是一个让我挠头的速记。 不是一个炫耀者,所以答案并不紧急,但仍然是。
我正在尝试修改login脚本目录以包含login脚本。 我已经使用远程桌面到我的域控制器,并且我正在使用一个专门创build的pipe理帐户(当域被制作时不存在的东西),它是以下组的一部分:
- pipe理员(内置)
- 企业pipe理员
- 域pipe理员
- 域用户
- 组策略创build者所有者
- 扫描操作员
- 架构pipe理员
不幸的是,我无法在以下文件夹中创build任何文件:
\\域\ SYSVOL \域\ {政策} \机\脚本\启动
然而,如果我login使用用于设置域的原始的pipe理员帐户,我可以! 事实上,原来的Admin帐户可以做很多(显然)相同的专用superadmin帐户不能。 我的意思是,WTF? 这两个账户在属于他们的团体以及他们所属的组织单位方面是完全一致的,所以我不确定这个分歧是什么。
事实上,实际上放置脚本的唯一方法是通过驱动器本身:
C:\ WINDOWS \ SYSVOL \ SYSVOL \域\策略\ {政策} \机\脚本\启动
取得所有权,最好在gpmc。
NTFS文件权限和“共享”权限是两个不同的东西。 当你转到实际的文件夹(c:\ windows..Startup)时,你正在使用NTFS权限,你显然有权限。
但是,当您尝试编辑\ domain \ Sysvol …时,您将转到可能授予您正在使用的帐户访问权限的某个DC。
总之,我会考虑你所描述的问题的共享权限。 这里是一个KB文章解释比较: http : //technet.microsoft.com/en-us/library/cc754178.aspx
只需查看SYSVOL文件夹的默认安全设置 – 对于域pipe理员,不存在修改权限:
这只是从这个文件夹中放置的重要东西的意外删除的预防措施。 作为域pipe理员,您将能够在此处添加对象,但不会在默认情况下将其删除,甚至不需要重命名。 但域pipe理员拥有这个文件夹的所有权以及权限pipe理权限,所以没有什么阻止你只是授予修改权限和重命名/删除的东西。 您可以在下面看到SYSVOL文件夹上的域pipe理员的默认高级权限:
我强烈build议您保留默认权限,保留修改权限到您的帐户,只有当您确实需要修改某些内容,然后再次撤消此权限,以便将来可以安全使用时。
这似乎工作,如果你采取漫长的路…在本地浏览SYSVOL,而不是使用“显示文件”快捷方式,实际显示UNCpath(\ SERVER …)
转到:C:\ Windows \ SYSVOL \ sysvol {yourdomain} \ Policies {yourpolicy} \ USER \ Scripts \ Logon
然后,您可以将您的login蝙蝠脚本拖放到此文件夹中,这将提示您以admin身份执行操作。 现在,当您点击GPO中的“显示文件”button时,您将在相应的文件夹中看到您的login脚本。
我以前碰到类似的东西。
login脚本目录可能会inheritance一些权限,阻止您完全控制。 使用您的域pipe理员帐户获取目录的所有权,以您喜欢的方式设置权限,并且您应该能够添加您的脚本。
在主机上禁用UAC。