Questions tagged «group-policy»

背景研究 老实说，我相信这样的问题：在Active Directory域中使用GPO强制工作站禁用Windows防火墙-如何？之所以存在，是因为Windows管理员通常早就被教导： “与域计算机打交道时，最简单的事情就是在域上仅具有一个GPO来禁用Windows防火墙……最终，这将使您的心痛减轻很多。” -过去几年中的随机IT讲师/导师 我也可以说，在MOST公司，我已经做了这种辅助工作，其中GPO至少禁用了域配置文件的Windows防火墙，而WORST也禁用了公共配置文件的Windows防火墙。 更进一步，有些服务器将禁用它本身：通过GPO禁用Windows Server 2008 R2上所有网络配置文件的防火墙 WINDOWS防火墙上的Microsoft Technet文章建议您不要禁用Windows防火墙： 因为具有高级安全性的Windows防火墙在帮助保护您的计算机免受安全威胁方面起着重要的作用，所以我们建议您不要禁用它，除非您从信誉良好的供应商处安装另一个提供等效保护级别的防火墙。 这个ServerFault问题提出了一个真正的问题：是否可以使用组策略关闭LAN中的防火墙？-甚至这里的专家也有不同的看法。 并且了解我不是在指禁用/启用服务：如何备份不禁用Windows防火墙服务的建议？-为了清楚起见，这与防火墙服务是启用还是禁用防火墙有关。 手头的问题 因此，我回到这个问题的标题... 该如何做才能在域上正确重新启用Windows防火墙？ 专门用于客户端工作站及其域配置文件。 在简单地将GPO从“禁用”切换为“启用”之前，应采取哪些计划步骤来确保翻转开关不会导致关键的客户端/服务器应用程序，允许的流量等突然失效？ 大多数地方在这里不会容忍“更改它，看看谁叫帮助台”的心态。 Microsoft是否可以使用清单/实用程序/程序来处理这种情况？您自己曾经遇到过这种情况吗？如何处理？

15 group-policy  windows-firewall 

IE10实现了WebCache，这似乎是处理Internet临时文件的新方法。 它的位置是C：\ Users \\ AppData \ Local \ Microsoft \ Windows \ WebCache 在我的情况下，我们有一台终端服务器，其用户配置文件限制为15MB的磁盘空间，在安装IE10之前，这已经足够了。新的WebCache文件夹将所需的磁盘空间量增加了近500％，而空间又很便宜，但是存在技术限制，要求将配额设置得较低。 我研究了组策略设置，并且有很多特定于IE10的订单项。需要注意的两项是“允许网站在客户端计算机上存储索引数据库”和“允许网站在客户端计算机上存储应用程序缓存”，我都将其设置为禁用。但是，随着继续重新创建WebCache文件，这些项目似乎引用了其他内容。 尽管我所读到的一些事件在控制此WebCache文件夹的大小方面存在类似的麻烦，但在互联网上似乎没有很多关于此问题的讨论。 到目前为止，似乎唯一可行的方法是撤消用户访问WebCache文件夹的权限。尽管此方法有效，但与我认为是推荐的解决方案相距甚远。 是否有人对我如何限制WebCache的文件大小或如何通过GPO阻止它一起存在有任何见解？

15 group-policy  internet-explorer 

我运行计算机网络，我想强制执行一个GPO，该GPO在预定义的空闲时间后锁定屏幕。我找不到此设置，只能找到屏幕保护程序的空闲时间设置，如何完成注销屏幕？ 谢谢。

15 windows  group-policy 

Windows 8 / 8.1 / 10具有此功能，称为“快速启动”（或“快速启动”，“混合状态”，“混合关闭”等），当您告诉您时，它实际上并未关闭计算机。这样做是为了避免启动，而是将其置于某种休眠状态。 尽管乍看之下似乎不错，但它有几个已知且丑陋的副作用： 它可能会严重破坏某些系统（可能是在使用旧的/不兼容的驱动程序或BIOS时），从而导致系统在启动时崩溃并随后被强制完全启动（我在多个不同的系统上亲眼目睹...如果运气好，您还使用了镜像动态磁盘，在系统崩溃后，该磁盘将始终进行完全重新同步）。 它确实地狱一些组策略，这需要一个实际的系统重新启动，以应用的处理。 最后但并非最不重要的一点是，众所周知，它使“网络唤醒”无法使用。这是我将几台Windows 7 PC的Windows 10升级到Windows 10后所面临的问题，这些Windows 7 PC过去经常使用WOL，现在不再使用了。 由于这些和其他原因，我希望能够使用组策略来管理快速启动；但是，我能找到的关于this（Computer Configuration\Policies\Administrative Templates\System\Shutdown\Require use of fast startup）的唯一策略只能用于强制使用“快速启动”，而不能禁用它：其描述明确指出if you disable or do not configure this policy setting, the local setting is used。 因此，我的问题是：如何使用组策略禁用快速启动？

14 group-policy  windows-10  windows-8.1  windows-8  wake-on-lan 

我已经通过组策略应用了多个Internet Explorer设置。特别是“站点到区域分配”设置中的一长串URL。但是，即使分配给“受信任的区域”，似乎一个URL仍属于“互联网区域”。 在早期版本的Internet Explorer中，可以轻松地从状态栏中确定URL属于哪个区域。如何通过IE11完成此操作？我是否忽略了明显的东西？

14 group-policy  internet-explorer 

每当我运行的组策略结果向导，然后选择一个域控制器为目标计算机，摘要显示BUILTIN\Administrators在列表中的“安全组成员时，组策略应用”计算机配置下，如下图所示： （省略了域，用户和计算机名称） 由于域控制器不是管理员的成员（至少不是我在ADUC中看到的），所以我的问题很简单，为什么？ 域控制器实际上是Administrators组的成员，还是GPResults错误（以及原因）？

14 windows-server-2008  active-directory  group-policy  domain-controller 

我遇到的基本问题是，我的CA中有超过100,000个无用的机器证书，并且我想删除它们，而不删除所有证书，或者花时间使服务器前移，并使一些有用的证书失效那里。 这是由于我们的企业根CA（2008 R2）接受了几个默认值，并使用GPO来自动注册客户端计算机的证书以允许802.1x对我们的公司无线网络进行身份验证。 事实证明，默认设置Computer (Machine) Certificate Template将很乐意允许计算机重新注册，而不是指示它们使用已经拥有的证书。对于希望将证书颁发机构用作每次重新启动工作站的日志的家伙（我）来说，这会带来很多问题。 （侧面的滚动条在说谎，如果将其拖动到底部，屏幕将暂停并加载接下来的几十个证书。） 有谁知道如何从Windows Server 2008R2 CA 删除 100,000个时间有效的现有证书？ 现在，当我现在删除证书时，出现一个错误，因为它仍然有效，因此无法删除。因此，理想情况下，某种方式可以暂时绕过该错误，因为Mark Henderson提供了一种方法，可以在清除障碍后使用脚本删除证书。 （取消它们不是一种选择，因为将它们移动到Revoked Certificates，我们需要能够查看它们，也不能将它们从已撤消的“文件夹”中删除。） 更新： 我尝试了@MarkHenderson链接的网站，该网站很有希望，并且提供了更好的证书可管理性，但是还远远不够。在我看来，证书似乎仍然是“时间有效的”（尚未过期），因此CA不想让它们从存在中删除，这也适用于已撤销的证书，因此，撤销全部删除，然后将其删除也不起作用。 我也在我的Google-Fu上找到了这个technet博客，但不幸的是，他们似乎只需要删除大量的证书申请，而不必删除实际的证书。 最终，暂时让CA向前发展，以便我想摆脱的证书到期，因此可以使用站点上的工具将其删除标记链接不是一个好选择，因为我们使用的许多有效证书都将到期必须手动发布。因此，这是比重建CA更好的选择，但不是一个很好的选择。

14 windows  active-directory  windows-server-2008-r2  group-policy  certificate-authority 

我正在考虑通过GPSI部署某些软件，并且该软件的当前版本以.exe形式分发，因此我需要将其转换为MSI文件。 此外，为什么MS仍将其某些软件（WMI工具）作为.exe分发

14 windows  group-policy  wmi  msi  application-packaging 

尽管似乎有三个可用选项，其中之一实际上是安全的，但似乎只有两个可用选项将能够影响更改时未开机或移动且不在网络上的计算机在更改时。两者似乎都不是安全的选择。我知道的三个选项是： .vbs的启动脚本 使用组策略首选项的GPO Powershell脚本作为计划任务。 我拒绝了Powershell选项，因为我不知道如何有效地定位/迭代并消除已经更改的计算机，网络上的所有计算机以及对不必要的网络开销有什么影响，即使它可能是最佳的可用解决方案因为可以将密码本身存储在CipherSafe.NET（第三方解决方案）容器中，并将密码传递给脚本到目标计算机。我没有检查过Powershell是否可以从本地Windows计算机的凭据管理器中获取密码以在脚本中使用，或者是否可以在其中存储密码以供脚本使用。 .vbs脚本选项不安全，因为密码以明文形式存储在SYSVOL共享中，该共享可用于网络上的任何域计算机。想要找到后门并且带有一点Google知识的人，只要足够持久，就会找到该后门。 如以下MSDN注释所述，GPO选项也不安全：http : //code.msdn.microsoft.com/Solution-for-management-of-ae44e789 我正在寻找一种非第三方解决方案，我认为该解决方案应该可用或可以在正确的知识或指导下自行开发。

13 active-directory  group-policy  scripting  powershell  password-management 

我们让WSUS将更新发布到用户的工作站上，但一件令人烦恼的警告却使事情进展顺利：在某些用户面前显示一个弹出窗口，通知他们他们的计算机将在15分钟后重启，这似乎是一个问题。分钟，他们对此无话可说： 这可能是因为他们没有在前一天晚上注销。但是，这有点太多了，并且对我们的用户而言适得其反。 以下是有关我们的环境的信息：我们的用户正在运行，Windows XP Pro并且是的一部分Active Directory Domain。WSUS正在通过进行应用Group Policy。这是强制执行WSUS规则的GPO的快照： 这是我希望WSUS工作的方式（理想情况下-我会采取一切措施使我接近）： 我希望更新每晚自动下载并安装。如果用户未登录，我希望计算机重新启动。如果用户已登录，我希望他们的计算机不要重新启动，而要等到下一个“安装期”，在此期间它可以执行任何其他所需的安装，然后重新启动（前提是用户帐户仍未登录）。如果要提示用户重新启动，则该操作每天应该只发生一次（如果可能），但是每次提示时，他们都必须有一种方法来推迟重新启动。 我不希望用户在计算机认为应该发生的任何情况下都被迫重新启动计算机（除非是在安装更新之后并且没有登录的用户）。在一个人的工作日内强制系统重新启动似乎没有任何效果。 我可以用GPO做些什么来帮助降低WSUS的侵扰性？ 即使它为用户提供了“稍后重新启动”的选项-也会比现在发生的事情更好。 编辑 目标是能够每晚自动下载并安装更新，并且仅当要重新启动计算机时没有用户登录时才重新启动计算机。如果Windows必须就重新启动对用户造成困扰，那么这非常好-只要他们可以选择推迟重新启动。 编辑 事实证明，我们在某些更新（SP3，客户端扩展等）上设置了最后期限，并且在下面找到了该职位，从而为情况提供了一些启示： http://forums.techarena.in/server-update-service/255722.htm

13 windows-server-2008  active-directory  group-policy  wsus 

因此，我一直在阅读“ 组策略处理和优先级 ” 文档。我知道策略是按本地，站点，域，组织单位，子组织单位的顺序应用的。本文尚不清楚将事物应用于计算机的顺序，例如软件安装，脚本和新的组策略首选项。 我正在尝试编写脚本来调整计算机上某些使用首选项无法实现的功能，但我需要确定软件安装已完成，并且某些首选项已首先应用。 更新： 这是一些背景信息。我有一个组策略，该组策略具有用于窗口小部件A的软件安装（计算机配置\策略\软件设置\分配的应用程序）。窗口小部件A到处都是令人讨厌的快捷方式，因此我尝试使用首选项功能（计算机配置\首选项\ Windows设置\快捷方式）删除不需要的快捷方式。该程序有一个小错误，我必须对其进行修复，但是发布者没有提供更新的msi，只是一个将应用更新的exe。因此，我必须启动脚本来运行应该对程序进行修补的EXE。 在安装软件之前，似乎已经应用了“计算机配置\首选项”，因为我的文件删除似乎要到几次重启后才生效。看来该软件包需要重新启动，因为应该修补该启动脚本的启动脚本会出错，直到我重新启动为止。 在搜索Google时，我找不到能具体说明订单内容的文档。我也很好奇各种可用首选项之间的顺序。例如，我可以通过首选项设置环境变量。我可以在“文件”，“文件夹”或“快捷方式”首选项中使用这些变量吗？ 我希望在某处有详细描述该过程的文档。

13 windows  group-policy 

网络： 多站点域。 每个站点都有2个本地（站点，同一子网）Windows Server 2012 R2域控制器。 在Windows站点和服务中正确定义了站点。 每个站点的DNS记录仅定义了两个本地DNS服务器。 所有客户端都是具有所有更新的Windows 10 Pro 64位。 这两个网络都是完全千兆的，运行在经过认证的CAT6电缆的Cisco交换机上。 每个站点都有一个本地（站点上相同的子网）Synology存储服务器。 作为组策略的一部分，两个网络驱动器映射到Synology服务器上的共享。 连接诊断： dcdiag /test:dns /v /c /ePASS所有服务器和所有测试的报告 echo %logonserver% 总是返回本地DC nltest /dsgetdc 始终显示本地DC和正确的本地IP 在站点A上，两个网络驱动器均出现，可能出现故障的可能性为0.5％（我经历了几次启动，这些驱动器无法正确显示）。 问题： 在站点B，网络驱动器可能无法显示30％的时间。有时是两个驱动器，有时是一个或另一个。该问题主要是随机的，并且似乎没有跟随任何特定的用户或工作站。 症状： 在出现问题的30％的时间中： 5％的时间a gpupdate或gpupdate /force将解决问题，驱动器将立即出现。如果gpupdate在第一次尝试中不起作用，那么在此之后它将几乎不再起作用（对于该引导） 在时间的5％gpupdate或gpupdate /force将导致只有一个驱动器出现 20％的时间，a gpupdate不能解决问题，但是下次启动会很好 50％的时间，a gpupdate不能解决问题，但是在一次引导和另 一次引导之后gpupdate，驱动器将出现 在20％的时间中，驱动器将出现多次重新引导（gpupdate每次引导）。有时是2次引导，但是有时驱动器出现之前我很少需要重启计算机6到7次。 在最后20％的时间内，我有时会从gpupdate进程中得到错误。 The processing of Group Policy failed. …

12 group-policy  windows-server-2012-r2  mappeddrive  windows-10 

我们当前正在运行Windows Server 2012 R2。 我们已经将计算机升级到Windows 10，并且希望从GPO 配置设置“ 打开文件资源管理器”。我们希望文件浏览器可以在此PC上安装快速访问。您可以在此图片上看到wich设置：（常规标签上的第一个设置） http://cdn2.tekrevue.com/wp-content/uploads/2015/07/folder-options-windows-10-file-explorer.png 如何从GPO配置此设置？ 编辑： 现在，我们将使用组策略编辑器来应用注册表修改。但是，如果可能的话，真正的GPO或GPP会更好。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced LaunchTo DWORD 1 = This PC 2 = Quick access

12 group-policy  windows-server-2012-r2 

我在Windows Server 2012上，Active Directory处于运行状态。我们管理的所有项目都有2个专门的小组，一个小组供经理访问所有相关文件（包括发票，时间表以及他们管理项目所需的任何东西），或者至少我想，对于我来说，这可能是一堆动画gif知道），并为实际从事该项目的人员提供一个权限，该人员只能访问项目本身的文件。 我需要让一些项目经理控制允许文件访问其项目的组的成员身份。他们应该不能编辑组的任何其他方面。理想情况下，它应该使用某种GUI，因为用这种方式很难解释它，但是在最坏的情况下，我可以编写一个。 我将管理组添加到管理组的“管理者”选项卡，并启用了“经理可以更新成员资格列表”，这看起来很容易。但.. 我应该让管理组看到整个用户列表吗？如果是这样，怎么办？ 管理组成员应如何以及在何处登录以编辑组成员身份？

12 active-directory  group-policy  windows-server-2012-r2  groups 

我使用组策略安装的MSI文件更新闪存。但是，每次更新都会导致大约三分之一的工作站无法更新（Windows Vista和Windows 7 32/64位版本）。在事件日志中，出现以下消息： “ Adob​​e Flash Player 11 ActiveX-错误1714。无法删除旧版本的Adobe Flash Player 11 ActiveX。请与您的技术支持组联系。系统错误1612。” 我能够解决该问题的唯一方法是使用Microsoft Fit It工具。但是，这是一个非常耗时的过程，每个工作站手动执行该过程大约需要15分钟，因此，每次更新闪存时，它都会有效地杀死一整天。 我遇到了包含MSIZAP的脚本，以删除失败的Flash卸载。因此，我的问题是：MSIZAP实用程序是以编程方式删除闪存的最佳方法，还是此时已过时？我问的原因是，我找到的有关该主题的大部分书面材料都来自2009年或2010年。 @echo off SET MSIZAP=\\my.domain.com\netlogon\bin\msizap.exe SET DFSPATH=\\my.domain.com\dfsroot\Packages\Adobe SET UNINSTALL=%DFSPATH%\uninstall_flash_player_x86.exe SET INSTALL=%DFSPATH%\install_flash_player_11.4.402.278_active_x.exe rem Detect 64-bit Windows IF NOT "%ProgramFiles(x86)%"=="" SET WOW6432NODE=WOW6432NODE\ SET VER_FLAG_KEY=HKEY_LOCAL_MACHINE\SOFTWARE\%WOW6432NODE%Macromedia\FlashPlayer SET VER_FLAG_VALUE=11,4,402,278 REG QUERY "%VER_FLAG_KEY%" /v CurrentVersion | find /i "%VER_FLAG_VALUE%" …

12 windows-server-2008  group-policy  batch-file  uninstall