Questions tagged «group-policy»

关闭。这个问题是题外话。它当前不接受答案。 想改善这个问题吗？ 更新问题，以使其成为服务器故障的主题。 3年前关闭。 尝试在Windows 2012服务器上创建长度超过16个字符的密码时，由于密码太长而被拒绝。我试图寻找一个名为“最大密码长度”的GPO-我找不到。问题可能出在：PwdFilt或PCNSFLT。我也看过的regedit屏幕截图。1个 问题是我们在要安装的SQL 2014服务器上需要36个char密码来进行加密。 有什么建议？

10 windows  active-directory  group-policy  sql  password 

我有一个加入Windows Server 2012 R2的域，该域上安装了OpenVPN 2.3.13客户端软件。当VPN连接处于活动状态时，NLA将“以太网2”（TAP接口）连接与主LAN NIC一起放在“域网络”类别中。理想情况下，我希望能够将VPN接口分配给“公共”类别。我已经通过PowerShell尝试过，但是不断出现此错误： 由于下列可能的原因之一，无法设置NetworkCategory。NetworkCategory不能从“ DomainAuthenticated”更改；由于组策略设置“网络列表管理器策略”，阻止了用户对NetworkCategory发起的更改。在第1行：char：1 + Set-NetConnectionProfile -InterfaceIndex 15 -NetworkCategory Public + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + + CategoryInfo：PermissionDenied：（MSFT_NetConnect ... 72AADA665483}“）： root / StandardCi ... nnectionProfile）[Set-NetConnectionProfile]，CimException + FullyQualifiedErrorId：MI RESULT 2，Set-NetConnectionProfile 15是“以太网2”的接口号 值得注意的是，我在提升的PowerShell会话中运行此命令，并尝试了所有可用的GPO策略，但始终抛出该错误。关于NLA的大多数信息都建议在“私有”和“公共”之间切换应该可以，但是DomainAuthenicated似乎有些不同。 该注册表方法没有用于以太网2的实际配置文件，因此也不能以这种方式进行更改。 反正有强制TAP适配器公开的吗？OpenVPN连接本身不会覆盖主NIC的默认网关，而是使用10.0.0.0/8子网。我使用route-nopull和覆盖路由的事实可能是NLA检测网络问题的一部分。 Ethernet adapter Ethernet 2: Connection-specific DNS Suffix . : Link-local IPv6 Address . . . …

10 windows  windows-server-2012-r2  group-policy  openvpn 

我已配置WSUS服务器，以保留网络带宽，同时保持使用该WSUS打开的重要更新。 通过域控制器2003中的组策略推送指向客户端PC和其他设置的Intranet WSUS服务器。 在域中配置了以下策略。 计算机配置部分 用户配置部分 并以这种方式在客户端中正确配置。 但我想禁用/删除， （1）用户检查更新的能力（因为它是自动安排在星期五下午4点安装的） （2）用户安装更新的能力 （3）能够从Windows在线检查更新（仅我希望wsus成为下载源） 如果我在3个事实之上划清界线，则在Windows 7客户端设置中其低于我希望禁用的范围 使用现有的Server 2003组策略是否可能？要达到以上3个要求？作为客户，我们确实有需要以上3个要求的Windows XP，7、8、8.1。 任何帮助将不胜感激。

10 windows-server-2003  windows-7  group-policy  rdp  wsus 

我已经在组策略中配置了BitLocker和TPM设置，以便设置所有选项并将恢复密钥存储在Active Directory中。我们所有的计算机都运行带有标准公司映像的Windows 7，并在BIOS中启用并激活了它们的TPM芯片。 我的目标是做到这一点，以便用户只需单击“启用BitLocker”就可以了。Microsoft甚至提供了可以通过脚本部署的自动化示例。但是，要使此过程顺利进行，有一个小的障碍。 在GUI中，当用户启用BitLocker时，必须使用自动生成的所有者密码初始化TPM。但是，将向用户显示恢复密码，并提示他们将其保存到文本文件。我似乎无法隐藏此对话框，因此无法跳过该步骤。由于密钥已成功备份到AD，因此这是不需要的（也是不必要的）提示。 如果对部署进行脚本编写，则在初始化TPM时必须在脚本中提供所有者密码，并且希望以GUI的方式随机生成它。 有什么方法可以使BitLocker部署真正实现我想要的零接触？

10 windows  active-directory  group-policy  bitlocker  tpm 

我希望某个本地用户不注销。曾经。这很像一个愚蠢的问题，但是我不必关心按钮是否在那里，我想弹出一个消息框，上面写着“请不要注销控制台”，然后单击“确定”按钮，然后取消注销尝试。可以在注销脚本中完成吗？ 在开始菜单和CTRL-ALT-DEL对话框上有禁用组注销按钮的组策略。但是，我想要的更像是 http://msdn.microsoft.com/zh-cn/library/ms811998.aspx，它似乎不在server 2008 R2中？还是我想念它？ 我什至试图禁用start上的注销按钮，但是它不起作用，正如Matt在这个类似问题上指出的那样 是否可以创建一个注销脚本，该脚本显示一个对话框，警告用户不要注销，然后取消注销？ 我了解这是一个愚蠢的需求-不幸的是，我没有能力改变或退缩。我已经用尽了这些选择。请随意发表评论，以解释这确实是一个愚蠢的计划，显然在缓解许多系统问题的症状，而不是解决任何问题，请随意发表评论。我完全理解，这种做法实际上是在制造问题。我希望这样做，这样我就可以完成这份合同，而再也不会与他们合作了。

10 windows-server-2008-r2  group-policy  logoff-scripts 

由于我无法控制的原因，我的任务是设置GPO / GPP，以将我们的100多台打印机部署到我们的1000多台客户端。 好消息是，我们有十几个站点，在大多数情况下，我被允许将站点X的所有打印机推送到站点X的所有客户端PC。 坏消息是，我知道怎么做的两种方式（“从打印服务器部署组策略...”和使用GPP /组策略首选项）涉及的手动工作要比我愿意做的要多得多。这么多的打印机，例如，我什至似乎都无法选择打印服务器上的所有打印机并使用该Deploy with Group Policy...选项-它希望我一步一步地做到这一点，这不会发生。GPP更加糟糕，因为它希望我从打印服务器中选择打印机的路径，然后手动打入一堆应该能够从打印机连接中获取的信息（例如打印机IP）。 我的Google-Fu脚本将打印服务器上的所有打印机添加到GPO / GPP时显示为空，我似乎看不到另一种以半自动方式执行此操作的方法，但我坚持相信我会丢失某些东西，因为任何理智的人都不会选择将几百台打印机手动添加到GPO中。 理想情况下，我想找到一种编程方式来使用GPP，但是在这种情况下，任何不涉及数十小时手动添加打印机的解决方案都很好。 有没有人可以做到这一点，或者我是否需要构建PowerShell脚本和/或欺骗下属来做到这一点？

10 active-directory  scripting  network-printer  group-policy 

我已经设置了一个基本的组策略，该策略由默认的Applocker规则组成。每微软的TechNet文章关于这个问题，没有明确允许的政策运行任何文件都应该从运行受阻。在部署了该策略并使用验证了它的正确应用之后gpresult，我仍然能够从Internet下载并运行一个exe，该exe已保存到用户配置文件的temp文件夹中。到那时，我做了更多的谷歌搜索，发现App Identity服务必须在运行，而事实并非如此：因此，像任何好的管理员一样，我启动了它，将其设置为自动，然后重新启动以防万一。重新启动后该策略仍然无法正常工作。以下是当前政策的屏幕截图。 我明确添加了拒绝规则，因为默认规则不起作用。我已将策略正确地应用于计算机，并验证了规则已得到执行（在屏幕截图中如此表示）。我使用了Test-AppLockerPolicycmdlet来验证规则是否应阻止EXE和MSI的运行，但事实并非如此。不论听起来多么可笑，都对大多数建议持开放态度。 更新资料 忘了补充说，在整个惨败期间，我检查了AppLocker的事件日志，但它是空白的。整个过程中没有一个条目。

10 windows-7  group-policy  applocker 

我有一个我需要向用户申请的GPO DOMAIN\DumbGuy，但仅当他登录时才需要DOMAIN\DumbGuysComputer$。当DOMAIN\NiceReceptionist上记录DOMAIN\DumbGuysComputer$它不应该适用。当DOMAIN\DumbGuy上记录DOMAIN\ReceptionstsComputer$它不应该适用。 它只需要在一台计算机上适用于一个人。 如果我将GPO应用于User对象，它将应用于他的所有计算机。如果我将GPO应用于Computer对象，它将应用于该计算机上的所有用户。如果我将其应用于两者，则其传播范围甚至更大。 如何仅将GPO应用于仅一台计算机上的一个用户？

10 active-directory  group-policy 

我想更好地保护集中管理的计算机，并且自动部署Java运行时非常困难，但这是另一个问题。 我发现Java的安全性是灾难性的，即使它已被完全修补：看起来，如果用户对无害问题“您是否信任此证书”说“是”，那么Java可以做任何它想做的事情。Java Webstart似乎也是恶意软件作者的通用入口点。 通常，我不关心我的用户玩浏览器游戏等。Javaapplet似乎已经灭绝了。 但是仅剩一页（Ingramm Micro购物系统）依赖于Java。 有谁知道通过组策略配置IE或Java的简单方法，以仅允许在某些预配置站点上使用Java插件？ 谢谢！

10 security  group-policy  java  internet-explorer 

我从可移动存储（如记忆棒和SD卡）运行.exe的用户遇到问题。 我正在尝试阻止从所有可移动存储中运行exe，以解决此问题，但是在“用户配置> Windows设置>安全设置>软件限制策略>其他规则”下的组策略设置下，您可以创建“路径”变量。我想对所有可移动存储使用系统变量，但不知道是否有一个有效的变量。我是否必须仔细检查并为所有可能分配给可移动介质的潜在驱动器号（从E：\到大约L：\）创建一个阻止列表，或者是否有实际可行的方法？我发现%~dp0，显然，该方法仅适用于for循环，if语句和批处理参数。 如果还有其他，更好或更可靠的措施，请告诉我。 哦，我看过AppLocker，但是我们的DC正在运行Server 2008，我相信AppLocker是Windows 7和2008 R2的一部分。如下面对答案的评论中所述，我认为Server 2008没有“拒绝执行访问”设置，因此还有其他选择吗？

10 windows-server-2008  group-policy 

是否可以通过GPO拒绝“ Internet Explorer”，并使用Google Chrome作为默认浏览器和唯一的浏览器？ 我想知道，是否有可能否认Internet Explorer是Windows操作系统的一部分。 我想强迫用户仅将Google Chrome浏览器用作浏览器。

10 windows  group-policy  internet-explorer  defaults 

从最近开始，我一直在使用AD策略通过GPO在小型域上部署软件包。这一直很好，但是我不确定升级软件包的正确步骤是什么。 假设我最初已经通过名为“ Install X ”的GPO 部署了X版本a。一切正常，并且随着时间的推移，版本b已发布。（假设新版本的.msi可以执行已安装版本的升级），我相信可以使用以下选项来执行升级： 替换分发点中的原始.msi，然后通过“组策略编辑器”（打开GPO“ 安装X ”），在“ 计算机配置/软件设置/软件安装”下，将任务分配给“重新部署应用程序” 使用组策略编辑器在“ 计算机配置/软件设置/软件安装”中为新版本创建一个新软件包，并指定该版本应升级的旧软件包（在“升级”选项卡上，选择版本a的软件包；用于卸载现有软件包或执行以下操作的选项）升级） 使用组策略编辑器删除版本a的软件包（带有立即卸载选项）并添加版本b的新软件包 问题： 第一种选择的缺点是什么？ 第二个选项是通过GPO分发软件包的正确/推荐的升级软件包的方法吗？ 关于通过GPO升级软件包，还有其他一些细微之处，最佳实践或一些一般性建议吗？ 编辑：另外，我只正确地测试了3，所以如果我错过了1和2中的一些重要步骤，我将感谢指针。:)

10 active-directory  group-policy  deployment 

我试图将实用程序编写为批处理文件，除其他外，将用户添加到“本地拒绝登录”本地安全策略中。该批处理文件将在数百台独立的计算机上使用（不在域中，甚至不在同一网络上）。 我假设以下选项之一是我的选择，但也许有一个我没有想到的选项。 与之类似的命令行实用程序net.exe可以修改本地安全策略。 一个VBScript示例执行相同的操作。 使用一些WMI或Win32调用编写我自己的代码。如果不需要，我宁愿不这样做。

10 windows  group-policy  batch-file  vbscript  security 

IE7积极警告证书失败。我们有一些通过HTTPS运行的内部站点，因此需要有效的证书。我们似乎在Intranet上具有可以签署SSL证书的证书颁发机构，但是我们有一个问题：我们如何大规模配置桌面以信任内部CA？ 是否可以通过GPO在本地部署内部CA证书？

10 windows  security  group-policy  certificate 

我正在尝试使用Azure Active Directory而不是使用传统的域控制器。 我想使用Azure AD对用户进行身份验证并推送GPO设置，例如文件夹重定向，驱动器映射和Windows 10隐私设置。 我已经创建了一个Office 365帐户，据我所知创建了AD后端。我还创建了一个Azure帐户，并使用O365 / Azure用户详细信息将测试的Windows 10 PC添加到了Azure域。 我还订阅了Azure AD高级试用版。 在这一点上，我被困住了。我可以在Azure中哪里看到添加的PC？ 此外，我可以使用Azure AD将传统的组策略设置推送到我的测试PC上吗？如果可以，我应该在哪里进行配置？ 还是我需要使用Windows Intune之类的工具？

9 windows  active-directory  group-policy  azure  azure-active-directory