目前,我们的网络 PC 上装有 Windows XP Professional,位于混合 2008/2003 域中,只有一台机器除外,它是我们在部署操作系统之前购买的用于测试的新 Windows 7 PC。但我们发现我们的登录脚本存在问题,该脚本会自动为用户映射网络驱动器。
登录脚本是通过用户 GPO 完成的,但脚本本身只是一个使用 .cmd 文件net use。
权限完全没问题,因为同一个用户可以登录到 Windows XP 机器并毫无问题地映射他们的驱动器,但这个驱动器映射不断失败。
使用该net use命令可以重复此操作,但每次都会失败 - 实际上,在以交互方式执行时,它会提示用户输入用户名和密码,但如果我们\\server\share从运行对话框进入,则网络共享的内容就会出现,并且无需任何进一步的身份验证即可访问。
Windows 7 PC(就像 XP 系统一样)是域成员,并且正在使用的帐户是域帐户,该帐户确实有权访问共享(如上所述,它在 XP 上运行良好)。
我不明白这里发生了什么,因为服务器上的其他共享已映射到 Windows 7 系统上。
更多信息:
所讨论共享的有效权限仅授予用户对根目录的“列出”权限,共享权限为“所有人,完全控制”。我创建了一个具有相同权限的新共享,只是为了测试它是否归结为根目录的“列出”权限,但 Windows 7 计算机可以很好地映射这个权限。
编辑:如果我授予用户对共享根目录文件夹的“读取”NTFS 权限,则共享映射正常,但取消读取(即仅返回列表),然后驱动器映射再次失败。不幸的是,在此级别授予“读取”权限不是一个选项。
进一步编辑:(请参阅我对 ITHedgeHog 的回答的评论)。无论我如何尝试,此驱动器映射都会失败,这似乎是一个简单的“拒绝访问”错误,但奇怪的是,如果用户在资源管理器窗口中输入 UNC 路径,他们就可以浏览共享。我认为这一定与“列出文件夹”权限有关。
答案1
用户是否在 Windows 7 上的管理员组中?您可以尝试从管理员组中删除用户吗?或者暂时禁用 UAC,看看是否有效。
在某些情况下,UAC 会干扰登录脚本。
请参阅本页的“组策略脚本可能由于用户帐户控制而失败”部分。 http://technet.microsoft.com/en-us/library/cc766208(WS.10).aspx
答案2
我假设混合的 2008/2003 域表明您正在运行至少一个 Windows 2008 DC?如果是这样,从该计算机编辑组策略应该允许您在组策略的用户首选项部分下映射驱动器。
这就是我们设法将映射驱动器部署到 Windows 7 客户端的方法。
答案3
将有效的驱动器映射的权限与无效的驱动器映射的权限进行比较,我发现,如果我查看权限的高级视图,则有效的共享实际上在目录上具有以下权限(仅):
- 遍历文件夹/执行文件
- 列出文件夹/读取数据
- 读取属性
- 读取扩展属性
- 读取权限
而不起作用的映射仅授予了目录的以下权限。
- 列出文件夹/读取数据
添加其他四个权限解决了该问题。
奇怪的是,权限的基本视图都显示“列出文件夹内容”,这让我很困惑,因为我认为如果细粒度权限是非标准的,那么基本权限就会显示“特殊”。