如何利用组策略以管理员权限运行脚本?
背景
有些情况下,需要创建组策略(Group Policy)在受管PC上运行脚本,并且,该脚本运行需要有管理员的权限。
微软 AD的组策略提供了这些功能实现该目标。
实现方法
基于计算机的组策略
打开组策略编辑器
在需要应用该组策略的OU上新建GPO
导航"计算机配置"》策略》“Windows设置”》“脚本(启动关机)”
视脚本运行时机选择“启动”或者“关机”
以“启动”脚本为例,点击“添加”,指定需要运行的脚本的路径,填写脚本运行的参数
可以添加多个脚本,并且通过“上移”、“下移”按钮指定脚本的运行先后顺序
基于用户的组策略
如果,策略是基于用户的,那么配置会有差异,具体做法如下:
打开组策略编辑器,导航“用户配置”》“首选项”》“控制面板设置”》“计划任务”
在右边的计划任务空白区域右键,新建》计划任务(至少是Windows7)
给任务命名之后,
也可以将“%LogonDomain%\%LogonUser%”替换为一个有管理员权限的账户
勾选“使用最高权限运行(I)”
点击“触发器”标签页,“新建”按钮,选择在“登录时”运行脚本,并且可以指定以特定用户或者用户组运行脚本
点击“操作”标签页,“新建”按钮
指定运行脚本的位置。
如果时bat脚本,直接在“程序或脚本”处指定脚本位置。
注意:该脚本需要放置到一个可以被PC访问到的共享路径。“程序或脚本”处指定脚本位置举例:\\hsotname\sharefolder\test.bat
如果时powershell脚本,程序或脚本”处指定的时powershell解释器的位置。如下图:
%windir%\System32\WindowsPowerShell\v1.0\powershell.exe
或者:
powershell
注意:该脚本需要放置到一个可以被PC访问到的共享路径。“程序或脚本”处指定脚本位置举例:\\hsotname\sharefolder\test.ps1
点击“确定”后,完成计划任务的创建。