Windows server 2012 R2組策略啟動(dòng)腳本故障處理

故障現(xiàn)象

域的組策略啟動(dòng)腳本在Windows 7下無法正常運(yùn)行，原來 在Windows Server 2003 R2下執(zhí)行很正常，不管是Windows XP還是Windows 7下都可以順利執(zhí)行，使用的是VBS腳本感覺比執(zhí)行共享的.bat文件效率來的高一些。首先想是不是VBS腳本文件太老了，將該VBS文件拷貝到本地執(zhí)行，可以順利完成映射共享目錄的任務(wù)，使用Gpresult/V（操作系統(tǒng)組策略結(jié)果工具）來檢測提示如圖1所示。腳本正常執(zhí)行，但沒反饋任何結(jié)果。使用\域控制器IPsysvol域 名policies組策略名UserScriptsLogonxxx.vbs執(zhí)行也正常映射。這是什么原因呢？

原因查找

現(xiàn)有域控下組策略運(yùn)行正常，升級(jí)域控后不行。原有VBS腳本也能正常運(yùn)行，域客戶端也沒變化。是否因?yàn)橛蛴脩舨皇潜镜毓芾韱T用戶呢？把域用戶加入到本地管理員組中去也不行。沒辦法直接把Windows Server 2012 R2的手冊(cè)翻出來，關(guān)于組策略這一節(jié)反復(fù)查看，網(wǎng)上也找到了有關(guān)的信息，有的說是腳本問題，有的建議將.bat放在啟動(dòng)組，但都沒法真正解決問題。

請(qǐng)教了一些微軟專家，考慮是不是因?yàn)閁AC的原因。有了這個(gè)思路，認(rèn)真思考了這個(gè)問題，因?yàn)閺腤indows 2008 R2引入了UAC機(jī)制，估計(jì)是這個(gè)UAC機(jī)制讓域用戶提升管理員權(quán)限時(shí)受阻。雖然已將域用戶加入到本地管理員組中，但在執(zhí)行組策略時(shí)仍未將域用戶管理員權(quán)限進(jìn)行提升。

UAC是指用戶賬戶控制（User Account Control），是微軟從Windows Vista開始使用的新結(jié)構(gòu)技術(shù)，可以幫助阻止惡意程序（有時(shí)也稱為“惡意軟件”）損壞系統(tǒng)，同時(shí)也可以幫助組織部署更易于管理的平臺(tái)。使用UAC，應(yīng)用程序和任務(wù)總是在非管理員賬戶的安全上下文中運(yùn)行，但管理員專門給系統(tǒng)授予管理員級(jí)別的訪問權(quán)限時(shí)除外。UAC會(huì)阻止未經(jīng)授權(quán)應(yīng)用程序的自動(dòng)安裝，防止無意中對(duì)系統(tǒng)設(shè)置進(jìn)行更改。

圖1 檢測提示信息

圖2 修改安全選項(xiàng)

故障解決

基于上述考慮，從組策略中的UAC控制中尋找解決方案。

Windows Server 2012 R2的組策略的UAC控制在哪里呢？終于在組策略中子分類中找到了：計(jì)算機(jī)配置→策略→Windows設(shè)置→安全設(shè)置→本地策略→安全選項(xiàng)。這里面關(guān)于UAC的控制條目較多，要修改哪個(gè)呢？經(jīng)過反復(fù)試驗(yàn)。只需修改下面三條即可（如圖2）。

1.用戶賬戶控制：管理員批準(zhǔn)模式中管理員的提升權(quán)限提示的行為：設(shè)置為不提示直接提升。

2.用戶賬戶控制：以管理員批準(zhǔn)模式運(yùn)行所有管理員：設(shè)置為已禁用。

3.用戶賬戶控制：用戶于內(nèi)置管理員賬戶的管理員批準(zhǔn)模式：設(shè)置為已禁用。

修改后，在Windows 7客戶端下執(zhí)行Gpupdate /force強(qiáng)制刷新策略，再重啟電腦（修改這個(gè)策略必須重啟電腦），啟動(dòng)無法執(zhí)行組策略腳本的故障消失。

此類故障應(yīng)該較為多見，只是沒有詳細(xì)的故障處理方法，對(duì)于啟動(dòng)執(zhí)行VBS腳本不成功的都可以同樣處理。