Bizarre - Администратор домена не имеет прав на изменение каталога скриптов домена
Вот коротышка, от которой я почесал затылок. Это не шедевр, поэтому ответ не срочен, но все же.
Я пытаюсь изменить каталог сценариев входа в систему, включив в него сценарий входа. Я подключил удаленный рабочий стол к своему контроллеру домена и использую специально созданную административную учетную запись (чего не было при создании домена), которая является частью следующих групп:
- Администраторы (встроенные)
- Администраторы предприятия
- Администраторы домена
- Пользователи домена
- Владельцы-создатели групповой политики
- Операторы сканирования
- Администраторы схемы
К сожалению, я не могу создавать файлы в следующей папке:
\\ домен \ SYSVOL \ домен \ {политика} \ Machine \ Scripts \ Startup
И все же, если я войду в систему, используя исходную учетную запись администратора, которая изначально использовалась для настройки домена, я могу! Фактически, исходная учетная запись администратора может многое, чего (очевидно) идентичная специализированная учетная запись суперадмина не может. Я имею ввиду, WTF ?? Оба аккаунта абсолютно идентичны с точки зрения групп, к которым они принадлежат, а также организационной единицы, частью которой они являются, поэтому я не уверен, в чем разница между фракками.
Фактически, единственный способ разместить там скрипт - это пройти через сам диск:
C: \ Windows \ SYSVOL \ sysvol \ domain \ Policies \ {policy} \ Machine \ Scripts \ Startup
Кажется, это сработает, если вы пройдете долгий путь ... Перейдите к SYSVOL локально, а не используйте ярлык «Показать файлы», который фактически показывает путь UNC (\ SERVER ...)
Перейдите по адресу: C: \ Windows \ SYSVOL \ sysvol {yourdomain} \ Policies {yourpolicy} \ USER \ Scripts \ Logon.
Затем вы можете перетащить свой сценарий bat в эту папку, и вам будет предложено выполнить действие от имени администратора. Теперь, когда вы нажмете кнопку «Показать файлы» в GPO, вы увидите свой сценарий входа в соответствующую папку.
Возьмите на себя ответственность, желательно в gpmc.
Просто посмотрите настройки безопасности по умолчанию для папки SYSVOL - для администраторов домена нет прав на изменение:
И это всего лишь мера предосторожности от случайного удаления важной вещи, помещенной в эту папку. Как администратор домена вы сможете добавлять сюда объекты, но не можете удалять их по умолчанию или даже переименовывать. Но администратор домена имеет право собственности на эту папку, а также права на управление разрешениями, поэтому ничто не мешает вам просто предоставлять права на изменение и переименовывать / удалять объекты. Ниже вы можете увидеть расширенные разрешения по умолчанию для администраторов домена в папке SYSVOL:
Я настоятельно рекомендую вам оставить нетронутыми разрешения по умолчанию, предоставив право на изменение вашей учетной записи только в том случае, если вам действительно нужно что-то изменить, а затем снова отозвать это право, чтобы быть в безопасности в будущем.
Разрешения для файлов NTFS и разрешения на «общий доступ» - это разные вещи. Когда вы переходите в настоящую папку (c: \ windows..Startup), вы используете разрешения NTFS, на которые у вас явно есть права.
Однако когда вы пытаетесь отредактировать \ domain \ Sysvol ..., вы переходите к одному из контроллеров домена, который, вероятно, предоставляет доступ к учетной записи, которую вы используете.
Короче говоря, я бы посмотрел на разрешения общего доступа для описываемой вами проблемы. Вот статья в базе знаний, объясняющая разницу: http://technet.microsoft.com/en-us/library/cc754178.aspx
Я уже несколько раз сталкивался с подобным.
Каталог сценариев входа в систему может наследовать некоторые разрешения, которые мешают вам иметь полный контроль. Возьмите на себя ответственность за каталог со своей учетной записью администратора домена, установите разрешения, как вам нравится, и вы сможете добавлять свои скрипты.
Щелкните правой кнопкой мыши Блокнот и выберите «Запуск от имени администратора». Щелкните Файл> Открыть и перейдите к файлу, который вы пытаетесь редактировать. Теперь он должен позволить вам редактировать и сохранять файл.
На всякий случай, если кто-то еще это увидит, я нашел обходной путь, используя простую старую командную строку администратора. Разрешения на изменение не требуются.
Скопируйте нужные файлы на локальный сервер, откройте CMD от имени администратора, затем скопируйте файлы с помощью copy \path\to\src \\domain\to\dest.
Отключите UAC на хост-машине.