加入域後資源權限更改

整理一下手頭的資源共享給大家，之前做過一些目錄服務規劃的項目，總會有客戶問一些問題，加入域後對客戶端有沒有影響？毫無疑問，安全性的提升是以使用便利性爲條件的，今天先看一個典型的問題。

客戶端存儲在本地D盤  E盤等資源盤的數據文件，加入域後用戶使用Domain Users登錄系統，發現之前的數據只能打開而不能進行編輯了。我們分析一下，造成這種現象的原因，其實很簡單，計算機在加入域之前，使用的是管理員帳戶登錄的，所有資源的建立也是管理員權限，因此，後面的結果大家不得而知。

我們今天要看的是如何解決此類問題，思路如下：

修改D：E：盤符下的文件爲Domain users修改或完全控制即可保障用戶使用的便利性。

具體怎麼去實現？

方法一、單個去改   不靠譜 哈哈
方法二：通過腳本批量更改    靠譜

先準備腳本：
1、PSEXEC.exe 程序
2、XCALS.VBS 準備 （微軟官方）
3、準備Psexec.exe的註冊
4、準備一個權限帳戶 建議DOMAIN ADMINS
5、建立BAT腳本

下面來看一下再BAT中寫什麼：
rem echo off
c:
cd\
del c:\tem? /Q /F
if not exist c:\tempFile\. md tempFile
cd c:\tempFile
if not exist c:\tempFile\psexec.exe copy %Logonserver%\FileScript\psexec.exe c:\tempFile\ /y
copy %Logonserver%\FileScript\xcacls.vbs c:\tempFile\ /y
REGEDIT.EXE /S %logonserver%\FileScript\AcceptPsExec.reg
reg.exe add HKEY_CURRENT_USER\EUDC\936 /v SystemDefaultEUDCFont /t REG_SZ /d s:\EUDC\EUDC.TTE /f

psexec -u doamin\username -p password cscript.exe  c:\tempFile\xcacls.vbs d:\ /g "domain\domain users":f /f /t /e
cscript.exe c:\tempFile\xcacls.vbs e:\ /g "domain\domain users":f /f /t /e
cscript.exe c:\tempFile\xcacls.vbs f:\ /g "domain\domain users":f /f /t
:End

將xcacls.vbs  acceptpsexec.reg  psexec.exe 放置於logonserver\filescript目錄下即可，也可自行進行修改。
將建立好的BAT腳本添加在用戶登錄腳本處即可。

希望可以通過這個腳本，拓寬大家的策略思維。謝謝！