Обновление Creators останавливает работу сопоставления дисков GPO с несколькими доменами ('0x80090005 Bad Data)
Мы тестируем обновление Windows 10 Creators Update (сборка 15063) здесь. Пока это единственная нерешаемая проблема, с которой мы столкнулись.
Эта проблема предназначена только для создателей: идентичные пользователи и объект групповой политики отлично работают в Windows 10 Anniversary (сборка 14393) и Windows 7 SP1, все с запуском последних обновлений Windows
У нас есть два домена, между которыми нет доверительных отношений. Чтобы сопоставить один конкретный диск, мы добавляем имя пользователя и пароль в настройках групповой политики (раньше выполнялось с помощью сценария входа, но были изменены для поддержки управления учетными записями пользователей) для перекрестной аутентификации. Вот (отредактированный) снимок экрана с параметрами предпочтений в GPO:
Когда политика работает на 10 Creators, другая карта дисков, но M: Drive отсутствует. При просмотре программы просмотра событий возникает такая ошибка:
Элемент предпочтения пользователя «M:» в «Сопоставлениях дисков GPO {C65A2351-20C1-42D4-BF2B-AE604CD9DC0A}» «Объект групповой политики не применялся из-за сбоя с кодом ошибки« 0x80090005 Плохие данные ». Эта ошибка была подавлена.
Пользователь может вручную подключить тот же диск, добавив учетные данные другого домена по запросу. Они также могут сделать это с помощью команды net use.
Я пробовал гуглить по GPO Mapping, Windows 10 Creators и 0x80090005 Bad Data, но не нашел ничего подходящего.
Я придумал обходной путь, но он действительно не очень хорош: «Старое снова новое».
Предыстория: при переходе с Windows XP на Windows 8 мы перешли от использования простого сценария входа в CMD к сопоставленным дискам GPO, и управление учетными записями пользователей перестало работать из-за конфликта стандартных и административных токенов (см. Примечание TechNet. Вот)
После обновления Creators была удалена возможность сохранять учетные данные в групповой политике, и я не мог заставить групповую политику добавлять данные в локальный диспетчер учетных данных (пробовал использовать этот сценарий, но похоже, что он не будет работать с контролем учетных записей и разрешением неподписанных сценариев), я включил раздел реестра EnableLinkedConnections и сопоставил этот диск с помощью старой команды skool net use.
Полная информация:
Шаг 1 Создайте новый фильтр WMI специально для обнаружения обновлений Creators (это снижает уровень безопасности только для машин, которым это необходимо):
select * from Win32_OperatingSystem WHERE Version like "10.0.15063%" AND ProductType="1"
Шаг 2 Добавьте фильтр WMI в новый объект групповой политики, который:
- Устанавливает для параметра DWORD regkey SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ EnableLinkedConnections значение 1
- Добавьте сценарий входа cmd в папку Sysvol
Шаг 3
В сценарии входа в систему добавьте следующий код:
net use m: /delete /y
net use m: \\[Server]\[Share]\ /user:[Server FQDN]\[Username] [Password] /PERSISTENT:YES
В качестве примечания, это полностью влияет только на пользователей, которые являются локальными администраторами в системах Creator Update: если у вас есть возможность лишить их прав администратора, вы можете убрать шаг EnableLinkedConnections в объекте групповой политики, что повысит безопасность для другого сопоставленного объекта групповой политики. приводы (однако у рассматриваемого диска по-прежнему будет скрипт пароля в виде открытого текста), но я работаю с устаревшей программой, для работы которой требуется междоменное сопоставление И права администратора.
Знайте, что это далеко не идеально, так как это восходит к дням XP, когда пароль в открытом виде находился в несложном для поиска файле, но это единственный обходной путь, который я нашел до сих пор для этой проблемы Creators Update: у меня есть чувство программирования Диспетчер учетных данных через GPO или сценарий входа в PowerShell - правильный ответ, но я просто не могу заставить его работать: если кто-то может улучшить этот ответ, заставив этот способ работать, тогда я буду именно этим.
Итак, я один из 10 или около того GP MVP от Microsoft.
Вкратце: это не поддерживается. @Twisty прав: эта дыра в безопасности была закрыта современными GPMC и больше не разрешена. КБ:
У меня есть два возможных обходных пути:
1: Попробуйте УДАЛИТЬ завершающий \ в конце. Итак, правильный UI будет
\\ server \ share, а не \\ server \ share \
2: Однако без тестирования стоит попробовать обходной путь. Попробуйте настройку политики (на ОДНОЙ МАШИНЕ с использованием GPedit.msc):
Компьютер | Шаблоны администратора | Система | Групповая политика | Разрешить политику пользователей между лесами и перемещаемые профили пользователей
Просто установите ОДИН машина локально с этой политикой .. (GPedit.msc ЛОКАЛЬНО на одной коробке Win10 1703 / creators edition) .. не сходите с ума и пока не включайте ее везде.
Затем перезагрузите компьютер и повторите попытку.
Это сработало?
Если да, ура. Если нет ... это все, что я могу предложить.
- Джереми Московиц, 15-летний MVP по групповой политике от GPanswers.com