GPO 無法從 NETLOGON 共享複製 MSI - 但是當文件被重命名時,它可以被複製
我在基於 Windows Active Directory 的網路(帶有本地域控制器)中有一個電腦 GPO,該網路目前從
\\MYDOMAIN\NETLOGON\...\application.msi
啟動時安裝應用程序。這適用於我所有在啟動時連接網路的機器,但我有越來越多的 Windows 使用者通過 VPN 連接,這意味著機器直到使用者登錄後的某個時間點才連接網路。在沒有任何明顯的最佳實踐替代方案的情況下,我建議的解決方案是將 複製
application.msi
到隱藏的專用文件夾C:\localapps
並從那里安裝。頂級文件夾創建效果很好。複製配置文件效果很好。文件夾樹上的繼承權限執行良好。不起作用的是
application.msi
文件無法複製。令人沮喪的是,如果我重命名
application.msi
為application.msi.zzz
相同的 GPO 可以 - 並且確實 - 非常高興地將文件複製到本地電腦。進一步研究,
psexec -i -s explorer.exe
給了我一個作為 GPO 的 SYSTEM 帳戶執行的資源管理器視窗。事實上,我可以導航到適當的位置,\\MYDOMAIN\NETLOGIN
並且可以從那裡複製文件,除非它們被命名為執行檔或安裝程序。文件夾中的所有文件都繼承了權限,我已經確認它們是相同的。所有文件都“解鎖”。所有文件都具有相同的所有者 (MYDOMAIN\Administrators
)。我不是試圖從網路共享執行 MSI,只是為了複製它。經驗結論:GPO 使用的SYSTEM 帳戶無法從共享中復製
*.msi
或文件。*.exe``\\MYDOMAIN\NETLOGON\
這似乎不是一個合理的事態,所以我如何讓我的 GPO 照
application.msi
原樣複製,以便下次有機會可以從本地磁碟安裝它?
令人尷尬的是,它竟然是我的客戶端防病毒軟體 ESET Endpoint Security 中的入侵檢測系統,它阻止了對它認為不受信任的 SMB 網路連接上的執行檔的任何訪問。
我已經修改了組織策略以禁用域控制器上文件的特定測試(沒有一個與任何客戶端電腦在同一個 LAN 上),一切看起來都很好。