none
组策略脚本安全问题 RRS feed

  • 问题

  • 2012 r2 域 组策略

    计算机配置下 做了 启动vbs脚本

    用户配置下  做了 注销vbs脚本

    以上都是存放在默认的文件夹中的。并非自行另外创建共享文件夹。

    类似格式为\\xxxx.com\sysvol\xxxx.com\Policies....这种系统默认的路径

    因为里面涉及到一些明文密码。发现域内普通用户可以通过系统默认路径去访问,能直接打开脚本文件看到里面的内容。这样就变成了不安全。

    我不清楚计算机脚本和用户脚本各自通过什么账户权限去读取和执行脚本文件的。所以不知道如何对脚本文件进行权限设置来防止域用户通过路径去打开直接看脚本内容。

    谢谢


    nn

    2020年12月2日 8:22

答案

  • 尊敬的客户,您好!

    感谢您的回复。

    Authenticated users是指所有域里的计算机账号和用户账号。

    对于计算机的开关机脚本的话,,您可以把以下路径里的Script文件夹权限里把Authenticated Users这个组删除,然后加上自定义的计算机组(这个计算机组包含您想应用这个计算机的开关机脚本的机器)。这样的话,用户就看不到这个开关机脚本了,但是计算机的脚本还是可以执行。


    但是如果是用户登录和注销脚本的话,至少是应用这个脚本策略的域用户(假设,您可以新建一个用户组,把需要应用这个登录注销脚本的用户加入这个组,您可以把以下路径里的Script文件夹权限里的Authenticated Users这个组删除并加上这个用户组)必须可以读取这个脚本的内容,否则不能执行登录注销脚本。




    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2020年12月3日 7:25
    版主

全部回复

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    问题:我不清楚计算机脚本和用户脚本各自通过什么账户权限去读取和执行脚本文件的。
    根据我查看,是通过Authenticated Users 里的read and execute权限。




    希望上述回复对您有用。如有不清楚的地方,欢迎您随时咨询我们。


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年12月2日 9:47
    版主
  • 谢谢回答。

    Authenticated users 是指的就是所有域用户么?不是很明白这个用户群是指什么。可以解答一下么?谢谢

    如您所说。没有办法实现让域用户无法通过路径去访问了?那脚本里的密码就是形同虚设了。怎么样实现这个脚本的安全呢?

    还有我看论坛里面其他帖子 脚本权限有涉及到domain computer的部分,这一部分的权限 是影响那个脚本呢?

    谢谢解答


    nn

    2020年12月2日 23:19
  • 尊敬的客户,您好!

    感谢您的回复。

    Authenticated users是指所有域里的计算机账号和用户账号。

    对于计算机的开关机脚本的话,,您可以把以下路径里的Script文件夹权限里把Authenticated Users这个组删除,然后加上自定义的计算机组(这个计算机组包含您想应用这个计算机的开关机脚本的机器)。这样的话,用户就看不到这个开关机脚本了,但是计算机的脚本还是可以执行。


    但是如果是用户登录和注销脚本的话,至少是应用这个脚本策略的域用户(假设,您可以新建一个用户组,把需要应用这个登录注销脚本的用户加入这个组,您可以把以下路径里的Script文件夹权限里的Authenticated Users这个组删除并加上这个用户组)必须可以读取这个脚本的内容,否则不能执行登录注销脚本。




    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2020年12月3日 7:25
    版主
  • 感谢 ! 受益匪浅

    nn

    2020年12月4日 7:08
  • 尊敬的客户,您好!

    不客气,感谢您将我的回复标记为答复。

    一如既往,如后期还有其他问题,欢迎您随时在此论谈发帖,我们很乐意帮助您。

    祝您工作生活愉快。


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年12月7日 2:32
    版主