Администратор домена не может изменить каталог скриптов домена

Я обновляю каталог сценариев входа, чтобы включить сценарий входа. Я вхожу в контроллер домена с использованием административной учетной записи, которая является членом следующих групп:

• Администраторы (встроенные)
• Администраторы предприятия
• Администраторы домена

Я не могу создать файлы в следующей папке:

\\domain\SYSVOL\domain\{policy}\Machine\Scripts\Startup

Если я вхожу с использованием встроенной учетной записи администратора, это работает. Обе учетные записи идентичны по группам и организационным единицам, к которым они принадлежат, поэтому я не понимаю разницы.

Единственный способ фактически разместить сценарий там — это использовать накопитель вместо сетевого UNC-пути:

C:\Windows\SYSVOL\sysvol\domain\Policies\{policy}\Machine\Scripts\Startup

Похоже, это работает, если вы пойдете длинным путем… Просматривайте SYSVOL локально, а не используя ярлык “Показать файлы”, который на самом деле показывает UNC-путь (\SERVER…)

Перейдите в: C:\Windows\SYSVOL\sysvol\{yourdomain}\Policies\{yourpolicy}\USER\Scripts\Logon

Затем вы можете перетащить ваш бат-сценарий входа в эту папку, что вызовет запрос на выполнение действия от имени администратора. Теперь, когда вы нажмете кнопку “Показать файлы” в GPO, вы увидите свой сценарий входа в соответствующей папке.

Овладейте правами, желательно в gpmc.

Просто посмотрите на стандартные настройки безопасности для папки SYSVOL – для администраторов домена нет прав на изменение:

И это просто предостережение от случайного удаления важных вещей, размещенных в этой папке. Будучи администратором домена, вы сможете добавлять объекты сюда, но не удалять их по умолчанию или даже переименовывать. Но администратор домена имеет права собственности на эту папку, а также права на управление разрешениями, так что ничего не препятствует вам просто предоставить права на изменение и переименование/удаление вещей. Ниже вы можете увидеть стандартные расширенные разрешения для администраторов домена на папке SYSVOL:

Я настоятельно рекомендую оставить стандартные разрешения нетронутыми и предоставлять право на изменение своей учетной записи только в том случае, если вам действительно нужно что-то изменить, а затем снова отозвать это право, чтобы быть в безопасности в будущем.

Разрешения файлов NTFS и “разрешения общего доступа” – это две разные вещи. Когда вы переходите к фактической папке (c:\windows..Startup), вы используете разрешения NTFS, которые у вас явно есть.

Когда же вы пытаетесь редактировать \domain\Sysvol…, вы переходите к одному из контроллеров домена, который, вероятно, не предоставляет доступ к используемой вами учетной записи.

Короче говоря, я бы взглянул на разрешения общего доступа по проблеме, которую вы описываете. Вот KB статья, объясняющая разницу: http://technet.microsoft.com/en-us/library/cc754178.aspx

Я сталкивался с чем-то похожим несколько раз раньше.

Каталог сценариев входа может наследовать некоторые разрешения, которые мешают вам иметь полный контроль. Овладейте правами на каталог с помощью своей учетной записи администратора домена, установите разрешения по вашему усмотрению, и вы сможете добавить свои сценарии.

Щелкните правой кнопкой мыши на Блокноте и выберите “Запуск от имени администратора”. Щелкните “Файл” > “Открыть” и перейдите к файлу, который вы пытаетесь отредактировать. Теперь вам должно позволить редактировать и сохранять файл.

На случай, если кто-то еще это увидит, я нашел обходной путь, используя обычную командную строку администратора. Не требуется изменение разрешений.

Скопируйте необходимые файлы на локальный сервер, откройте CMD от имени администратора, а затем скопируйте файлы, используя copy \path\to\src \\domain\to\dest.

Недавно я столкнулся с этим изменением поведения при обновлении с Win2012 до Win2022 для клиента, и это вызвало довольно много вопросов.

Начиная с Windows Server 2016, Microsoft реализовала более строгие политики UAC (Контроль учетных записей пользователей), включая изменения в доступе и ограничениях для UNC-пути (\server\sysvol или \domain\sysvol).

Встроенная учетная запись администратора имеет полные повышенные привилегии и не подлежит UAC так же, как другие административные учетные записи (даже если они принадлежат группе Администраторов домена или Администраторов). При использовании учетной записи администратора у нее есть неограниченный доступ к системным ресурсам и сетевым путям. Даже если пользователь принадлежит к группе Администраторов домена или Администраторов, UAC накладывает дополнительные ограничения на учетную запись.

Когда эти пользователи входят в систему, они получают два токена безопасности: ограниченный (неадминистративный) токен и полный административный токен. По умолчанию Windows использует ограниченный токен, который может ограничить доступ к определенным папкам, включая SYSVOL, особенно при доступе через UNC-пути.

Разница между удаленным и локальным доступом:

Удаленный доступ: Когда вы получаете доступ к папке SYSVOL удаленно с помощью UNC-пути (\server\SYSVOL или \domain\sysvol), UAC не участвует, и ваши учетные данные как администратора домена полностью применяются. Поэтому вы можете без проблем создавать файлы.

Локальный доступ на сервере ADDS: Когда вы пытаетесь создать файлы непосредственно на сервере, UAC вступает в игру и может применить концепцию “разделенного токена”. Даже если вы принадлежите к группе Администраторов домена, UAC может ограничивать локальные административные действия.

Решение, хотя не рекомендуется:

1. Отключите UAC через Панель управления
2. gpedit.msc > Конфигурация компьютера > Настройки Windows > Настройки безопасности > Локальные политики > Параметры безопасности > Контроль учетных записей: Запуск всех администраторов в режиме одобрения администраторов: Отключить (по умолчанию: Включено)
3. Перезагрузите сервер ADDS, и после этого пользователь сможет записывать файлы в папку SYSVOL через UNC-путь.

Примечание: Существуют и другие способы обойти это поведение, редактируя реестр Windows и изменяя значения для ключа LocalAccountTokenFilterPolicy. Однако эта практика также не рекомендуется.

В Windows Server 2012 R2 UAC был менее строгим для учетных записей, которые входили в группы Администраторов и Администраторов домена, что позволяло этим учетным записям иметь более неограниченный локальный доступ, даже к таким чувствительным папкам, как SYSVOL.

В Windows Server 2016 и более поздних версиях UAC начал более строго применять концепцию “разделенного токена”. Это означает, что даже если пользователь принадлежит к группам Администраторов домена или Администраторов, они не автоматически имеют полные административные разрешения для определенных локальных операций, если они явно не запускают действие от имени администратора.

Microsoft внесла эти изменения для повышения безопасности, предотвращая тем самым выполнение административными пользователями потенциально опасных действий без явного согласия (например, “Запуск от имени администратора”). Это затрудняет вредоносному ПО или непреднамеренным действиям компрометацию безопасности сервера. В общем, это поведение является результатом улучшенных практик безопасности.

Отключите UAC на хост-машине.