域策略脚本

㈠ 域控组策略设置开机自启脚本需要管理员权限怎么办

如果需要在域控组策略开启自启脚本，是需要有管理员权限的。可以通过以下步骤操作：枯李
1. 在“控制面板”中打开“本地安全策略”；
2. 展开“配置用户权限”，勾选“允许本地登没高迟录密码访问远程念配主机”；
3. 在属性窗口中，勾选“配置本地用户安全”选项；
4. 点击“确定”按钮完成设置。
设置完成后即可使用域控组策略设置开机自启脚本。

㈡ 域策略不生效的问题

效世橡。
更新具体办法：“开始”--->“粗纯运行”--->在运行窗口岩返咐中输入组策略跟新命令“gpupdate”--->“回车”

㈢ 如何禁用域控服务器下发的脚本

1、bat可以作为登陆脚本执行，确切说一切可以在windows平台执行的东西都可以作为登陆脚本来用。

2、应该指定以\\server\……这样格式开头的路径。因为client在登陆的时候执行脚本，其实是从服务器上下载到本地，然后执行。这样的话，如果指定c:\这样的路径，client只会在本地的c盘查找，而不是到server上的路径去查找。

3、脚本可以放在一切client能够读取的位置。通常这个位置处于\\server\netlogon的share下(在服务器上的位置是%systemroot%\sysvol\sysvol\domainname\scripts)，但是如果你制订了策略，那么脚本默认的存放路径应该在%systemroot%\sysvol\sysvol\domainname\policies\guid\user(machine)\scripts下，如果你放在别的位置，需要在脚本执行栏的位置输入绝对路径，格式同样需要以\\server\……开头。

4、其他的问题也很多了，一般来说就是脚本适用于策略的时候，客户端可能会执行不到。

一般来说可能会有一下的几个原因：

a、脚本从名称到内容都尽可能的不要用特殊字符、长文件名(超过8个字符)、空格，比如&等。这样的脚本在不同的os上可能执行会有问题。

b、脚本存放的位置和路径，请遵照上面的原则来做。

c、脚本的编写方面。特别是适用net use 来map一个fileserver上的路径。有可能在登陆之前，client上已经有网络盘的映射，如果恰好和你map的盘符一样，将有可能导致脚本执行失败，你可以在脚本的最前面加一句net use * /d /y来解决这个问题。

不过这个命令要慎用，在实际生产环境中，如果你的fileserver是非wintel平台的storage，响应时间较长，那么可能导致用户重新登陆时，无法连接fileserver上的sharefolder，可以用一句if exist来判断网络盘是否存在。

另外一个方面，如果远程设备是一些跨平台的存储设备，比如一些nas、san等，map到windows平台的时候可能会提示“网络路径无法连接”等问题，可以相互更换map \\server_netbios_name或者map \\server_ipaddress两种方式来尝试连接。

如果遇到权限问题，那么按照共享权限和安全权限冲突时取最小值的原则，一般来讲可以将共享权限设置为full control，然后安全权限做严格设定的办法来解决。

d、“配置文件路经”和“登陆脚本路径”、“主文件夹”

朋友们在初次设置域账户脚本的时候，可能对于这三个概念有些模糊，难以区分，这里说明一下：

①使用组策略，在用户登录脚本的的地方编辑一个cmd等，使用诸如net use的方式就可以map一个网络盘符了。

②“配制文件路径”是指用户profile所处的位置，通常在%userprofile%

“登录脚本路径”是指用户登录到服务器时，执行的脚本所处的位置，通常默认路径位于

服务器上的netlogon下，如果制定策略中使用脚本，默认的路径应该在gpo 的guid下的user或者computer下的scripts，如果置于其他位置，需要手动指定完全路径。

③“主文件夹”是指用户在fileserver上的个人主目录，这个概念没有绝对的位置。需要你手动指定路径，不过在这里写入和在脚本中写入的不同，在于系统会根据你写入的路径，自动创建文件夹，并为该用户分配权限，该文件夹的owner属于该用户。这里可以使用%username%的变量，让系统自行完成。当然在指定了 主目录后，你仍然可以访问其他有权限使用的资源。

e、关于策略的执行顺序是本机、站点、域、ou、子ou。如果有设置上的重复，按照执行的顺序，后面的设置将会覆盖前面的设置。

如果在ou上设置“block policy inheritance”，那么上层的策略将不会在这一层获得执行。

如果在ou上设置“No override”，那么这一层将不会被后面的策略设置覆盖，也就是说即使后面有相同的设置，仍然以这一层的设置为准。

如果在ou上设置“disabled”，那么这个策略将会被禁止执行。

如果在策略的properties security上取消了对应的组的read和apply group policy，那么对应的组将会无法应用到策略。通常默认被应用的组有authenticated user。

如果你取消了该组的两个权限，然后add其他组，同样赋予read和apply group policy的话，此策略将只会被该组执行到，这也就是所谓的filter。

如果你的域中有多台dc，可能需要在dssite.msc中手动同步它们。

你也可以在服务器上使用secedit /refreshpolicy user_policy(machine_policy) /enforce 来强制刷新策略

这样的办法同样适用于client。

f、执行的脚本，可以放在computer configuration和user configuration中执行。

对于user，通常可以放置更改用户属性的东西。

对于computer，通常可以放置更改计算机属性的东西。

这两个没有绝对界限，但通常登陆的时候，都属于domain users成员，这样如果需要更改注册表或系统文件之类的，可能会遇到权限问题，那么我们也可以把这样的脚本放在computer中，这样可以在user登陆之前获得执行。
(这里顺带说一句：大家很少用到计算机账户吧，那么计算机账户的作用在这里可以得到体现，由于此时还没有用户账户验证，计算机账户和dc的验证有一方面来源于本地计算机账户和dc之间保持一个密码同步，以便于在这种特殊的情况下获得验证，该密码默认30天变更一次。

你甚至可以在sharefolder上添加计算机账户的权限：)如果由于dns对应或者其他的一些原因，导致这个密码无法同步，dc将会无法验证该计算机账户，这可能会导致计算机登陆脚本无法执行。在dc的日志上一般都会给出一个错误提示，ComputerNetbiosName$无法存取。解决的办法，可以通过在客户端上执行netdom重置该信任关系，这是另话了。)

对于user的设定，只需要登出然后登入即可获得脚本的应用。

对于computer的设定，则需要重新启动机器来获得脚本的执行。

注：从上面的几点中，大家可以看到计算机在登陆的时候需要通过dns来定位dc，从而定位

定位gpo，sysvol(策略、脚本、管理模板都存放在这里)，dns对于ad的设置是至关重要

的，一般来说可以这样设置，将客户端的dns指向dc(如果dc上是双网卡的话，那么指向内部

网卡dns)，然后在dc上设置转发，forward到外部(isp)dns。

上面只是就一些常见的问题做简要介绍，如果遇到更为复杂的问题，就需要查阅其他资料来解决了。

关于大家平时遇到的问题，都整理成faq放在下面

FAQ：

我的配置过程如下：

1、制作脚本文件config.bat并拷贝至域控制器服务器下的sysvol\sysvol\scripts目录下
该脚本文件用 net use z: \\linux_file\share 命令

2、配置“配制文件路径”：路径指向：\\nwf_sav(域控制服务器名)\netlogon

配置“登录脚本路径”： config.bat

3、在客户机注销重新登陆时出现以下窗口：但未能将共享文件夹映射为Z盘。

回答：一般脚本的存放位置有两种观点：

1、将登陆脚本放在\\server\netlogon下(在dc上的物理路径是 %systemroot%\SYSVOL\sysvol\domainname\SCRIPTS ，而不是 sysvol\sysvol\scripts)

在设置账户属性中登陆指令档的时候，此时是登陆域的时候默认寻找登陆脚本的位置

如果需要修改该脚本，需要手动定位到上面的路径，

优点是脚本集中放置

2、将登陆脚本放在策略gpo所处的路径下(在dc上的物理路径类似于这样

\\domainname\SysVol\domainname\Policies\{142B4268-9574-471F-9F7F-9AA04836F57F}\User\Scripts\Logon，这里一长串的数字是gpo的guid，用来唯一的标识这个对象，

可以通过查询该策略的属性，来察看该guid)

在设置策略中登入指令档的时候，此时是登陆域的时候默认寻找登陆脚本的位置

如果需要修改该脚本，可以点击下方的“显示档案”

优点是和策略关联性强，编辑查找方便

无论用哪种方法，如果脚本放置在默认的查询路径，指定登陆档的时候就不用写路径

如果不是，就需要填写完整路径，当然这个路径需要对于client可用，也就是说

不能填写诸如 c:\winnt\sysvol\sysvol 这样的路径，否则client在登陆的时候，只会

在自己的机器上 c:\winnt\sysvol\sysvol 查找脚本，显然是找不到的，因为脚本

是下载到本地执行的。

那么我们先看看脚本是否能够在client上正确执行，

在client上 winkey+r，然后填入脚本的路径，比如 \\servername\netlogon\config.bat

执行一下，是否能够等到正确的结果？

然后察看上面的位置中指定的路径是否正确

如果是通过策略指定的登陆脚本，我们再用 gpresult /v ，察看一下client是否应用到了

您制定的策略，如果没有就要考虑使用 dssite.msc 手动同步域中的所有dc，然后

secedit /refreshpolicy user_policy (machine_policy)/enforce 强制刷新策略，

然后client重新登陆或者重新启动一下(这取决于您制订的是用户登陆脚本还是计算机登陆脚本)

如果还是不行，那么在早先的那篇文章有提到，

有可能是由于本地已经map 了同样盘符的盘，导致冲突

有可能是由于map的共享路径权限设置错误，常见的是共享权限的设置问题

有可能是由于map的共享是跨平台的存储设备或者格式，它们可能不能在登陆时在系统要求的

时间内响应，这导致系统认为该资源超时连接，不可用。您可以尝试更换netbios名称或者ip

㈣ 域策略启动脚本执行的时间

我们都知道域策略宽老敬在域控上的默认刷新时间是5分钟，那么客户端PC一般需要重启或者用命令慎慎来立即获取域策略。其实我们可以通过修改域策略来直接实现的。
首先，打开服务器管理器--工具--组策略管理
右击编辑 “default domain policy"策略（或者新建GPO），
找到 计算机配置------策略------管理模板：从本地计算机中检索的策略定义（ADMX文件）--------系统----------组策略---------找到

1.配置计算机的组含森策略的刷新间隔---
Windows server 2012应用--域环境下的组策略刷新时间设置

2.设置域控制器的组策略刷新间隔---未配置的情况下域控制器的默认刷新时间是5分钟，不建议改动。如果选择关闭，则客户端没有重启的话，无法自动获取域策略。

㈤ 救急！！！我把域控配置完成之后，把域控默认生成的脚本全部给删除了，会有什么影响，怎么补救啊！

Default Domain Policy是默认的域策略，删除掉这个之后除了密码策略不能设置后，其他的不会受到影响，新建一个域策略就可以了，08当中就分的更加详细，所以这个一般没什么大的问题。
Default Domain Controllers Policy这个比较重要，如果么有的话可以使用侍首dcgpofix来进行恢复成默认设置，做罩咐恢复之前最好建立一个辅助域控，这样可以防老闷数止出现问题。

㈥ 如何自动把域帐户加到本地管理员组|ad活动目录域组策略登录脚本

－－－洛洛根据我的研究，在Windows系统中暂时不提供工具直接实现这种功能。您可以先将需要加入到本地管理员组的域用户放入一个OU中，然后通过组策略执行脚本来完成。 下面我提供一些方法，供您参考： 1．使用域管理员登陆到DC。活动目录seo 2．打开记事本创建一个批处理文件，输入以下内容，并以*.bat保存： net localgroup administrators domain\user /add 其中，USER为你当前需要提升权限的用户名。 3．点击“开始→运行”并输入“DSA.MSC”→打开Active Director用户和计算机→右键点击需要设置的OU→“属性”→组策略→“编辑”。 4．打开“计算机配置→windows设置→脚本→启动→添加*.bat文件。 5．在命令提示符下输入gpupdate /force，重启计算机。 Tom Zhang 张一平 在线技术支持工程师 微软全球技术支持中心各位，net user %username% administrators /add 这个脚本会无法执行的。 因为要想加入本地管理员组，就需要管理员权限，也就是说只能用计算机登录脚本在用户登录之前执行 但此时用户还没有登录，根本无从获取 %username%变量。 登录之后，倒是获取到 %username%变量了，但普通的users权限是不能添加管理员群组账户的。这个问题的解决方法，有二 要不，用runas，使用管理员账户在用户登录之后添加，但将管理员账户和密码写在脚本里非常不安全。 要不，就是只能做计算机启动脚本，将domain users这个组添加到本地管理员群组中去。但又会让 所有域用户都可以在域中任何一台电脑上，执行管理员权限，这样做也不安全。 用户之所以有这样的需求，其实是为了避免用户操作或者客户端软件在域环境中遭遇的权限限制问题， 如果说用户这么做只是暂时的权益之计，尚可，否则就是与活动目录的宗旨背道而驰！最终的解决方法还是要解决用户在域中所遇到的问题，例如软件权限限制问题的解决方法可以参考

㈦ 域组策略脚本的权限问题

只解决权限问题，那就很简单了，域策略里：计算机配置>windows设置>安全设置>受限制的组

在这里添加一个组 Power User 成员 Domian\Domain User (要添加administrations 组 那就是本地管理员权限）
接下来就是在客户端 gpupdate /force 强制刷新策略，重启计算机就OK

㈧ users权限的域用户无法运行域策略上发的vbs脚本，怎么处理

把蚂亮雀文件夹权限全部删了，然后加一个你闷早自已名字（在键答域里的），就只有你自已能控制了，其它帐户都改不了（包括管理员）。

㈨ 域如何通过脚本或策略实现删除客户端的启动项

在策略可以做那里删除的~~~

㈩ Win7，Win8用户组策略启动脚本无法启动怎么办

解决过程：在组策略编辑器里新建组策略对象“测试部分win7组策略脚本无法开机启动”，链接到“测试单位”，依次展开“计算机配置——策略——Windows设置——安全设置——本地策略——安全选项”，在主窗体定位到“用户帐户控制：”系列。作如下设置：
用户帐户控制:
启用管理审批模式审批所有管理员：禁用
域环境下win7脚本无法启动办法
以域用户身份登录Win7或Win8，使用gpupdate
/force命令强制刷新组策略，重启电脑后以域用户登录，问题得到解决。