域的組策略啟動(dòng)腳本在Windows 7下無法正常運(yùn)行,原來 在Windows Server 2003 R2下執(zhí)行很正常,不管是Windows XP還是Windows 7下都可以順利執(zhí)行,使用的是VBS腳本感覺比執(zhí)行共享的.bat文件效率來的高一些。首先想是不是VBS腳本文件太老了,將該VBS文件拷貝到本地執(zhí)行,可以順利完成映射共享目錄的任務(wù),使用Gpresult/V(操作系統(tǒng)組策略結(jié)果工具)來檢測提示如圖1所示。腳本正常執(zhí)行,但沒反饋任何結(jié)果。使用\域控制器IPsysvol域 名policies組策略名UserScriptsLogonxxx.vbs執(zhí)行也正常映射。這是什么原因呢?
現(xiàn)有域控下組策略運(yùn)行正常,升級(jí)域控后不行。原有VBS腳本也能正常運(yùn)行,域客戶端也沒變化。是否因?yàn)橛蛴脩舨皇潜镜毓芾韱T用戶呢?把域用戶加入到本地管理員組中去也不行。沒辦法直接把Windows Server 2012 R2的手冊(cè)翻出來,關(guān)于組策略這一節(jié)反復(fù)查看,網(wǎng)上也找到了有關(guān)的信息,有的說是腳本問題,有的建議將.bat放在啟動(dòng)組,但都沒法真正解決問題。
請(qǐng)教了一些微軟專家,考慮是不是因?yàn)閁AC的原因。有了這個(gè)思路,認(rèn)真思考了這個(gè)問題,因?yàn)閺腤indows 2008 R2引入了UAC機(jī)制,估計(jì)是這個(gè)UAC機(jī)制讓域用戶提升管理員權(quán)限時(shí)受阻。雖然已將域用戶加入到本地管理員組中,但在執(zhí)行組策略時(shí)仍未將域用戶管理員權(quán)限進(jìn)行提升。
UAC是指用戶賬戶控制(User Account Control),是微軟從Windows Vista開始使用的新結(jié)構(gòu)技術(shù),可以幫助阻止惡意程序(有時(shí)也稱為“惡意軟件”)損壞系統(tǒng),同時(shí)也可以幫助組織部署更易于管理的平臺(tái)。使用UAC,應(yīng)用程序和任務(wù)總是在非管理員賬戶的安全上下文中運(yùn)行,但管理員專門給系統(tǒng)授予管理員級(jí)別的訪問權(quán)限時(shí)除外。UAC會(huì)阻止未經(jīng)授權(quán)應(yīng)用程序的自動(dòng)安裝,防止無意中對(duì)系統(tǒng)設(shè)置進(jìn)行更改。
圖1 檢測提示信息
圖2 修改安全選項(xiàng)
基于上述考慮,從組策略中的UAC控制中尋找解決方案。
Windows Server 2012 R2的組策略的UAC控制在哪里呢?終于在組策略中子分類中找到了:計(jì)算機(jī)配置→策略→Windows設(shè)置→安全設(shè)置→本地策略→安全選項(xiàng)。這里面關(guān)于UAC的控制條目較多,要修改哪個(gè)呢?經(jīng)過反復(fù)試驗(yàn)。只需修改下面三條即可(如圖2)。
1.用戶賬戶控制:管理員批準(zhǔn)模式中管理員的提升權(quán)限提示的行為:設(shè)置為不提示直接提升。
2.用戶賬戶控制:以管理員批準(zhǔn)模式運(yùn)行所有管理員:設(shè)置為已禁用。
3.用戶賬戶控制:用戶于內(nèi)置管理員賬戶的管理員批準(zhǔn)模式:設(shè)置為已禁用。
修改后,在Windows 7客戶端下執(zhí)行Gpupdate /force強(qiáng)制刷新策略,再重啟電腦(修改這個(gè)策略必須重啟電腦),啟動(dòng)無法執(zhí)行組策略腳本的故障消失。
此類故障應(yīng)該較為多見,只是沒有詳細(xì)的故障處理方法,對(duì)于啟動(dòng)執(zhí)行VBS腳本不成功的都可以同樣處理。