我有一个运行最新版本 Active Directory 的 Windows 2012 R2 域控制器。我有 17 台客户端计算机(台式机和笔记本电脑),大多数是 Windows 10,一些是 Windows 8 或 Windows 8.1。我还有这个不支持 LDAP / AD 登录的 NAS。我有 6 个需要访问 NAS 的用户列表,但凭证是该设备的本地凭证,无法关闭(例如,必须使用某些凭证)才能通过 SMB 访问共享。
我过去的做法是使用映射驱动器在 GPP 中设置共享,然后在“连接为(可选)”对话框中填写相应的凭据。好吧,我猜微软因为一些愚蠢的安全问题禁用了此功能 [讽刺],现在我不太清楚如何实现同样的效果。
我尝试了以下方法:
创建了一个 vbs/ps1/bat 登录脚本 [是的,我尝试了每一个],它会清除所有驱动器并使用脚本中嵌入的凭据明确映射驱动器(显然我并不太担心此操作的安全性),并使用 GPO 将驱动器相应地映射为每个人的启动脚本。在这种情况下,即使将“配置登录脚本延迟”设置为 0 或 1 或 2 或任何数字,该脚本也永远不会在 Windows 10 或 Windows 8 上运行。我的计算机下从未映射或出现过任何驱动器。
当这个方法不起作用时,我尝试在每个用户配置文件下放置一个显式脚本 vbs/ps1/bat,并使用用户对象属性中的“登录脚本”功能嵌入凭据,但同样不起作用。同样,没有驱动器被映射。
寻找禁用使用备用凭据“连接为(可选)”映射驱动器功能的补丁来卸载它并使用旧方法,但补丁中捆绑了大量内容,我不想破坏我的环境中的任何其他东西。
我根本不担心在这种情况下用户凭证会被暴露,因为它们不与任何其他凭证共享,并且 NAS 上的数据并不是特别需要保护...但我确实需要某种方法来自动为这些用户映射这些驱动器。
此外,我确信所有脚本都能正常工作,没有错误,因为我在故障排除期间已经在多台机器上本地运行了它们,我甚至可以手动进入 sysvol 共享并启动它们,而且这样做有效,权限为 rwx。它只是不适用于 GPO。
因此,我愿意接受建议并非常感谢任何帮助。
我确实有两个问题:
- 为什么登录脚本在 Windows 10 中不起作用?
- 为用户批量映射不属于活动目录域的驱动器的最佳方法是什么?