Непонятно – У администратора домена нет прав на изменение директории скриптов домена

Вот вопрос, который заставил меня задуматься. Это не критично, поэтому ответ не является срочным, но все же.

Я пытаюсь изменить папку сценариев входа, чтобы включить сценарий входа. Я подключился к своему контроллеру домена с помощью удаленного рабочего стола и использую специальную административную учетную запись (которая не существовала, когда создавался домен), которая входит в следующие группы:

• Администраторы (встроенные)
• Корпоративные администраторы
• Администраторы домена
• Пользователи домена
• Создатели объектов групповой политики
• Операторы сканирования
• Администраторы схемы

К сожалению, я не могу создать файлы в следующей папке:

\\domain\SYSVOL\domain\{policy}\Machine\Scripts\Startup

Тем не менее, если я вхожу в систему с помощью оригинальной учетной записи администратора, которая использовалась для настройки домена изначально, я могу! На самом деле, оригинальная учетная запись администратора может делать много того, что (по всей видимости) идентичная учетная запись суперадмина не может. Я имею в виду, что за черт возьми?? Обе учетные записи абсолютно идентичны по группам, к которым они принадлежат, а также по организационной единице, частью которой они являются, так что я не понимаю, в чем разница.

Фактически, единственный способ фактически разместить скрипт там — это пройти через сам диск:

C:\Windows\SYSVOL\sysvol\domain\Policies\{policy}\Machine\Scripts\Startup

Похоже, что это работает, если вы пойдете обходным путем… Просматривайте SYSVOL локально, а не используя ярлык “Показать файлы”, который на самом деле показывает UNC путь (\SERVER…)

Перейдите по адресу: C:\Windows\SYSVOL\sysvol{вашдомен}\Policies{вашполитики}\USER\Scripts\Logon

Затем вы можете перетащить ваш сценарий входа bat в эту папку, что запросит выполнение действия от имени администратора. Теперь, когда вы нажмете кнопку “Показать файлы” в GPO, вы увидите ваш сценарий входа в соответствующей папке.

Возьмите на себя право собственности, предпочтительно в gpmc.

Просто посмотрите на стандартные настройки безопасности для папки SYSVOL – для администраторов домена нет прав на модификацию:

И это лишь предосторожность от случайного удаления важных вещей, помещенных в эту папку. Как администратор домена вы сможете добавлять объекты здесь, но по умолчанию не сможете их удалять или даже переименовывать. Но администратор домена имеет право собственности на эту папку, а также права на управление разрешениями, так что ничего не мешает вам просто предоставить права на модификацию и переименование/удаление вещей. Ниже вы можете увидеть стандартные расширенные права для администраторов домена в папке SYSVOL:

Я настоятельно рекомендую вам оставить стандартные разрешения нетронутыми, предоставляя право на модификацию вашей учетной записи только в случае, если вам действительно необходимо что-то изменить, а затем вновь отозвать это право, просто чтобы быть в безопасности в будущем.

Разрешения NTFS и разрешения “Доступ” – это две разные вещи. Когда вы переходите к фактической папке (c:\windows..Startup), вы используете разрешения NTFS, к которым у вас явно есть права.

Когда вы, однако, пытаетесь редактировать \domain\Sysvol…, вы переходите к одному из контроллеров домена, которые, вероятно, не предоставляют доступ для учетной записи, которую вы используете.

Вкратце, я бы посмотрел на разрешения доступа для проблемы, которую вы описываете. Вот статья базы знаний, объясняющая разницу: http://technet.microsoft.com/en-us/library/cc754178.aspx

Я сталкивался с чем-то подобным несколько раз ранее.

Папка сценариев входа может унаследовать некоторые разрешения, которые мешают вам иметь полный контроль. Возьмите на себя право собственности на папку с вашей учетной записью администратора домена, установите разрешения так, как вам нравится, и вы должны быть в состоянии добавить ваши сценарии.

Щелкните правой кнопкой мыши на Блокноте и выберите “Запуск от имени администратора”. Нажмите Файл>Открыть и перейдите к файлу, который вы пытаетесь отредактировать. Теперь вам должно быть разрешено редактировать и сохранять файл.

На всякий случай, если кто-то другой это увидит, я нашел способ обойти это, используя обычную командную строку администратора. Никакие разрешения модифицировать не нужно.

Скопируйте необходимые файлы на локальный сервер, откройте CMD как администратор, затем скопируйте файлы, используя copy \path\to\src \\domain\to\dest.

Недавно я столкнулся с этим изменением поведения при обновлении с Win2012 до Win2022 для клиента, и это вызвало множество вопросов.

Начиная с Windows Server 2016, Microsoft внедрила более строгие политики UAC (Контроль учетных записей пользователей), включая изменения в доступе и ограничениях для UNC пути (\server\sysvol или \domain\sysvol).

Встроенная учетная запись администратора имеет полные привилегии и не подлежит UAC так, как другие учетные записи администратора (даже если они принадлежат группе администраторов домена или администраторов). Используя учетную запись администратора, она имеет неограниченный доступ к системным ресурсам и сетевым путям. Даже если пользователь принадлежит к группе администраторов домена или администраторов, UAC накладывает дополнительные ограничения на учетную запись.

Когда эти пользователи входят в систему, они получают два токена безопасности: ограниченный (не административный) токен и полный административный токен. По умолчанию Windows использует ограниченный токен, который может ограничивать доступ к определенным папкам, включая SYSVOL, особенно при доступе через UNC пути.

Разница между удаленным и локальным доступом:

Удаленный доступ: когда вы получаете доступ к папке SYSVOL удаленно, используя UNC путь (\server\SYSVOL или \domain\sysvol), UAC не участвует, и ваши учетные данные в качестве администратора домена полностью применяются. Таким образом, вы можете создавать файлы без каких-либо проблем.

Локальный доступ на сервере ADDS: когда вы пытаетесь создать файлы напрямую на сервере, UAC вступает в силу и может применить концепцию “разделенного токена”. Даже если вы принадлежите к группе администраторов домена, UAC может ограничивать местные административные действия.

Решение, хотя и не рекомендуется:

1. Отключите UAC через Панель управления
2. gpedit.msc > Конфигурация компьютера > Параметры Windows > Параметры безопасности > Локальные политики > Параметры безопасности > Контроль учетных записей пользователей: Запуск всех администраторов в режиме одобрения администратора: Отключить (по умолчанию: Включено)
3. Перезагрузите сервер ADDS, и после этого пользователь сможет записывать файлы в папку SYSVOL через UNC путь.

Примечание: Есть и другие способы обойти это поведение, редактируя реестр Windows и изменяя значения для ключа LocalAccountTokenFilterPolicy. Однако эта практика также не рекомендуется.

В Windows Server 2012 R2 UAC был менее строгим для учетных записей, которые входили в состав групп администраторов и администраторов домена, позволяя этим учетным записям иметь больший местный доступ, даже к таким чувствительным папкам, как SYSVOL.

В Windows Server 2016 и более поздних версиях UAC начал более строго применять концепцию “разделенного токена”. Это означает, что даже если пользователь принадлежит к группам администраторов домена или администраторов, они не получают автоматически полные административные права для определенных локальных операций, если они явно не выполняют действие от имени администратора.

Microsoft внесла эти изменения для повышения безопасности, предотвращая административным пользователям выполнение потенциально опасных действий без явного согласия (например, “Запуск от имени администратора”). Это делает более трудным для вредоносных программ или непреднамеренных действий скомпрометировать безопасность сервера. В общем, это поведение является результатом улучшенных практик безопасности.

Отключите UAC на хост-машине.