Bizarre - o Administrador de Domínio não tem direitos para modificar o diretório de scripts de domínio

Navegue suas respostas
2

Aqui está uma rapidinha que me fez coçar a cabeça. Não é um showstopper, então uma resposta não é urgente, mas ainda assim.

Estou tentando modificar o diretório de scripts de logon para incluir um script de login. Eu usei a Área de Trabalho Remota no meu Controlador de Domínio e estou usando uma conta administrativa especialmente criada (algo que não estava lá quando o domínio foi criado) que faz parte dos seguintes grupos:

  • Administradores (internos)
  • Administradores da empresa
  • Admins. do domínio
  • Usuários do domínio
  • Proprietários do criador de política de grupo
  • Operadores de digitalização
  • Administradores de esquema

Infelizmente, não consigo criar arquivos na seguinte pasta:

\domain\SYSVOL\domain\{policy}\Machine\Scripts\Startup

E, no entanto, se eu fizer logon usando a conta de administrador original que foi usada para configurar o domínio, eu posso! Na verdade, a conta original do Administrador pode fazer muito que a conta superadmin de propósito especial (aparentemente) idêntica não possa fazer. Quero dizer, WTF? Ambos os relatos são absolutamente idênticos em termos dos grupos a que pertencem, bem como da unidade organizacional da qual fazem parte, por isso não tenho certeza sobre qual é a diferença fracote.

Na verdade, a única maneira de colocar um script ali é percorrer a própria unidade:

C:\Windows\SYSVOL\sysvol\domain\Policies\{policy}\Machine\Scripts\Startup

    
por René Kåbis 08.12.2013 / 00:41

8 respostas

4

Assuma a propriedade, de preferência no gpmc.

    
por 08.12.2013 / 01:26
2

Basta olhar para as configurações de segurança padrão para a pasta SYSVOL - para os administradores de domínio, não há direitos Modify:

Eissoéapenasumaprecauçãodaexclusãoacidentaldealgoimportantecolocadonessapasta.Comoadministradordedomínio,vocêpoderáadicionarobjetosaqui,masnãoapagá-losporpadrãoouatémesmorenomear.MasoAdministradordeDomíniotempropriedadeparaessapasta,bemcomodireitosparagerenciarpermissões,demodoquenadaimpeçaquevocêapenasconcedadireitosdemodificaçãoerenomeie/excluaitens.AbaixovocêpodeveraspermissõesavançadaspadrãoparaadministradoresdedomínionapastaSYSVOL:

Eu recomendo strongmente que você deixe intactas as permissões padrão que concedem o Modify diretamente à sua conta somente se você realmente precisar modificar algo e, em seguida, revogar esse direito novamente apenas para estar em um lado seguro no futuro.

    
por 13.08.2016 / 16:47
2

Parece funcionar se você tomar o caminho mais longo ... Navegue para o SYSVOL localmente, em vez de usar o atalho "Show Files", que na verdade mostra o caminho UNC (\ SERVER ...)

Vá para: C: \ Windows \ SYSVOL \ sysvol {yourdomain} \ Políticas {yourpolicy} \ USER \ Scripts \ Logon

Você pode arrastar e soltar seu script de login para essa pasta, que solicitará que você execute a ação como admin. Agora, quando você clicar no botão "Mostrar arquivos" no GPO, verá seu script de login na pasta apropriada.

    
por 28.09.2016 / 18:27
1

As permissões do arquivo NTFS e as permissões "Compartilhar" são duas coisas diferentes. Quando você vai para a pasta atual (c: \ windows..Startup) você está usando permissões NTFS, as quais você claramente tem direitos.

Quando, no entanto, você está tentando editar \ domain \ Sysvol ..., você está indo para um dos DCs que provavelmente concede acesso à conta que você está usando.

Em suma, gostaria de ver as permissões de compartilhamento para o problema que você está descrevendo. Aqui está um artigo da base de conhecimento que explica o diff: link

    
por 10.12.2013 / 17:00
0

Já encontrei algo semelhante algumas vezes antes.

O diretório de scripts de logon pode estar herdando algumas permissões que impedem que você tenha controle total. Assuma o controle do diretório com sua conta de Administrador do Domínio, defina as permissões da maneira que preferir e você poderá adicionar seus scripts.

    
por 08.12.2013 / 02:34
0

Clique com o botão direito do mouse no bloco de notas e escolha executar como administrador. Clique em Arquivo > Abrir e navegue até o arquivo que você está tentando editar. Agora deve permitir que você edite e salve o arquivo.

    
por 27.11.2017 / 14:58
0

Apenas no caso de alguém ver isso, eu encontrei uma solução usando o antigo prompt de comando do administrador. Nenhuma permissão de modificação necessária.

Copie os arquivos necessários para o servidor local, abra o CMD como Administrador e copie os arquivos usando o copy \path\to\src \domain\to\dest .

    
por 04.05.2018 / 21:24
-6

Desative o UAC na máquina host.

    
por 30.04.2015 / 15:21

Tags

Saída do programa Pipe para rsyslog Por que o nginx não pode ter mais de 75 segundos de proxy?