Questions tagged «group-policy»

我们在服务器上运行着一套Windows服务，它们相互独立执行一堆自动化任务，但一个服务负责其他服务。 如果其中一项服务无法响应或挂起，则该服务将尝试重新启动服务，如果在尝试过程中引发异常，则将电子邮件发送给支持团队，以便他们可以自己重新启动服务。 经过一些研究，我遇到了一些“解决方案”，从KB907460中提到的解决方法到提供服务运行管理员权限的帐户。 我对这两种方法都不满意-我不了解Microsoft知识库文章中概述的第一种方法的后果，但我绝对不希望授予管理员访问运行该服务的帐户的权限。 我快速浏览了“本地安全策略”，除了定义帐户是否可以作为服务登录的策略之外，我看不到其他任何类似于服务的内容。 我们正在Server 2003和Server 2008上运行此程序，因此任何想法或指针都将受到欢迎！ 澄清：我不想授予给定用户或组启动/停止/重新启动所有服务的功能-我希望授予给定用户或组仅对特定服务的执行权限。 进一步说明：我需要授予这些权限的服务器不属于域-它们是两个面向Internet的服务器，它们接收文件，对其进行处理并将它们发送给第三方，以及为几个网站提供服务，因此Active Directory组策略是不可能的。抱歉，我没有说清楚。

61 windows  permissions  group-policy  security  windows-service 

我在哪里可以禁用域的密码复杂性策略？ 我已经登录到域控制器（Windows Server 2008），并在本地策略中找到了该选项，该选项当然不能进行任何更改。但是，我在组策略管理器中找不到相同类型的策略。我必须扩展哪些节点才能找到它？

46 windows-server-2008  active-directory  group-policy  password 

我正在尝试通过Active Directory中的组策略部署MSI。但是这些是我登录后在系统事件日志中遇到的错误： 通过策略安装分配应用程序XStandard失败。 错误是：%% 1274 从策略安装中删除应用程序XStandard的分配失败。错误是：%% 2 无法将更改应用于软件安装设置。通过组策略为该用户部署的软件的安装已延迟到下一次登录，因为必须在用户登录之前应用所做的更改。错误是：%% 1274 组策略客户端扩展软件安装无法应用一项或多项设置，因为必须在系统启动或用户登录之前处理更改。系统将等待组策略处理完全完成之后才能再次启动该用户或登录该用户，这可能会导致启动和引导性能降低。 当我重新启动并再次登录时，我仅会收到有关需要在下次登录之前执行更新的相同消息。我正在使用Windows Vista 32位笔记本电脑。我对于通过组策略进行部署还很陌生，那么还有哪些其他信息可以帮助您确定问题呢？我尝试了具有相同结果的其他MSI。登录到计算机后，我可以使用命令行和msiexec来安装MSI，因此我知道MSI至少可以正常工作。

40 active-directory  group-policy  msi 

我公司为基于服务器的产品分发Windows Installer。根据最佳实践，它使用证书进行签名。根据Microsoft的建议，我们使用GlobalSign代码签名证书，Microsoft声称默认情况下所有Windows Server版本都可以识别该证书。 现在，除非已使用组策略配置服务器，否则所有方法都将正常工作：计算机配置/管理模板/系统/ Internet通信管理/ Internet通信设置/将自动根证书更新关闭为启用。 我们发现我们的早期Beta测试人员之一正在使用此配置运行，导致在安装过程中出现以下错误 机柜文件[cab文件的长路径]具有无效的数字签名，因此无法安装所需的文件。这可能表明橱柜文件已损坏。 毕竟没有人能够解释为什么系统是这样配置的，所以我们把这记为一个奇怪的例子。但是，既然该软件已经可以用于一般用途，则似乎两位数（百分比）的客户都使用此设置进行了配置，没有人知道原因。许多人都不愿意更改设置。 我们已经为客户写了一篇知识库文章，但是我们真的不希望这个问题发生，因为我们实际上在乎客户体验。 我们在调查时注意到了一些事情： 全新的Windows Server安装未在受信任的根颁发机构列表中显示Globalsign证书。 如果Windows Server未连接到Internet，则可以正常安装我们的软件。在安装结束时，会显示Globalsign证书（不是我们导入的）。Windows在后台显示首次使用时透明安装。 所以，这又是我的问题。为什么禁用根证书更新如此常见？再次启用更新的潜在副作用是什么？我想确保我们可以为客户提供适当的指导。

40 windows  group-policy  certificate 

这是有关Active Directory组策略基础的规范问题 什么是组策略？它如何运作？为什么要使用它？ 注意：这是对新管理员的问答，可能不熟悉它的功能和功能。

31 windows  active-directory  group-policy 

我正在尝试在Windows Server 2012计算机上安装MSI，这是我的实验室域的一部分。我是本地和域管理员，但似乎无法安装此MSI。 为了澄清起见，当尝试为作为管理员组一部分的域用户登录的Visual Studio（位于此处）安装git扩展时，出现以下错误 报告错误的计算机是Windows Server 2012。 我几乎可以肯定这一定是某种组策略限制？除非它是默认的安全级别，否则将不会设置任何内容？ 为了澄清起见，我想知道是什么导致域管理员无法安装此MSI？

28 windows  group-policy  windows-server-2012 

我正在尝试提供一些特殊情况的笔记本电脑。我想创建一个本地访客帐户。很好，但是当我尝试创建它时，我提示我的访客密码不符合复杂性要求。 我尝试编辑本地安全策略以更改复杂性，但这是灰色的。是否可以用本地替代域策略？ 是的，我知道我可以选择更长的密码，但这不是重点。我想知道如何在以后需要的时候改写域策略。

24 windows  active-directory  group-policy 

我们的一位远程Windows 7 Professional用户刚刚报告说，他收到了Windows 10的升级预订优惠。看来，在他的系统托盘中运行的“获取Windows 10“ App”是合法的。到目前为止，这似乎只是打击了未加入域的设备。 除了卸载/隐藏启用升级的Windows Update以外，有什么方法可以禁用升级应用程序（当然还有升级本身）吗？

22 windows  windows-7  group-policy  windows-10 

我在高等教育方面做了大量工作，在一个特定的课程或活动期间，重新配置许多Windows域成员（例如，教室中的PC）是一个相当普遍的要求，然后取消此配置。 由于我们要求执行的大多数配置更改都可以通过组策略对象完成，并且当在OU级别取消链接或禁用GPO时，这些更改会自动撤消，这是一条非常舒适的方法。 唯一的缺点是，在OU上重复手动链接和取消链接GPO会在课程开始之前和结束之后需要大量提醒和IT人员值班-这是操作团队无法始终保证的。 有没有一种方法可以为特定GPO的有效性指定时间范围？

22 active-directory  group-policy 

我有Windows Server 2012 R2域。 昨天，计算机（正在运行Windows 10 Pro）的网络驱动器停止工作。 经过进一步调查（gpresult /h），似乎所有组策略对象均因故障而失败Inaccessible, Empty, or Disabled。 我已经确认所有GPO仍然存在，并且在（冗余和本地）域控制器上均已启用。此外，同一域和LAN上还有20台其他计算机，完全没有问题。 但是，我测试过的另一台计算机也出现了同样的问题！这是否意味着问题出在服务器上？ gpresult /r报告一个客户端从本地DC1获取GPO，另一个从DC2获取。因此，这不是与特定DC相关的问题。 gpupdate /force 修复任何问题（尽管它声称已应用了策略）。 我尝试删除本地策略的注册表项（按照本指南/superuser/379908/how-to-clear-or-remove-domain-applied-group-policy-settings-after-leaving-the -do）和重新启动-同样的问题。 我从Microsoft（https://support.microsoft.com/en-us/kb/2976965）找到了此支持页面，但是它声称它仅适用于Windows 7或更早版本的客户端。 我所有的机器（服务器和客户端）都运行64位版本，并且已完全更新。为确保确定，我已经重新启动了所有它们。

16 active-directory  group-policy  windows-server-2012-r2  windows-10 

我需要通过GPO为整个域设置默认主页。IE主页策略在哪里？

16 group-policy  internet-explorer 

我发现大多数用户都忽略了WSUS推出的“已经准备好安装更新，请单击此处安装”消息。到目前为止，我们还没有强制安装，但是我正在考虑更改组策略以每晚强制执行更新。有时这需要重新启动，我也想通过GP强制重新启动。 我知道会有用户的回击，但我想知道这是否是可以辩护的最佳做法。确保PC是最新的并且安全，这似乎是正确的做法。

16 group-policy  windows-update  wsus 

就像我猜想的那样，我们有一个Windows / Active Directory环境以及许多需要Java的内部业务应用程序。我们的经验是Java在这样的公司网络环境中不能很好地发挥作用。初始安装很好（至少现在有MSI），但要保持正常运转可能是个挑战。 我们遇到的具体问题包括： Java有它自己的更新程序，因此不与我们的内部补丁程序管理系统绑定。 缺少用于通过GPO管理Java设置的任何工具。 用户手动配置某些设置的要求。 每台计算机上都有多个Java运行时（此处是Oracle Jinitiator的特殊原因）。 关键设置文件存储在Program Files文件夹下。 与我们一起主要是一批登录脚本和棘手的变通办法，但是我很想听听其他人如何处理这些项目，以及是否还有其他需要注意的地方。

16 windows  active-directory  java  group-policy 

我不确定该功能到底叫什么。但是在Windows Server 2008中，它具有Vista Public / Private / Domain位置。这对于笔记本电脑来说是有意义的，而对于服务器而言则毫无意义。 我的问题是，有时某些网络适配器会决定它们现在位于公共网络上。即使对于“域”网络，这也将完全激活防火墙。因此，最终的结果是，我重新启动了一些计算机，然后它们再也没有回到网络，直到我们将KVM插入并告诉它该网络是私有的。 此功能的名称是什么？是否可以使用GP设置将其关闭并使所有网络都成为“域”？ 编辑：谢谢，这就是NLA。我尝试在非域计算机上禁用该服务，这只会使所有内容公开。在域计算机上，网络列表服务拒绝停止-我将尝试组策略。

16 windows  windows-server-2008  networking  firewall  group-policy 

有没有办法禁用通知区域中显示的警告，告诉您Windows防火墙已禁用？ 编辑：我们特别希望通过组策略而非手动过程来实现这一目标。 我们通过GPO禁用了域防火墙配置文件，这意味着Windows 10计算机会不断在此通知区域中发出警告通知。这会生成用户呼叫，询问警告内容。我们知道它已被禁用，因此要禁止显示警告。

16 group-policy  windows-10  windows-firewall  notification