Добавление прав администраторам на перемещаемые профили


 

Проблема: На ферме терминальных серверов с помощью политик GPO настроили перемещаемые профили, но не активировали политику «Add the Administrators security group to roaming user profiles». Когда профилей было создано уже немало, и потребовалось кое-что в них почистить, оказалось, что администраторы не могут этого сделать – нет прав.

Как же исправить ситуацию?

Сначала, конечно же, надо активировать вышеупомянутую  политику, чтобы все новые профили создавались с нужными правами.

Теперь исправляем права на уже созданных папках профилей.

По умолчанию на папку профиля пользователя полные права имеет учетная запись самого пользователя и учетная запись системы. Таким образом, если выполнить скрипт с правами системы, то можно одним махом выставить нужные права. Сделать это можно, создав задачу Scheduled Task:

  1. Идем на файловый сервер, где хранятся папки с профилями
  2. Создаем задачу Scheduled Task
  3. Триггер любой, т.к. мы все равно выполняем задачу один раз, запуская ее вручную
  4. Действие задаем – выполнить программу icacls с параметрами «E:\ProfilePath\*» /grant «Administrators:(F)» /T
  5. В качестве пользователя от имени которого будет выполняться задача указываем SYSTEM
  6. Запускаем задачу на выполнение и ждем ее окончания

Теперь администраторы получили доступ к профилям пользователей и могут выполнить нужные работы.

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: