最近因为要导一些软件所以用bat来做GPO派送
bat手动点了是可以正常执行的
但因为电脑都有降权限，
目前观察到部分没降权限的电脑就能正常利用派送到的bat安装
已经降了的电脑就变成有派但装失败
bat内容大概是 \\servername\Software\setup.exe 这样
GPO设成 \\servername\deploy\install.bat 像这样
看log或gpresult都是有派送纪录
AD则是用Windows Server 2016
安装失败的机器Win 7/Win 10都有
请教各位先进该如何解决，谢谢！

另外一个作法是用 autoit 把 setup.exe 包起来，然后autoit 可以存放管理者帐密，再重新打包成 .exe 档https://goo.gl/1wKju9

runas不能把密码也包进去，也是个困扰的点

为什么不直接派送setup.exe

gpo 派送一般是用 .msi 比较容易成功

派送在电脑端还是使用者端？

放软件的资料夹 把authenticated users加到权限中给Read权限就好

gpo 用最高权限在派... 不是这样的这个问题不是没有派送成功 而是缺少权限无法进行安装

使用者帐户设定看有没有关掉先...

bat 要用 privilege 跑

如果user是本机admin就可以 问题是这样作等于没管理

原则要用gpo派发，还是msi最简单。你的gpo+bat效果只有“ad叫你执行这个exe”，权限还是该user的等级而且gpo限制也很多，不能程式有互动、档案类型等等推荐cpau，目前使用到现在最满意。

那就是你根本搞错 那就没有讨论意义。该作的是除错

都用到批次档了，为何不再批次上追加runas？直接指令上强行用特定权限下去设定就好了

会不会是share那边的权限让使用者进不去再检查看看吧 目前原po给的坏境资讯太少 无法判断也有可能是exe需要引导 没人点自动time out基本上套用在机器层都可先忽略管理权限 套在使用者层才有差

Powershell+启WIN RM服务