Group Policy ja User Account Control (UAC)

Hiljuti juhtus selline probleem: miskipärast ei võetud kasutajale Group Policy logon skriptiga külge võrguketast.  Täpselt sama juhtus ka siis, kui skripti asemel sai proovitud Group Policy Preferences funktsionaalsust.  Lähemal uurimisel selgus, et võrguketas võetakse külge küll, aga Windows Explorer ei tea sellest midagi.  Edasine uurimine viis KB artiklini, mis tõi asjasse valgust.

Nimelt tuleb välja, et võrguketaste külgevõtmine käib kasutaja mandaadi järgi.  Ja alates Windows Vistast on admin-õigustega kasutajatel (sisselülitatud UAC korral) alati kaks mandaati: üks administraatori õigustega ja teine ilma nendeta.  Ehk siis nagu ülalmainitud artikkel väidab, et kui võtta võrguketas külge admin-õigustes, siis tavaõigustes seda võrguketast näha ei ole.  Ja vastupidi.

Probleem aga on hoopis selles, et sama efekt tekib ka siis, kui võrguketas külge võtta Group Policy abiga.  See viitab sellele, et Group Policy rakendamine toimub arvutis enne, kui admin-õigustega kasutajale luuakse ilma admin-õigusteta mandaat ning käivitatakse töölaud.  Kes teab, mis seal veel võib tegemata jääda või vale mandaadi küljes olla…

Et asi veel keerulisem oleks, tuli välja, et kui Group Policy rakendamisel kasutati loopback processing režiimi, siis tulid võrgukettad kasutajale külge.  Seega rakendatakse loopback processing režiimis juba käivitatud töölaua seest (ehk siis mitte-admin õigustes).

Ülalmainitud artikkel väidab, et probleem esineb Windows Vista sees.  Tegelikult ilmneb see ka Server 2008 ja 2008 R2 (seega ka Windows 7) sees.  Ning väidetavasti on sama mure veel ka Windows 8 sees.  Nii et kui võrguketaste külgevõtmisega on probleeme, siis tasub otsida abi ülaltoodud artikli soovitustest.

Advertisements