Я создал бы GP, чтобы воссоздать доли с помощью сценария начальной загрузки или просто добавить следующее к пользовательским сценариям входа в систему. Может потребовать, чтобы у пользователя были локальные права администратора на wkstn.
Сетевой Admin$ использования
Не уверенный, если это будет работать с долей C$.
Если зарегистрированный пользователь должен быть локальным администратором затем, можно сделать это временно через GP:
Создайте AD Группу по имени Local_Wkstn_Admins
Добавьте всех пользователей той группе в AD Используя сценарий начальной загрузки через GP, добавьте группу Local_Wkstn_Admins к группе локальных администраторов.
После 24-48 часов затем любой удаляет Local_Wkstn_Admins из Группы локальных администраторов и/или удаляет всех пользователей из AD группы Local_Wkstn_Admins.
Выше не идеальная безопасность, но способ сделать его!
В итоге я изменил настройку, поэтому вопрос больше не актуален.
Однако я подумал, что вам нужно убедиться, что ядро настроено для пересылки пакетов IPv6 для всех устройств.
Вы уверены, что проблема в клиенте, а не на сервере? Клиентские маршруты выглядят нормально. Достигает ли трасса маршрута к ipv6.google.com 2001: 470: yyyy: zzzz :: 1? Если это так, то трафик IPv6 использует VPN в качестве шлюза по умолчанию, и все ваши клиентские маршруты настроены.
Я думаю, что проблема может быть в пересылке пакетов между tap0 и he-ipv6 на сервере. Я не очень знаком с OpenVPN, но обычно такие вещи контролируются политиками в дополнение к таблице маршрутизации.
Я думаю, что OpenVPN использует iptables, поэтому для разрешения пересылки в обоих направлениях между двумя интерфейсами ipv6 потребуется что-то вроде этого.
iptables -I FORWARD -i tap0 -o he-ipv6 -j ACCEPT
iptables -I FORWARD -i he-ipv6 -o tap0 -j ACCEPT