整理一下手头的资源共享给大家,之前做过一些目录服务规划的项目,总会有客户问一些问题,加入域后对客户端有没有影响?毫无疑问,安全性的提升是以使用便利性为条件的,今天先看一个典型的问题。

客户端存储在本地D盘  E盘等资源盘的数据文件,加入域后用户使用Domain Users登录系统,发现之前的数据只能打开而不能进行编辑了。我们分析一下,造成这种现象的原因,其实很简单,计算机在加入域之前,使用的是管理员帐户登录的,所有资源的建立也是管理员权限,因此,后面的结果大家不得而知。

我们今天要看的是如何解决此类问题,思路如下:

修改D:E:盘符下的文件为Domain users修改或完全控制即可保障用户使用的便利性。

具体怎么去实现?

方法一、单个去改   不靠谱 哈哈
方法二:通过脚本批量更改    靠谱

先准备脚本:
1、PSEXEC.exe 程序
2、XCALS.VBS 准备 (微软官方)
3、准备Psexec.exe的注册
4、准备一个权限帐户 建议DOMAIN ADMINS
5、建立BAT脚本

下面来看一下再BAT中写什么:
rem echo off
c:
cd\
del c:\tem? /Q /F
if not exist c:\tempFile\. md tempFile
cd c:\tempFile
if not exist c:\tempFile\psexec.exe copy %Logonserver%\FileScript\psexec.exe c:\tempFile\ /y
copy %Logonserver%\FileScript\xcacls.vbs c:\tempFile\ /y
REGEDIT.EXE /S %logonserver%\FileScript\AcceptPsExec.reg
reg.exe add HKEY_CURRENT_USER\EUDC\936 /v SystemDefaultEUDCFont /t REG_SZ /d s:\EUDC\EUDC.TTE /f

psexec -u doamin\username -p password cscript.exe  c:\tempFile\xcacls.vbs d:\ /g "domain\domain users":f /f /t /e
cscript.exe c:\tempFile\xcacls.vbs e:\ /g "domain\domain users":f /f /t /e
cscript.exe c:\tempFile\xcacls.vbs f:\ /g "domain\domain users":f /f /t
:End

将xcacls.vbs  acceptpsexec.reg  psexec.exe 放置于logonserver\filescript目录下即可,也可自行进行修改。
将建立好的BAT脚本添加在用户登录脚本处即可。

希望可以通过这个脚本,拓宽大家的策略思维。谢谢!