無法讓GPO登錄腳本使用Active Directory域服務運行

Question

我剛將公司的域控制器從NT 4.0升級到Windows 2008 Server。我使用就地升級路徑，首先從NT 4.0升級到Windows 2003 Server，然後從2003 Server升級到2008 Server。最初的NT 4.0域名是公司。新域名是公司。本地。我已確認用戶和計算機信息已正確遷移，新域已運行一週，問題很少。

我現在遇到的問題是爲一組用戶設置GPO用戶登錄腳本。我相信我已經正確設置了GPO，但腳本在登錄後不會在客戶端上執行。

經過調查，我發現我可以從客戶端登錄後手動執行腳本（批處理文件），如果我直接導​​航到域控制器： \\ 服務器名 \ SYSVOL \ 公司。當地\策略\ {GUID} \ User \ Scripts \ Logon

但是，如果我的理解是正確的，則此路徑在執行登錄sript時不會由客戶端使用，而是將域（forest？）名稱用作源域名和森林名稱在這種情況下是相同的）： \\ 公司 .local \ SysVol \ 公司 .local \ Policies \ {GUID} \ User \ Scripts \ Logon

從客戶端手動執行此批處理文件時，我得到一個「打開文件 - 安全警告」對話框，聲稱客戶端無法驗證發佈者。上面的兩個路徑基本上是相同的地方，只是用不同的路徑訪問。

任何想法，爲什麼當通過\\ 公司。本地訪問，而不是\\服務器名的客戶端不信任來自他們自己的域控制器的內容？有沒有其他地方我應該尋找可能的原因？

Answer 1

安全警告很可能是一條紅鯡魚。我們可以進入爲什麼它會出現，但我更關心的是在第一次登錄時執行腳本。

使用應該執行腳本的用戶帳戶登錄客戶端計算機並運行「策略結果集」工具（從空白MMC添加「策略結果集」管理單元，然後突出顯示並右鍵單擊範圍窗格中的「結果集策略」，然後選擇「生成RSoP數據...」採取所有默認設置...）

我假設您沒有使用NTFS ACLs腳本或GPO本身的ACL。

我的直覺說這是一個GPO範圍界定問題。在收集策略之後，查看是否將腳本放置在要爲用戶執行的腳本列表中。在收集RSoP數據後，右鍵單擊範圍窗格中的「用戶配置」節點，然後檢查與該用戶關聯的GPO列表。您是否在該列表中看到包含腳本的GPO？

假設您看到GPO應用並確實看到登錄腳本中列出的腳本以供用戶執行，那麼我會轉到下一個應用程序事件日誌，看看USERINIT在登錄過程中是否記錄了有關問題執行腳本。

假設您沒有看到您的GPO適用於用戶，我會考慮您的GPO鏈接與用戶帳戶相關的位置（這是我談到的「範圍問題」）。 GPO必須在用戶對象所在的OU，用戶對象所在的OU的父OU，域的頂部或與IP子網相關聯的站點對象（客戶端計算機的IP地址已被分配。

如果這樣做沒有意義，並且您還沒有看到您期望的內容，請發佈一些有關對象的邏輯拓撲結構的描述 - 例如顯示域的樹形圖和任何子OU的包含有問題的用戶對象，以及有關鏈接GPO的位置的註釋。

Answer 2

我最近有完全相同的問題。我確實發現劇本跑了，但「看不見」。 GPO上有一個選項，通過轉到「管理模板」，「系統」，「腳本」來運行腳本「可見」