AD域控中遇到坑(随笔记录)
需求:windows server 2016 域控制器,用户终端登录时,能够自动挂载文件共享盘?(脚本使用bat)
e10adc3949ba59abbe56e057f20f883e
1、为用户添加配置文件
2、将配置bat文件拷贝到指定目录下,路径为:“C:\Windows\SYSVOL\sysvol\hdxy.local\scripts”,该路径对应共享路径为“\dc\netlogon”;
3、域控上执行“gpupdate /force”刷新组策略,终端PC上同样执行该命令刷新组策略;
4、终端上注销当前用户,然后使用域用户登录;
注意:
bat脚本文件只能部署在默认的“C:\Windows\SYSVOL\sysvol\hdxy.local\scripts”中,该目录问域控的默认目录;
出现的问题?
坑1:用户登录时,脚本没有执行?
解决:排查发现,由于DNS A记录域控名字太长,所以使用域名访问samba就失败了。(云主机新建时,主机名默认为加密形式名称字符较长,搭建域控时,DNS自动生成的A记录也很长),解决方法,1,修改AD名字短一点;2,在AD的DNS发布一条正向记录。
坑2:在使用 Windows Server 2016 的时候,发现一个问题:登录后无法使用IP地址访问 DC 的 “Sysvol” 和 “Netlogon” 两个文件夹。
例如:访问 “\192.168.0.1\Sysvol” 时,会提示 “拒绝访问”,这个时候如果输入的是域名则可以访问,例如访问 “\DC域名\Sysvol” 则是正常的。
解决:在网上找了一下,说是 Windows 10 开始,默认无法通过 UNC 路径访问 Sysvol 和 Netlogon 共享。运行 “gpedit.msc” 打开组策略,转到 “计算机 → 管理模板 → 网络 → 网络提供程序 → 强化UNC路径”,启用该策略,然后点击 “显示”按钮,将服务器名称(例如 “\DC” )输入到“值名称”。并在“值”字段中输入以下文本“RequireMutualAuthentication = 0,RequireIntegrity = 0,RequirePrivacy = 0”。
PS:
1、此方法应该也适用与 Windows 10
2、我测试的是只需要把服务器名称输入到“值名称”即可,“值”可以保持为空。