故障現(xiàn)象

域的組策略啟動腳本在Windows 7下無法正常運行，原來 在Windows Server 2003 R2下執(zhí)行很正常，不管是Windows XP還是Windows 7下都可以順利執(zhí)行，使用的是VBS腳本感覺比執(zhí)行共享的.bat文件效率來的高一些。首先想是不是VBS腳本文件太老了，將該VBS文件拷貝到本地執(zhí)行，可以順利完成映射共享目錄的任務，使用Gpresult/V（操作系統(tǒng)組策略結果工具）來檢測提示如圖1所示。腳本正常執(zhí)行，但沒反饋任何結果。使用\域控制器IPsysvol域 名policies組策略名UserScriptsLogonxxx.vbs執(zhí)行也正常映射。這是什么原因呢？

原因查找

現(xiàn)有域控下組策略運行正常，升級域控后不行。原有VBS腳本也能正常運行，域客戶端也沒變化。是否因為域用戶不是本地管理員用戶呢？把域用戶加入到本地管理員組中去也不行。沒辦法直接把Windows Server 2012 R2的手冊翻出來，關于組策略這一節(jié)反復查看，網(wǎng)上也找到了有關的信息，有的說是腳本問題，有的建議將.bat放在啟動組，但都沒法真正解決問題。

請教了一些微軟專家，考慮是不是因為UAC的原因。有了這個思路，認真思考了這個問題，因為從Windows 2008 R2引入了UAC機制，估計是這個UAC機制讓域用戶提升管理員權限時受阻。雖然已將域用戶加入到本地管理員組中，但在執(zhí)行組策略時仍未將域用戶管理員權限進行提升。

UAC是指用戶賬戶控制（User Account Control），是微軟從Windows Vista開始使用的新結構技術，可以幫助阻止惡意程序（有時也稱為“惡意軟件”）損壞系統(tǒng)，同時也可以幫助組織部署更易于管理的平臺。使用UAC，應用程序和任務總是在非管理員賬戶的安全上下文中運行，但管理員專門給系統(tǒng)授予管理員級別的訪問權限時除外。UAC會阻止未經(jīng)授權應用程序的自動安裝，防止無意中對系統(tǒng)設置進行更改。

圖1 檢測提示信息

圖2 修改安全選項

故障解決

基于上述考慮，從組策略中的UAC控制中尋找解決方案。

Windows Server 2012 R2的組策略的UAC控制在哪里呢？終于在組策略中子分類中找到了：計算機配置→策略→Windows設置→安全設置→本地策略→安全選項。這里面關于UAC的控制條目較多，要修改哪個呢？經(jīng)過反復試驗。只需修改下面三條即可（如圖2）。

1.用戶賬戶控制：管理員批準模式中管理員的提升權限提示的行為：設置為不提示直接提升。

2.用戶賬戶控制：以管理員批準模式運行所有管理員：設置為已禁用。

3.用戶賬戶控制：用戶于內(nèi)置管理員賬戶的管理員批準模式：設置為已禁用。

修改后，在Windows 7客戶端下執(zhí)行Gpupdate /force強制刷新策略，再重啟電腦（修改這個策略必須重啟電腦），啟動無法執(zhí)行組策略腳本的故障消失。

此類故障應該較為多見，只是沒有詳細的故障處理方法，對于啟動執(zhí)行VBS腳本不成功的都可以同樣處理。