（參加原帖熱烈的討論 http://www.winmag.com.cn/forum/itemdisplay.asp?boardid=24&id=393362）

 

回答：

1、bat可以作為登陸腳本執(zhí)行，確切說(shuō)一切可以在windows平臺(tái)執(zhí)行的東西都可以作為登陸腳本來(lái)用。
2、應(yīng)該指定以\\server\……這樣格式開(kāi)頭的路徑。因?yàn)閏lient在登陸的時(shí)候執(zhí)行腳本，其實(shí)是從服務(wù)器上下載到本地，然后執(zhí)行。這樣的話，如果指定c:\這樣的路徑，client只會(huì)在本地的c盤(pán)查找，而不是到server上的路徑去查找。
3、腳本可以放在一切client能夠讀取的位置。通常這個(gè)位置處于\\server\netlogon的share下（在服務(wù)器上的位置是%systemroot%\sysvol\sysvol\domainname\scripts），但是如果你制訂了策略，那么腳本默認(rèn)的存放路徑應(yīng)該在%systemroot%\sysvol\sysvol\domainname\policies\guid\user(machine)\scripts下，如果你放在別的位置，需要在腳本執(zhí)行欄的位置輸入絕對(duì)路徑，格式同樣需要以\\server\……開(kāi)頭。
4、其他的問(wèn)題也很多了，一般來(lái)說(shuō)就是腳本適用于策略的時(shí)候，客戶(hù)端可能會(huì)執(zhí)行不到。
一般來(lái)說(shuō)可能會(huì)有一下的幾個(gè)原因：
a、腳本從名稱(chēng)到內(nèi)容都盡可能的不要用特殊字符、長(zhǎng)文件名（超過(guò)8個(gè)字符）、空格，比如&等。這樣的腳本在不同的os上可能執(zhí)行會(huì)有問(wèn)題。

b、腳本存放的位置和路徑，請(qǐng)遵照上面的原則來(lái)做。

c、腳本的編寫(xiě)方面。特別是適用net use 來(lái)map一個(gè)fileserver上的路徑。有可能在登陸之前，client上已經(jīng)有網(wǎng)絡(luò)盤(pán)的映射，如果恰好和你map的盤(pán)符一樣，將有可能導(dǎo)致腳本執(zhí)行失敗，你可以在腳本的最前面加一句net use * /d /y來(lái)解決這個(gè)問(wèn)題。
不過(guò)這個(gè)命令要慎用，在實(shí)際生產(chǎn)環(huán)境中，如果你的fileserver是非wintel平臺(tái)的storage，響應(yīng)時(shí)間較長(zhǎng)，那么可能導(dǎo)致用戶(hù)重新登陸時(shí)，無(wú)法連接fileserver上的sharefolder，可以用一句if exist來(lái)判斷網(wǎng)絡(luò)盤(pán)是否存在。
另外一個(gè)方面，如果遠(yuǎn)程設(shè)備是一些跨平臺(tái)的存儲(chǔ)設(shè)備，比如一些nas、san等，map到windows平臺(tái)的時(shí)候可能會(huì)提示“網(wǎng)絡(luò)路徑無(wú)法連接”等問(wèn)題，可以相互更換map \\server_netbios_name或者map \\server_ipaddress兩種方式來(lái)嘗試連接。
如果遇到權(quán)限問(wèn)題，那么按照共享權(quán)限和安全權(quán)限沖突時(shí)取最小值的原則，一般來(lái)講可以將共享權(quán)限設(shè)置為full control，然后安全權(quán)限做嚴(yán)格設(shè)定的辦法來(lái)解決。

 

d、“配置文件路經(jīng)”和“登陸腳本路徑”、“主文件夾”

朋友們?cè)诔醮卧O(shè)置域賬戶(hù)腳本的時(shí)候，可能對(duì)于這三個(gè)概念有些模糊，難以區(qū)分，這里說(shuō)明一下：

①使用組策略，在用戶(hù)登錄腳本的的地方編輯一個(gè)cmd等，使用諸如net use的方式就可以map一個(gè)網(wǎng)絡(luò)盤(pán)符了。
②“配制文件路徑”是指用戶(hù)profile所處的位置，通常在%userprofile%
“登錄腳本路徑”是指用戶(hù)登錄到服務(wù)器時(shí)，執(zhí)行的腳本所處的位置，通常默認(rèn)路徑位于
服務(wù)器上的netlogon下，如果制定策略中使用腳本，默認(rèn)的路徑應(yīng)該在gpo 的guid下的user或者computer下的scripts，如果置于其他位置，需要手動(dòng)指定完全路徑。
③“主文件夾”是指用戶(hù)在fileserver上的個(gè)人主目錄，這個(gè)概念沒(méi)有絕對(duì)的位置。需要你手動(dòng)指定路徑，不過(guò)在這里寫(xiě)入和在腳本中寫(xiě)入的不同，在于系統(tǒng)會(huì)根據(jù)你寫(xiě)入的路徑，自動(dòng)創(chuàng)建文件夾，并為該用戶(hù)分配權(quán)限，該文件夾的owner屬于該用戶(hù)。這里可以使用%username%的變量，讓系統(tǒng)自行完成。當(dāng)然在指定了 主目錄后，你仍然可以訪問(wèn)其他有權(quán)限使用的資源。

e、關(guān)于策略的執(zhí)行順序是本機(jī)、站點(diǎn)、域、ou、子ou。如果有設(shè)置上的重復(fù)，按照?qǐng)?zhí)行的順序，后面的設(shè)置將會(huì)覆蓋前面的設(shè)置。
如果在ou上設(shè)置“block policy inheritance”，那么上層的策略將不會(huì)在這一層獲得執(zhí)行。
如果在ou上設(shè)置“No override”，那么這一層將不會(huì)被后面的策略設(shè)置覆蓋，也就是說(shuō)即使后面有相同的設(shè)置，仍然以這一層的設(shè)置為準(zhǔn)。
如果在ou上設(shè)置“disabled”，那么這個(gè)策略將會(huì)被禁止執(zhí)行。

如果在策略的properties  security上取消了對(duì)應(yīng)的組的read和apply group policy，那么對(duì)應(yīng)的組將會(huì)無(wú)法應(yīng)用到策略。通常默認(rèn)被應(yīng)用的組有authenticated user。
如果你取消了該組的兩個(gè)權(quán)限，然后add其他組，同樣賦予read和apply group policy的話，此策略將只會(huì)被該組執(zhí)行到，這也就是所謂的filter。

如果你的域中有多臺(tái)dc，可能需要在dssite.msc中手動(dòng)同步它們。
你也可以在服務(wù)器上使用secedit /refreshpolicy user_policy（machine_policy） /enforce 來(lái)強(qiáng)制刷新策略
這樣的辦法同樣適用于client。

f、執(zhí)行的腳本，可以放在computer configuration和user configuration中執(zhí)行。
對(duì)于user，通?？梢苑胖酶挠脩?hù)屬性的東西。
對(duì)于computer，通?？梢苑胖酶挠?jì)算機(jī)屬性的東西。
這兩個(gè)沒(méi)有絕對(duì)界限，但通常登陸的時(shí)候，都屬于domain users成員，這樣如果需要更改注冊(cè)表或系統(tǒng)文件之類(lèi)的，可能會(huì)遇到權(quán)限問(wèn)題，那么我們也可以把這樣的腳本放在computer中，這樣可以在user登陸之前獲得執(zhí)行。
（這里順帶說(shuō)一句：大家很少用到計(jì)算機(jī)賬戶(hù)吧，那么計(jì)算機(jī)賬戶(hù)的作用在這里可以得到體現(xiàn)，由于此時(shí)還沒(méi)有用戶(hù)賬戶(hù)驗(yàn)證，計(jì)算機(jī)賬戶(hù)和dc的驗(yàn)證有一方面來(lái)源于本地計(jì)算機(jī)賬戶(hù)和dc之間保持一個(gè)密碼同步，以便于在這種特殊的情況下獲得驗(yàn)證，該密碼默認(rèn)30天變更一次。
你甚至可以在sharefolder上添加計(jì)算機(jī)賬戶(hù)的權(quán)限：）如果由于dns對(duì)應(yīng)或者其他的一些原因，導(dǎo)致這個(gè)密碼無(wú)法同步，dc將會(huì)無(wú)法驗(yàn)證該計(jì)算機(jī)賬戶(hù)，這可能會(huì)導(dǎo)致計(jì)算機(jī)登陸腳本無(wú)法執(zhí)行。在dc的日志上一般都會(huì)給出一個(gè)錯(cuò)誤提示，ComputerNetbiosName$無(wú)法存取。解決的辦法，可以通過(guò)在客戶(hù)端上執(zhí)行netdom重置該信任關(guān)系，這是另話了。）
對(duì)于user的設(shè)定，只需要登出然后登入即可獲得腳本的應(yīng)用。
對(duì)于computer的設(shè)定，則需要重新啟動(dòng)機(jī)器來(lái)獲得腳本的執(zhí)行。

注：從上面的幾點(diǎn)中，大家可以看到計(jì)算機(jī)在登陸的時(shí)候需要通過(guò)dns來(lái)定位dc，從而定位
定位gpo，sysvol（策略、腳本、管理模板都存放在這里），dns對(duì)于ad的設(shè)置是至關(guān)重要
的，一般來(lái)說(shuō)可以這樣設(shè)置，將客戶(hù)端的dns指向dc（如果dc上是雙網(wǎng)卡的話，那么指向內(nèi)部
網(wǎng)卡dns），然后在dc上設(shè)置轉(zhuǎn)發(fā)，forward到外部（isp）dns。

上面只是就一些常見(jiàn)的問(wèn)題做簡(jiǎn)要介紹，如果遇到更為復(fù)雜的問(wèn)題，就需要查閱其他資料來(lái)解決了。

 

關(guān)于大家平時(shí)遇到的問(wèn)題，都整理成faq放在下面

 

FAQ：

 

★看了你給的配置過(guò)程鏈接：http://www.winmag.com.cn/forum/itemdisplay.asp?boardid=24&id=393362但運(yùn)行還是出錯(cuò)？
我的配置過(guò)程如下：
1、制作腳本文件config.bat并拷貝至域控制器服務(wù)器下的sysvol\sysvol\scripts目錄下
   該腳本文件用 net use z: \\linux_file\share 命令
2、配置“配制文件路徑”：路徑指向：\\nwf_sav(域控制服務(wù)器名）\netlogon
   配置“登錄腳本路徑”： config.bat
3、在客戶(hù)機(jī)注銷(xiāo)重新登陸時(shí)出現(xiàn)以下窗口：但未能將共享文件夾映射為Z盤(pán)。

 

（參與原帖熱烈的討論 http://www.winmag.com.cn/forum/itemdisplay.asp?boardid=24&id=509835）

 

回答：一般腳本的存放位置有兩種觀點(diǎn)：
1、將登陸腳本放在\\server\netlogon下（在dc上的物理路徑是 %systemroot%\SYSVOL\sysvol\domainname\SCRIPTS ，而不是 sysvol\sysvol\scripts）
在設(shè)置賬戶(hù)屬性中登陸指令檔的時(shí)候，此時(shí)是登陸域的時(shí)候默認(rèn)尋找登陸腳本的位置
如果需要修改該腳本，需要手動(dòng)定位到上面的路徑，
優(yōu)點(diǎn)是腳本集中放置


2、將登陸腳本放在策略gpo所處的路徑下（在dc上的物理路徑類(lèi)似于這樣
\\domainname\SysVol\domainname\Policies\{142B4268-9574-471F-9F7F-9AA04836F57F}\User\Scripts\Logon，這里一長(zhǎng)串的數(shù)字是gpo的guid，用來(lái)唯一的標(biāo)識(shí)這個(gè)對(duì)象，
可以通過(guò)查詢(xún)?cè)摬呗缘膶傩?，?lái)察看該guid）
在設(shè)置策略中登入指令檔的時(shí)候，此時(shí)是登陸域的時(shí)候默認(rèn)尋找登陸腳本的位置
如果需要修改該腳本，可以點(diǎn)擊下方的“顯示檔案”
優(yōu)點(diǎn)是和策略關(guān)聯(lián)性強(qiáng)，編輯查找方便


無(wú)論用哪種方法，如果腳本放置在默認(rèn)的查詢(xún)路徑，指定登陸檔的時(shí)候就不用寫(xiě)路徑
如果不是，就需要填寫(xiě)完整路徑，當(dāng)然這個(gè)路徑需要對(duì)于client可用，也就是說(shuō)
不能填寫(xiě)諸如 c:\winnt\sysvol\sysvol 這樣的路徑，否則client在登陸的時(shí)候，只會(huì)
在自己的機(jī)器上 c:\winnt\sysvol\sysvol 查找腳本，顯然是找不到的，因?yàn)槟_本
是下載到本地執(zhí)行的。

那么我們先看看腳本是否能夠在client上正確執(zhí)行，
在client上 winkey+r，然后填入腳本的路徑，比如 \\servername\netlogon\config.bat
執(zhí)行一下，是否能夠等到正確的結(jié)果？

然后察看上面的位置中指定的路徑是否正確

如果是通過(guò)策略指定的登陸腳本，我們?cè)儆?nbsp;gpresult /v ，察看一下client是否應(yīng)用到了
您制定的策略，如果沒(méi)有就要考慮使用 dssite.msc 手動(dòng)同步域中的所有dc，然后
secedit /refreshpolicy user_policy （machine_policy）/enforce 強(qiáng)制刷新策略，
然后client重新登陸或者重新啟動(dòng)一下（這取決于您制訂的是用戶(hù)登陸腳本還是計(jì)算機(jī)登陸腳本） 

如果還是不行，那么在早先的那篇文章有提到，
有可能是由于本地已經(jīng)map 了同樣盤(pán)符的盤(pán)，導(dǎo)致沖突
有可能是由于map的共享路徑權(quán)限設(shè)置錯(cuò)誤，常見(jiàn)的是共享權(quán)限的設(shè)置問(wèn)題
有可能是由于map的共享是跨平臺(tái)的存儲(chǔ)設(shè)備或者格式，它們可能不能在登陸時(shí)在系統(tǒng)要求的
時(shí)間內(nèi)響應(yīng)，這導(dǎo)致系統(tǒng)認(rèn)為該資源超時(shí)連接，不可用。您可以嘗試更換netbios名稱(chēng)或者ip
看看是否有所改善。

如果您還有問(wèn)題，歡迎您繼續(xù)討論！
這個(gè)faq，我將同步更新在 
http://www.winmag.com.cn/forum/itemdisplay.asp?boardid=24&id=393362

同時(shí)，您也可以參考 《HOW TO：在 Windows 2000 中分配腳本》http://support.microsoft.com/kb/322241/zh-cn