none
Доменный скрипт, повешанный на user logon запускается с повышенными правами, если пользователь локальный админ - как побороть проблему? RRS feed

  • Вопрос

  • Доменный скрипт, повешанный на user logon запускается с повышенными правами, если пользователь локальный админ - как побороть проблему? Последствия гадкие, скрипт подключает пользователю сетевые диски, а они подключаются не просто пользователю, а пользователю в повышенных правах, и потому пользователю не видны. Если запустить cmd.exe или любую прону с правами администратора, то там диски есть. Если запустить скрипт монтирования руками по пути \\domainname\sysvol...итд...\scriptname.cmd, то всё отрабатывает нормально. До недавнего времени было нормально, а теперь вот так. Если пользователь не имеет локальных прав админа, тоже всё нормально - скрипт стартует без повышения и диски есть. Проблема проявилась несколько недель назад. Встречается на Win7 32бит. На 64-битке, вроде бы, нормально. Как почринить?
    7 августа 2019 г. 10:23

Ответы

Все ответы

  • Сетевые диски уже лет 10 подключаются via GPO, а не скриптами.
    • Предложено в качестве ответа Vector BCOModerator 20 августа 2019 г. 15:04
    • Помечено в качестве ответа Vector BCOModerator 20 августа 2019 г. 15:04
    7 августа 2019 г. 10:35
  • сравните уровни UAC на машине с проблемой и без + как говорилось выше GPP должно решить вашу проблему

    The opinion expressed by me is not an official position of Microsoft

    • Предложено в качестве ответа Vector BCOModerator 20 августа 2019 г. 15:04
    • Помечено в качестве ответа Vector BCOModerator 20 августа 2019 г. 15:04
    7 августа 2019 г. 12:10
    Модератор
  • Спасибо за ответ! Как настроить это на домене на 2003 сервере? Нашёл пару гайдов, там требуется компонента "редактор управления групповыми политиками", которой я у себя не нашёл. Было бы здорово, если бы было много времени в этом копаться, а то лето, сезон отпусков, работа за троих :(
    8 августа 2019 г. 3:35
  • Спасибо! Этот совет очень помог. Оказалось что там не включен UAC и после каких-то обновлений вылез вот такой глюк. Включил UAC и стало отрабатывать как надо. Но я так и не понял, что это было. Будь побольше времени, постарался бы собрать информацию для багрепорта, но времени особо нет :( Если будут такие грабли, будем включать UAC.
    8 августа 2019 г. 3:37
  • Спасибо! Этот совет очень помог. Оказалось что там не включен UAC и после каких-то обновлений вылез вот такой глюк. Включил UAC и стало отрабатывать как надо. Но я так и не понял, что это было. Будь побольше времени, постарался бы собрать информацию для багрепорта, но времени особо нет :( Если будут такие грабли, будем включать UAC.

    среда - мечта для атакующего: сервер снятый с поддержки 5 лет назад, UAC выключенный, не удивлюсь если и антивирусы не установлены и бекапы не делаются...

    В случае нового вонакрая сезон отпусков в любой момент может накрыться медным тазом если не начать приводить классический хаос в нормальный вид.


    The opinion expressed by me is not an official position of Microsoft

    8 августа 2019 г. 5:33
    Модератор
  • Спасибо за ответ! Как настроить это на домене на 2003 сервере? Нашёл пару гайдов, там требуется компонента "редактор управления групповыми политиками", которой я у себя не нашёл. Было бы здорово, если бы было много времени в этом копаться, а то лето, сезон отпусков, работа за троих :(
    RSAT надо ставить, чтоб локально компонента появилась
    8 августа 2019 г. 10:25
  • Дополню ответ Svolotch ссылкой:

    https://eugenpavlenko.wordpress.com/tag/group-policy-preference/

    8 августа 2019 г. 10:37