故障現(xiàn)象

域的組策略啟動(dòng)腳本在Windows 7下無(wú)法正常運(yùn)行，原來(lái) 在Windows Server 2003 R2下執(zhí)行很正常，不管是Windows XP還是Windows 7下都可以順利執(zhí)行，使用的是VBS腳本感覺(jué)比執(zhí)行共享的.bat文件效率來(lái)的高一些。首先想是不是VBS腳本文件太老了，將該VBS文件拷貝到本地執(zhí)行，可以順利完成映射共享目錄的任務(wù)，使用Gpresult/V（操作系統(tǒng)組策略結(jié)果工具）來(lái)檢測(cè)提示如圖1所示。腳本正常執(zhí)行，但沒(méi)反饋任何結(jié)果。使用\域控制器IPsysvol域 名policies組策略名UserScriptsLogonxxx.vbs執(zhí)行也正常映射。這是什么原因呢？

原因查找

現(xiàn)有域控下組策略運(yùn)行正常，升級(jí)域控后不行。原有VBS腳本也能正常運(yùn)行，域客戶(hù)端也沒(méi)變化。是否因?yàn)橛蛴脩?hù)不是本地管理員用戶(hù)呢？把域用戶(hù)加入到本地管理員組中去也不行。沒(méi)辦法直接把Windows Server 2012 R2的手冊(cè)翻出來(lái)，關(guān)于組策略這一節(jié)反復(fù)查看，網(wǎng)上也找到了有關(guān)的信息，有的說(shuō)是腳本問(wèn)題，有的建議將.bat放在啟動(dòng)組，但都沒(méi)法真正解決問(wèn)題。

請(qǐng)教了一些微軟專(zhuān)家，考慮是不是因?yàn)閁AC的原因。有了這個(gè)思路，認(rèn)真思考了這個(gè)問(wèn)題，因?yàn)閺腤indows 2008 R2引入了UAC機(jī)制，估計(jì)是這個(gè)UAC機(jī)制讓域用戶(hù)提升管理員權(quán)限時(shí)受阻。雖然已將域用戶(hù)加入到本地管理員組中，但在執(zhí)行組策略時(shí)仍未將域用戶(hù)管理員權(quán)限進(jìn)行提升。

UAC是指用戶(hù)賬戶(hù)控制（User Account Control），是微軟從Windows Vista開(kāi)始使用的新結(jié)構(gòu)技術(shù)，可以幫助阻止惡意程序（有時(shí)也稱(chēng)為“惡意軟件”）損壞系統(tǒng)，同時(shí)也可以幫助組織部署更易于管理的平臺(tái)。使用UAC，應(yīng)用程序和任務(wù)總是在非管理員賬戶(hù)的安全上下文中運(yùn)行，但管理員專(zhuān)門(mén)給系統(tǒng)授予管理員級(jí)別的訪(fǎng)問(wèn)權(quán)限時(shí)除外。UAC會(huì)阻止未經(jīng)授權(quán)應(yīng)用程序的自動(dòng)安裝，防止無(wú)意中對(duì)系統(tǒng)設(shè)置進(jìn)行更改。

圖1 檢測(cè)提示信息

圖2 修改安全選項(xiàng)

故障解決

基于上述考慮，從組策略中的UAC控制中尋找解決方案。

Windows Server 2012 R2的組策略的UAC控制在哪里呢？終于在組策略中子分類(lèi)中找到了：計(jì)算機(jī)配置→策略→Windows設(shè)置→安全設(shè)置→本地策略→安全選項(xiàng)。這里面關(guān)于UAC的控制條目較多，要修改哪個(gè)呢？經(jīng)過(guò)反復(fù)試驗(yàn)。只需修改下面三條即可（如圖2）。

1.用戶(hù)賬戶(hù)控制：管理員批準(zhǔn)模式中管理員的提升權(quán)限提示的行為：設(shè)置為不提示直接提升。

2.用戶(hù)賬戶(hù)控制：以管理員批準(zhǔn)模式運(yùn)行所有管理員：設(shè)置為已禁用。

3.用戶(hù)賬戶(hù)控制：用戶(hù)于內(nèi)置管理員賬戶(hù)的管理員批準(zhǔn)模式：設(shè)置為已禁用。

修改后，在Windows 7客戶(hù)端下執(zhí)行Gpupdate /force強(qiáng)制刷新策略，再重啟電腦（修改這個(gè)策略必須重啟電腦），啟動(dòng)無(wú)法執(zhí)行組策略腳本的故障消失。

此類(lèi)故障應(yīng)該較為多見(jiàn)，只是沒(méi)有詳細(xì)的故障處理方法，對(duì)于啟動(dòng)執(zhí)行VBS腳本不成功的都可以同樣處理。