Questions tagged «group-policy»

我对此有些困惑，所以我希望有人能启发我，因为我认为自己是一位非常有知识的GPO人士。 我有一个登录横幅GPO，可以更改其中的Interactive Logon:设置Computer Configuration - Policies - Windows Settings - Security Settings - Local Policies / Security Options - Interactive Logon以显示登录横幅。这是该GPO唯一要做的。 现在，从Technet和其他在线人员那里我的理解以及我过去的经验是，您可以在应用于/链接到域级别的GPO中进行配置。 但是，在我目前的公司中，“ LogonMessage GPO”仅应用于/链接到域控制器OU，并且确定该GPO确实适用于组织中的所有计算机。 我在工作站上运行了一个rsop.msc，例如，即使我的工作站显然不在域控制器OU中，它也将其显示为该设置的源GPO。 那有什么呢？为什么将登录标语GPO应用于“域控制器OU”，为什么将其应用于域中的所有计算机？

9 group-policy 

由于最近的勒索软件爆发（Cryptolocker / Cryptowall / etc）产生的工作量，我最近受命执行软件限制策略来阻止临时目录中的程序执行。通常这已经足够好了，但是当我们需要安装软件时就会遇到问题，因为这些软件限制策略会阻止安装程序访问计算机临时目录。 我们的Active Directory层次结构基本上是按照物理站点的方式组织的，并且我们的AD对象从域根及其特定站点OU继承大约数十个GPO。因此，我既不能选择在域根之外创建阻止的策略OU（因为不继承特定于站点的组策略设置会导致计算机出现严重问题，并且远程用户不够熟练，无法解决它们），或者将组策略对象重新链接到更靠近子OU的位置（因为这将涉及数百个取消链接和重新链接操作，而我不愿意这样做），或者在每个继承受阻的子OU中创建一个子OU（因为我有在这种情况下要执行几百个链接操作）。 也就是说，我确实需要一种方法来暂时停止应用软件限制策略GPO，以便我们可以不时安装软件。我最初尝试通过在每个站点上创建一个子OU并链接反向软件限制策略来解决此问题，以为反向策略的更高优先级将覆盖继承的策略，但这根本不起作用-RSOP显示表示计算机获得了补充disallow和unrestricted规则，并且disallow在这种情况下规则将获胜。 因此，考虑到所有这些（无法重新链接我们的所有GPO，无法创建简单的继承阻止的OU，并且具有更高优先级的GPO似乎无法解决我的问题），我该怎么做[临时]阻止继承的软件限制GPO的应用程序？假定Windows 7客户端在Server 2008 R2 FL域/林中。

9 windows  active-directory  group-policy 

我已经尝试了一段时间，但没有成功。运行组策略结果向导时，似乎正在应用我的组策略设置。 这是我将互联网区域设置为中等的方法。 1.组策略管理编辑器>用户配置>策略>管理模板> Windows组件> Internet Explorer> Internet控制面板>安全页面 我登录到xennapp桌面打开的IE，然后看到： 我运行结果向导，然后看到： 在我看来，它应该正常工作，但事实并非如此。有人会介意与我一起帮助我找出我所缺少的吗？需要注意的是，要管理的计算机是服务器2008，而具有组策略设置（域控制器）的计算机是服务器2003。我知道我们需要从2003切换到桌面，但这是我们的计划明年

9 windows-server-2008  windows-server-2003  group-policy  internet-explorer 

去年，我建立了Windows 2008 R2服务器，从那时起，我的提升帐户每天锁定10-12次。经过大量的研究和测试，我发现服务器在每次尝试更新组策略的失败尝试时（大约每90分钟）锁定我的帐户。我在网络上找不到任何信息，表明其他人也看到了这一点，而我本人也难以置信。 每次在服务器上记录3个系统事件： 事件ID 14：存储在凭据管理器中的密码无效。这可能是由于用户从此计算机或其他计算机上更改密码引起的。要解决此错误，请在“控制面板”中打开“凭据管理器”，然后重新输入凭据contoso \ me的密码。 凭据管理器中没有条目。无论是否禁用凭据管理器服务，是否登录，是否注销并使用本地管理员帐户删除我的配置文件，都会发生这种情况。 事件ID 40960：安全系统检测到服务器cifs / ContosoDC.contoso.com的身份验证错误。身份验证协议Kerberos的失败代码为“由于请求了太多无效的登录尝试或密码更改尝试，用户帐户已被自动锁定。（0xc0000234）”。 -- 事件ID 1058： 组策略的处理失败。Windows尝试从域控制器读取文件\ contoso.com \ SysVol \ contoso.com \ Policies {78719F0C-3091-4B5C-9BC3-6498F729531E} \ gpt.ini，但未成功。解决此事件之前，可能无法应用组策略设置。此问题可能是暂时性的，可能是由以下一种或多种原因引起的：a）名称解析/与当前域控制器的网络连接。b）文件复制服务延迟（在另一个域控制器上创建的文件尚未复制到当前域控制器）。c）分布式文件系统（DFS）客户端已被禁用。 我检查了项目ac，似乎没有。 我已经通过检查用户帐户是否未锁定，在服务器上运行gpupdate，然后重新检查立即锁定的用户帐户来进行了彻底的测试。我已经使用锁定工具来揭示所有锁定均源自此特定服务器。该用户帐户没有关联的电子邮件地址，并且我已经广泛研究了常见的已知锁定问题。 对我有什么线索吗？我已经准备好关闭此生产服务器并在AD中重置其计算机对象，但我不知道它会有所帮助。

9 windows-server-2008-r2  group-policy  active-directory 

我希望通过GPO软件安装策略安装最新的AV套件。（如下面的屏幕剪辑所示。） 不幸的是，我使用DFS的请求已被拒绝，我需要为环境中的每个站点（每个站点都是其自己的子网）创建一个GPO。我的问题是，许多用户在站点之间旅行，因此，当他们移至另一个站点时，他们将获得新的GPO并超出了先前GPO的范围。 我找不到任何有关GPO软件安装是否会在当前PC上重新安装该应用程序的具体文档。当计算机超出范围时，我将使用该选项离开应用程序。 根据我的研究，我发现GPO仅在GPO版本已更改的情况下才适用，这很好，但是实际的MSI呢？ 我发现人们提出了两种但不能支持的方案： GPO调用Windows Installer服务，该服务检查已安装的程序列表，并且仅当当前MSI版本不存在时才安装。 GPO安装会使用其自己的软件列表来保留其自己的APP缓存，如果该应用程序不在该列表中，即使已经安装了该应用程序，也会安装该应用程序。 谁能为我确认正确的信息？ 编辑：感谢您的答复，我知道其他部署软件的方法，但是我要解决的是关于GPO部署是否将重新安装软件包（如果工作站上已经存在）的具体答案。

9 windows  active-directory  group-policy 

我们正在Windows 2003域中运行终端服务器场，并且发现应用于TS服务器的软件限制GPO设置存在问题。以下是我们的配置和问题的详细信息： 我们所有的服务器（域控制器和终端服务器）都在运行Windows Server 2003 SP2，域和林都处于Windows 2003级别。我们的TS服务器位于一个OU中，在该OU中我们链接了特定的GPO并阻止了继承，因此只有TS特定的GPO应用于这些TS服务器。我们的用户都是远程用户，没有工作站加入我们的域，因此我们不使用环回策略处理。我们采用“白名单”方法来允许用户运行应用程序，因此只有我们批准并添加为路径或哈希规则的应用程序才能运行。我们将“软件限制”中的“安全级别”设置为“不允许”，并且“强制执行”设置为“除库之外的所有软件文件”。 我发现，如果我给用户一个应用程序的快捷方式，即使该应用程序不在“列入白名单的”应用程序的“其他规则”列表中，他们也可以启动该应用程序。如果我给用户该应用程序的主要可执行文件的副本，并且他们尝试启动它，则会收到预期的“此程序已被限制...”消息。似乎软件限制确实有效，除了当用户使用快捷方式启动应用程序而不是从主可执行文件本身启动应用程序时，这似乎与使用软件限制的目的相矛盾。 我的问题是：还有其他人看到过这种行为吗？任何人都可以重现这种行为吗？我对软件限制的了解中缺少什么吗？我是否可能在“软件限制”中配置了错误的内容？ 编辑 为了稍微澄清这个问题： 没有更高级别的GPO被执行。运行gpresults表明，实际上，仅应用了TS级别的GPO，我确实可以看到我的软件限制正在应用。没有使用路径通配符。我正在使用位于“ C：\ Program Files \ Application \ executable.exe”的应用程序进行测试，并且该应用程序可执行文件不在任何路径或哈希规则中。如果用户直接从应用程序的文件夹中启动主应用程序可执行文件，则将实施软件限制。如果我为用户提供了指向“ C：\ Program Files \ Application \ executable.exe”中的应用程序可执行文件的快捷方式，则他们可以启动该程序。 编辑 另外，LNK文件在“指定文件类型”中列出，因此应将它们视为可执行文件，这意味着它们受相同的软件限制设置和规则约束。

9 windows  windows-server-2003  group-policy 

关闭。这个问题是题外话。它当前不接受答案。 想改善这个问题吗？ 更新问题，以使其成为服务器故障的主题。 4年前关闭。 我管理着约150台机器的小型学校网络。我正在寻找一种简便的方法来将软件部署到所有计算机上，而不必访问每台计算机。 我已经使用Symantec Ghost对所有机器进行了相同的设置，但是对于一个应用程序来说，重新托管整个网络似乎已经走了很远。 过去，我使用过Novell的ZenWorks，它通过MSI安装程序进行安装，或者通过在安装之前和之后对计算机进行快照，然后将所做的更改推送到网络上的指定计算机上。 但是，这一次，我使用的是Windows 2003，预算有限（即没有预算）。我无法了解组策略安装程序，因此，如果有人可以向我指出一个好的操作方法，那也将不胜感激。 感谢您的帮助！

9 windows  windows-server-2003  group-policy  deployment  application 

我目前正在通过GPP将一些文件部署到程序文件下的文件夹中。我现在必须在64位和32位操作系统之间有所不同。使用定位编辑器筛选出要定位的计算机的简便方法是什么？ Wmi：SELECT * FROM Win32_Processor WHERE AddressWidth = 32 环境：programfilesx86 注册表：??? 在定位编辑器中选择操作系统 我目前正在使用WMI select，但似乎有点过头了。哪种方法最好？

9 group-policy 

我已经使用Windows Server多年了，当我有需要通过其计算机进行本地管理员访问的人员时，我会通过组策略以类似于此答案的方式来应用它。 我的一位客户拥有SBS 2011，实际上令人惊讶的功能之一就是用户管理，以及使用户授予本地管理员访问权限的难易程度： 完成此操作后，我试图寻找很多年龄，以便了解它实际上是在“幕后”应用的，但是，我失败了–我看不到任何关联的政策。设置或选项适用于任何地方。 有谁知道您更改Access level用户身份时SBS 2011实际执行的操作吗，是否可以在非SBS Windows Server上轻松复制此操作？

9 active-directory  group-policy  windows-sbs-2011 

现在，我正在执行以下操作以从CEP服务器请求证书： 打开gpedit.msc 在“计算机配置”>“ Windows设置”>“安全设置”>“公钥策略”下，双击“证书服务客户端-证书注册策略” 启用 输入CEP URI 切换到用户名/密码验证 验证（提供凭据） 打开MMC，然后导入“证书”管理单元 转到证书>个人 右键单击>请求新证书 输入“更多信息”（CN，DNS名称等） 提供信用 之后，我获得了CEP的证书；但是，这是手动执行的痛苦过程。在Server 2008（和2012）中，有什么方法可以自动执行此操作？我能找到的所有信息都告诉您如何安装CEP服务，以使服务器成为注册策略服务器（与实际请求新证书或在客户端启用它无关）。可以自动化吗？ 似乎此过程在HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Cryptography下添加了许多数据。我可以手动添加（并欺骗GUID / ServiceID）吗？

9 group-policy  powershell  certificate  certificate-authority  powershell-v3.0 

我有一个限制MMC创建的GPO。当使用该GPO的用户登录时，他们会被提示“ MMC无法创建管理单元”。 我知道通常会有一个阻止服务器管理器启动的复选框，但是我当然不能在没有看到MMC的情况下取消选中它，此外，我还必须让每个用户都这样做。 如何防止服务器管理器无法为仍然无法使用的用户加载？

9 windows-server-2008-r2  group-policy  windows 

我需要为一个慈善机构设置5到10台计算机，而这不能让它运行专门的服务器来维护越来越多的员工的组策略。有没有一种方法可以管理每台计算机的策略，而不必实际更改本地安全策略。这些计算机运行Windows XP，Vista和7的组合。

9 group-policy 

我需要触发特定的GPO部署应用程序才能重新安装。过去，我刚刚删除了一个告诉Windows的注册表项：“此应用程序已安装”。 但是我一辈子都记不清那些注册表项在注册表中的位置，并且搜索没有增加太多。 谢谢！

9 windows  group-policy 

我需要转储Active Directory中的所有组策略，以便日后脱机查看。有什么方法可以将所有组策略轻松导出为文本或其他易于解析的格式？ 编辑：这些工具是否可以从不属于域的计算机上工作？我有域凭据，但我的笔记本电脑不一定是我需要检查的域的一部分。

9 active-directory  group-policy  export  text 

无论计算机是否连接到网络，我都要求每次关闭系统时都运行批处理脚本。（该问题无关紧要，但是有问题的脚本会清除机器的打印队列。 但是，当我在下面使用此方法时，当PC从网络脱机时，我无法运行此脚本。 我可能还会补充说，相关PC正在运行Windows 10 Pro x64（版本1809）。域控制器正在运行Windows Server 2008 R2，这也是我运行的地方gpedit.msc。 到目前为止，我所做的是： 使用计算机关闭脚本创建了Active Directory 组策略对象。 将脚本添加到SYSVOL上的GPO文件夹中。 确认此GPO确实已下载到有问题的工作站的硬盘上，因此可以脱机访问。 GPO中指定的路径是相对的，不是绝对的。 我想发生的事情： 关闭PC时，ClearPrintQueue.bat无论PC当前是否具有网络连接，脚本都将运行。 实际发生的情况： 当PC关闭时，ClearPrintQueue.bat仅当PC当前可以通过网络到达SYSVOL共享时，才运行脚本。 细节： 我要做的是在域中创建一个组策略对象，并将其链接到包含有问题的计算机的测试OU。 我编辑了GPO，然后导航到“ 计算机配置” ->“ 策略” ->“ Windows设置” ->“ 脚本（启动/关闭）” ->“ 关闭” 在关机属性如按如下： 单击“ 显示文件...”时，浏览器将打开以显示文件夹\\example.com\SysVol\example.com\Policies\{1B61F884-9D14-4065-8265-F04FFDE41683}\Machine\Scripts\Shutdown 该文件夹的内容和文件ClearPrintQueue.bat如下所示： PS C:\> Get-ChildItem "\\example.com\SysVol\example.com\Policies\{1B61F884-9D14-4065-8265-F04FFDE41683}\Machine\Scripts\Shutdown" Directory: \\example.com\SysVol\example.com\Policies\{1B61F884-9D14-4065-8265-F04FFDE41683}\Machine\Scripts\Shutdown Mode LastWriteTime Length Name ---- ------------- ------ ---- …

8 windows  active-directory  group-policy  batch