这是让我费解的速成答案。答案并不难,所以并不急于给出答案,但仍然如此。
我正在尝试修改登录脚本目录以包含登录脚本。我已使用远程桌面进入我的域控制器,并且正在使用专门创建的管理帐户(在创建域时不存在),该帐户属于以下组:
- 管理员(内置)
- 企业管理员
- 域管理员
- 域用户
- 组策略创建者所有者
- 扫描操作员
- 架构管理员
不幸的是,我无法在以下文件夹中创建任何文件:
\\域\SYSVOL\域\{策略}\Machine\Scripts\Startup
但是,如果我使用最初用于设置域的原始管理员帐户登录,我可以!事实上,原始管理员帐户可以做很多事情,而(显然)相同的专用超级管理员帐户却做不到。我的意思是,WTF?这两个帐户在所属的组以及所属的组织单位方面完全相同,所以我不确定它们到底有什么区别。
事实上,真正将脚本放置在那里的唯一方法是通过驱动器本身:
C:\Windows\SYSVOL\sysvol\domain\Policies\{策略}\Machine\Scripts\Startup
答案1
承担责任,最好是在 gpmc。
答案2
如果您绕远路,它似乎可以工作...本地浏览到 SYSVOL,而不是使用“显示文件”快捷方式,后者实际上显示的是 UNC 路径(\SERVER...)
转到:C:\Windows\SYSVOL\sysvol{yourdomain}\Policies{yourpolicy}\USER\Scripts\Logon
然后,您可以将登录 bat 脚本拖放到此文件夹中,这将提示您以管理员身份执行操作。现在,当您单击 GPO 中的“显示文件”按钮时,您将在相应的文件夹中看到您的登录脚本。
答案3
只需查看 SYSVOL 文件夹的默认安全设置 - 对于域管理员来说没有修改权限:
这只是为防止意外删除此文件夹中的重要内容而采取的预防措施。作为域管理员,您将能够在此处添加对象,但默认情况下不能删除它们,甚至不能重命名。但域管理员拥有此文件夹的所有权以及管理权限的权限,因此没有什么可以阻止您授予修改权限和重命名/删除内容。您可以在下面看到域管理员对 SYSVOL 文件夹的默认高级权限:
我强烈建议您保留默认权限,仅当您确实需要修改某些内容时才向您的帐户授予修改权限,然后再次撤销此权限以确保将来的安全。
答案4
我以前遇到过几次类似的事情。
登录脚本目录可能继承了一些权限,导致您无法完全控制。使用您的域管理员帐户获取目录的所有权,按您喜欢的方式设置权限,然后您就应该能够添加脚本了。