none
不能复制脚本到组策略脚本文件夹 RRS feed

  • 问题

  • WIN2019的DC,使用新的账户admin(与administator具有相同的组)登录DC,新建了一个组策略,当要把登录脚本复制到\\domain.COM\SysVol\domain.COM\Policies\{C0044C00-3353-4ECE-8D07-4ACB0C235413}\User\Scripts这个文件夹时,提示你需要权限来执行此操作;
    而切换到administrator就可以复制,这是为什么? admin与administrator具有完全相同的权限(所属组完全相同),为什么admin不能复制?
    2021年1月16日 12:01

答案

  • 你好,

    我在环境中测试了一下,将用户加入域administrators 组之后,是可以的。

    应该还是权限配置有问题。我的环境中的权限配置情况跟你是一样的吗?

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    • 已标记为答案 MarkW20 2021年1月20日 9:41
    2021年1月20日 1:32
  • 非常感谢你的回复,这张截图中的路径对我启发很大;
    我这边的有效权限跟截图一样的,另外admin,及admin3账户可以成功在C:\WINDOWS\SYSVOL及其子目录新建文件夹或文件,即通过这种方式新建带登录脚本的组策略是可以实现的;
    这个问题的原因大致知道了:
    1.之前产生报错的原因是:我在编辑组策略登录脚本的地方点击了显示文件,打开\\domain\SysVol\domain\Policies\{C0044C00-3353-4ECE-8D07-4ACB0C235413}\User\Scripts\Logon这个共享目录,向这个共享目录新建或复制脚本时报错的;
    2.产生以上报错的原因应该是共享权限的问题,\\domain\SysVol\应该是一个默认的DFS命名空间,而这个命名空间默认的共享权限应该是只允许administrator写入,其他用户只读,所以即使admin,admin3具有与administrator相同的的组,也无法直接向\\domain\SysVol\写入;
    3.编辑组策略登录脚本时,点击显示文件,向类似\\domain\SysVol\domain\Policies\{C0044C00-3353-4ECE-8D07-4ACB0C235413}\User\Scripts\Logon这个目录直接复制脚本的做法应该已经被默认阻止了,印象中WIN2003时代是可以的,可能是在WIN2008以后发生的变化;
    4.经过测试使用UNC路径\\DCNAME\SYSVOL方式访问,也是可以成功写入的,因为具有相应的共享权限和NTFS权限;
    5.总结一下:使用非administrator账户,要使登录脚本成功,那么可以使用如下3种方法:
    5.1 直接访问C:\WINDOWS\SYSVOL的对应子目录,写入脚本;
    5.2 访问UNC路径\\DCNAME\SYSVOL的对应子目录,写入脚本;
    5.3 在编辑登录脚本的位置,使用UNC路径添加脚本;
    不知我的理解是否正确
    • 已标记为答案 MarkW20 2021年1月20日 9:41
    2021年1月20日 5:47

全部回复

  • 你好,

    请问是如何复制的脚本?

    如果可以,请截图。(涉及敏感信息的话,请截图)

    另外,Admin是哪个用户,新创建的用户然后加入ADMIN组的吗?

    对sysvol的权限可以检查一下其security是如何设置的,有无更改。

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2021年1月18日 1:07
  • 你好,谢谢关注这个问题

    复制脚本是指用admin账户, 在DC桌面新建了一个vbs脚本,然后要复制到那个编辑组策略时的登录脚本的文件夹(即\\domain.COM\SysVol\domain.COM\Policies\{C0044C00-3353-4ECE-8D07-4ACB0C235413}\User\Scripts),复制时报错:目标文件夹访问被拒绝,你需要权限来执行此操作;同时尝试直接在此目录新建文件或文件夹都是同样报错;

    admin是一个新建的域管理员账户,加入了与域administrator同样的组,包括administrators,domain admins,enterprise admins等;凡是域administrator账户拥有的组,admin账户都拥有;所以administrator具有的权限admin都应该具有;另外使用admin账户做其他域管理相关或新建其他组策略都成功,只有这里报错;

    我又新建了一个域管理员账户admin3,它所属的组也与administrator完全一致,同时新建了一个组策略来重现这个问题,仍然是同样的报错;

    sysvol权限显示domain\administrators具有读取和执行,列出文件夹内容,读取,写入,特殊权限;同时测试用域administrator账户在文件夹\\domain.COM\SysVol新建目录或文件成功,但无法删除或修改,因为没有修改权限,这个结果应该正常;但是同样属于domain\administrators组的admin,admin3账户都无法在此目录新建文件或文件夹,都是报错目标文件夹无法访问

    无法上传图片,希望我的描述能说清楚这个问题

    2021年1月18日 15:26
  • 你好,

    要更新组成员关系,建议运行命令klist purge 或者把用户注销重新登录。

    在Sysvol的security里查effective access ,看用户有无权限:

    之后再尝试复制能否成功。

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2021年1月19日 0:50
  • 你好,

    运行命令klist purge 或者把用户注销重新登录

    在Sysvol的security里查effective access,用户具有读取和写入权限,没有删除权限

    问题依旧跟之前一样

    2021年1月19日 7:04
  • 补充一下,这个问题貌似是WIN2019域控普遍问题

    我在测试环境新建一个域控,同样只有administrator账户可以写入\\domain\sysvol文件夹,其他新建的具有相同组的域管理员也无法写入,都是同样的报错

    2021年1月19日 9:17
  • 你好,

    我在环境中测试了一下,将用户加入域administrators 组之后,是可以的。

    应该还是权限配置有问题。我的环境中的权限配置情况跟你是一样的吗?

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    • 已标记为答案 MarkW20 2021年1月20日 9:41
    2021年1月20日 1:32
  • 非常感谢你的回复,这张截图中的路径对我启发很大;
    我这边的有效权限跟截图一样的,另外admin,及admin3账户可以成功在C:\WINDOWS\SYSVOL及其子目录新建文件夹或文件,即通过这种方式新建带登录脚本的组策略是可以实现的;
    这个问题的原因大致知道了:
    1.之前产生报错的原因是:我在编辑组策略登录脚本的地方点击了显示文件,打开\\domain\SysVol\domain\Policies\{C0044C00-3353-4ECE-8D07-4ACB0C235413}\User\Scripts\Logon这个共享目录,向这个共享目录新建或复制脚本时报错的;
    2.产生以上报错的原因应该是共享权限的问题,\\domain\SysVol\应该是一个默认的DFS命名空间,而这个命名空间默认的共享权限应该是只允许administrator写入,其他用户只读,所以即使admin,admin3具有与administrator相同的的组,也无法直接向\\domain\SysVol\写入;
    3.编辑组策略登录脚本时,点击显示文件,向类似\\domain\SysVol\domain\Policies\{C0044C00-3353-4ECE-8D07-4ACB0C235413}\User\Scripts\Logon这个目录直接复制脚本的做法应该已经被默认阻止了,印象中WIN2003时代是可以的,可能是在WIN2008以后发生的变化;
    4.经过测试使用UNC路径\\DCNAME\SYSVOL方式访问,也是可以成功写入的,因为具有相应的共享权限和NTFS权限;
    5.总结一下:使用非administrator账户,要使登录脚本成功,那么可以使用如下3种方法:
    5.1 直接访问C:\WINDOWS\SYSVOL的对应子目录,写入脚本;
    5.2 访问UNC路径\\DCNAME\SYSVOL的对应子目录,写入脚本;
    5.3 在编辑登录脚本的位置,使用UNC路径添加脚本;
    不知我的理解是否正确
    • 已标记为答案 MarkW20 2021年1月20日 9:41
    2021年1月20日 5:47
  • 你好,

    非常高兴您的问题解决了。

    您的理解是正确的。

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2021年1月20日 5:52