Questions tagged «group-policy»

组策略是Microsoft Windows操作系统的内置功能。组策略允许管理员在操作系统内自动配置众多选项。这些策略可以通过本地组策略本地配置或应用到计算机,也可以在Active Directory环境中远程配置和应用。

2
如何摆脱“您是否信任此打印机”消息框并通过GPO添加我的打印机?
工作站:Windows 7(x64)[打印机的安装目标] 伺服器:Windows Server 2012 R2(x64)[Active Directory,列印伺服器] 我一直在ash头,试图通过组策略安装此打印机!出于某种原因,我根本无法将此打印机与GPO一起部署。我试图通过了设置它来部署Computer Configuration->Policies->Windows Settings->Deployed Printers,以及Computer Configuration->Preferences->Control Panel Settings->Printers和User Configuration->Preferences->Control Panel Settings->Printers。我还尝试通过“打印服务器管理”控制台通过用户和/或计算机目标添加它。我尝试了所有方式,但没有任何效果。我遵循了一堆教程,并观看了一堆视频,只是为了确保我没有错过任何东西,但这实际上是一个简单的任务(从理论上来说)……这是行不通的。 在尝试调试问题时,我发现如果我去\\myserver\打印机并双击打印机,它将尝试安装打印机,然后提示我安装带有UAC类型提示的驱动程序。 我已经尽力想让该消息框停止弹出。我对其进行了研究,发现如果我要编辑Point and Print Restrictions位于Computer Configuration->Policies->Administrative Templates->Printers和处的GPO ,User Configuration->Policies->Administrative Templates->Control Panel->Printers可以尝试将策略设置为Disabled或,Enabled然后选择Do not show warning or elevation prompt策略设置底部列出的两个安全提示。 好吧,那也是半身像... 我确实发现,如果尝试通过转到unc并输入我的管理员凭据来手动安装打印机,它将从服务器下载驱动程序并安装打印机(如预期的那样)。如果用户尝试删除打印机并且以某种方式成功完成操作,那么他们注销并重新启动GPO就会立即执行我想要的操作,然后重新添加打印机。但是它要求我在每台PC上第一次手动添加它。 测试完之后,然后从GPO中删除打印机,然后注销并再次登录。我可以运行该命令printui /s /t2以打开一个GUI,该GUI使我可以轻松删除已安装的驱动程序,以将PC恢复到其原始状态(要求管理员凭据)。我还了解到的另一件事是打印机存储在位于的注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Connections。当我尝试删除打印机时,它告诉我不能删除该打印机时,我只是转到该注册表项,然后删除了要删除的打印机的GUID密钥。然后刚刚重新启动了后台打印程序服务,它的繁荣就消失了。这无助于我到达所需的位置,但在调试问题期间有助于卸下打印机。 我在某处读到,也许原因是某种类型的Windows安全更新更改了某些内容。之所以发布它,是因为有一篇文章显示了如果您能够拥有一台打印机,那么如何拥有整个网络。当用户连接到打印机并下载驱动程序时,它会安装注入的软件并在机器上运行,等等。 我的主要目标是能够使用我正在使用的GPO在该OU中将该打印机部署到一组用户。但是,我尝试执行的所有操作都要求管理员登录(至少是第一次)。有谁知道为什么我的打印机无法通过GPO自动添加自身,以及如何获得“您是否信任此打印机”的信息?消息消失?

7
如何在不访问域(控制器)的情况下删除组策略?
我有一个(WS2012-R2)域控制器和一组作为该域成员的(WS2012-R2)服务器。我不小心将一个组的所有管理员都加入了组策略“本地拒绝登录访问”,“作为服务拒绝登录”,“拒绝远程访问”和“拒绝网络访问”。这导致我和所有其他管理员(甚至是内置帐户)被锁定在域控制器之外。 是否有办法通过删除GPO或从被拒绝的组中删除管理员帐户来重新获得对服务器的访问权限?

2
如何为某些用户绕过GPO回送处理?
您可能知道,回送处理是Active Directory组策略的一项功能,该功能可将GPO中的用户设置应用于登录到GPO范围内的计算机的所有用户(而标准行为是仅在用户帐户被使用时才应用用户设置)。实际上位于GPO的范围内)。当您希望所有登录到特定计算机的用户都收到某些用户策略时,无论他们的用户帐户实际位于AD中的何处,此功能都非常有用。 问题是:启用回送处理后,包含用户设置的GPO会应用到使用这些计算机的每个人,而您无法通过使用GPO上的ACL来绕过此操作,因为它实际上并不应用于用户,而是应用于计算机。 问题:对于需要登录到这些计算机但不应该受那些策略设置约束的特定用户,如何绕过环回处理? 恰当的例子:在几台终端服务器上,具有回送处理功能的GPO被用来对登录它们的每个人都施加严格的用户限制(它们基本上只能运行一系列公司批准的应用程序);但这甚至适用于Domain Admins,因此它们甚至无法启动命令提示符或打开任务管理器。在这种情况下,如果登录的用户属于特定组(例如Domain Admins),我如何告诉AD不要强制执行这些设置?或者,即使是相反的解决方案(“仅将这些设置应用于属于特定组的用户”)也可以。 但是请记住,我们在这里谈论的是环回处理。这些策略适用于计算机,并且其中的用户设置仅适用于用户,因为它们正在登录到这些计算机(是的,我知道这很令人困惑,环回处理是正确处理组策略的最棘手的事情之一)。

2
为什么要禁用本地帐户的网络登录?
该问题是针对@SwiftOnSecurity的Twitter线程的:https ://twitter.com/SwiftOnSecurity/status/655208224572882944 阅读完该线程后,我仍然不太明白为什么您要禁用本地帐户的网络登录。 所以这就是我的想法,请在错误之处纠正我: 假设我有一个具有DC和多个客户端的AD。客户之一是约翰。因此,早上,约翰开始工作,并使用AD凭据登录到台式机。中午,John出去开会,并“锁定”他的计算机(Windows + L)。然后,他需要使用个人笔记本电脑远程(通过RDP或其他方式)连接到办公室的PC。但是,使用这项新政策,他将无法做到。 Securitay给出的解释是密码不固定。但是,在这种情况下,攻击者将如何获得访问权限?密码不固定在哪一端?还是我心目中的情况与她想说的完全无关?如果是这样,她实际上想说什么?

4
Windows 10:组策略在启动后无法直接应用,以后会成功
我的问题是重新启动客户端时未应用组策略。引导后,客户端立即在事件日志中以源“ GroupPolicy(Microsoft-Windows-GroupPolicy)”和事件ID 1058发送错误消息:“组策略处理失败。[...]”。在“详细信息”选项卡中,ErrorCode为50,代表ERROR_NOT_SUPPORTED。这不仅仅是表面上的问题:策略实际上没有正确应用:例如,映射的网络驱动器不存在。等待一会儿后,执行“ gpupdate”将起作用,并且策略将正常应用:显示映射的网络驱动器。 我能够重现该问题的最简单方案是:在新安装的Windows Server 2012R2上新创建的域,客户端是新安装的Windows 10 64位计算机。该域仅由一个域控制器组成,与其他域没有任何关系。 由于错误消息指出Windows无法从域的Sysvol共享中读取.GPT文件,因此我尝试从命令提示符下访问相同的文件。确实,当我在启动后立即打开命令提示符时,得到以下信息: C:\Users\username>dir \\domain.example.com\sysvol The request is not supported. 等待一两分钟后,执行同一命令将显示目录列表。此时运行gpupdate就可以了。 我确实将组策略设置“始终在计算机启动和登录时等待网络”设置为“启用”,并且我知道已应用此策略:在同一策略对象中指定了注册表设置,当我检查注册表时在客户端上有指定的设置。 其他可能相关的因素: NTLM在域中受到限制,但这似乎无关紧要:即使启用它,更新策略并重新启动所有计算机,其症状仍然相同。 服务器是使用DHCP配置还是使用静态配置都没有关系。 域的DNS服务器不支持动态更新。手动添加了必要的记录(从C:\ Windows \ System32 \ config \ netlogon.dns) (使用powercfg /h off)在客户端上禁用了休眠模式,因此每次引导都是完全引导,而不是快速引导 策略启动策略处理等待时间设置为120秒 与DC的连接正常。ping通即可。关闭客户端,在AD中禁用我的帐户,再打开客户端将导致客户端无法登录我:它立即注意到该帐户已被禁用。 除了这个问题,我没有发现任何异常。 这似乎更多是SMB问题,而不是组策略问题。嗅探服务器端的连接显示出一些有趣的东西:第一次执行命令时dir \\domain.example.com\sysvol,DC上的Microsoft Message Analyzer显示以下内容: 客户端建立到DC的端口445的TCP连接,并且成功执行了ComNegotiation(DialectRevision:0x02FF)。 此后,立即成功进行了协商。DialectRevision为0x0302。 此后,客户端立即使用TCP RST(??)关闭TCP连接。 以后每次我发出命令并收到错误消息时,都会发生步骤2和3。 当该命令开始起作用时,将执行步骤1和2,但是不是客户端发送TCP RST,而是执行SessionSetup,而是执行TreeConnect,然后发生大量(看似正常)SMB聊天。 因此,客户端似乎无法以某种方式在引导后一两分钟后才与DC正确地对话SMB,这会导致组策略处理失败。 有人知道我该如何调试和解决此问题?

1
定义用户“ HOMEDRIVE”,“ HOMEPATH”,“ HOMESHARE”的最佳实践
将域用户的“ HOME”环境变量映射到网络路径是否被视为最佳实践?如果是这样,为什么? 通过“ HOME”变量,我指的是: %HOMEDRIVE% %HOMEPATH% %HOMESHARE% 出现此问题是因为某些应用程序(例如Git)将关键配置文件存储在用户的%HOMEPATH%中。如果用户正在远程工作,或者服务器或网络已关闭,则这些应用程序将无法正常运行,因为无法从远程HOMEPATH访问其核心文件。 始终为HOMEPATH使用默认的本地Windows用户目录似乎更有意义,但我找不到支持或反对此观点的任何记录的最佳实践。在我的办公室,标准做法是将用户HOMEPATH映射到网络文件夹...

1
具有RemoteDesktopUsers而不具有“通过远程桌面服务登录”特权的感觉是什么?[关闭]
已关闭。这个问题是基于观点的。它当前不接受答案。 想改善这个问题吗?更新问题,以便通过编辑此帖子以事实和引用的形式回答。 6年前关闭。 最近,Microsoft更改了 Windows Azure Guest OS(Windows 2008,Windows 2008 R2和Windows 2012)中的默认策略。更改之一是现在只有Administrators组成员具有“允许通过远程桌面服务登录”,而组成员RemoteDesktopUsers不再具有特权。 现在有什么意义呢?RemoteDesktopUsers是旨在允许通过远程桌面登录的组,如果撤消了此特权,则该组毫无意义。 具有RemoteDesktopUsers而不具有“通过远程桌面服务登录”特权的感觉是什么?

3
如何使用GPO禁用“重新启动计算机以完成更新安装”弹出窗口?
我有一些位于站点上且永久登录的信息亭计算机,并通过WSUS接收FEP的更新。这很好用,但偶尔会在右下角显示此对话框: 我以为通过将No auto-restart with logged on users for scheduled automatic updates installationsGPO 设置为“启用”,这些将不会出现,但似乎仍会出现。这是我正在应用的Windows Update GPO的屏幕截图: 我想念什么?如何关闭这些通知?

4
我通过软件安装策略部署了Flash Player。如何升级?
我有一台Windows Server 2008计算机作为我的DC。今年早些时候,我创建了一个软件安装GPO来部署Adobe Flash Player插件MSI。我将策略分配给计算机,大约一半运行Windows XP x86,另一半运行Windows 7 x64。一切都像发条一样。 创建软件安装策略时,我通过在Orca中编辑MSI来禁用Flash Player插件的自动更新功能。我这样做是因为我希望所有机器都运行完全相同版本的插件。 现在,已经过去了一段时间,并且已经发布了Flash Player插件的较新版本。现在是我推出插件的更新版本的时候了。我已经有了新的MSI,但是我对下一步的工作一无所知。 我在“软件安装GPO”中看到了“升级”选项卡,但其中的所有内容都将用作较大主程序的附件,而不用于随时间推移发布的更新。 我已经读到,最好是使用新的MSI创建新的软件安装策略,撤销旧的GPO,然后分配新的GPO。我觉得,随着时间的流逝,我将获得比积极政策更多的被撤销政策。 我还读到有些人通过将旧的MSI替换为新的MSI并只是告诉GPO重新部署而取得了成功。这似乎是一种后门方法,只会使我陷入麻烦。 简而言之,通过组策略推出新版本的正确,最佳实践或首选方法是什么?


2
在哪里可以找到Google Chrome扩展程序的更新URL?
我正在尝试设置Google Chrome浏览器的组策略(http://support.google.com/installer/bin/answer.py?hl=zh_CN&answer=146164),尤其是我正在设置配置强制列表安装的扩展程序。我可以通过在Google Chrome浏览器中的tools-extensions中找到扩展名ID,但是找不到Adblock或Google Mail Checker等扩展名的更新URL,在哪里可以找到这些扩展名?

4
加快组策略,实施组策略首选项将如何影响登录时间?
我正在寻找有关加快和升级登录系统的建议,以使其更强大,更快速。 我继承了一个较旧的登录系统,该系统最初是从Novell Netware迁移过来的。我们当前正在运行Windows Server 2008 R2,但是域版本仍然是Windows 2000(理论上,如果它没有损坏,请不要修复它)。我们最终希望升级到Windows 7,但是至少要几年后,我们才能同时使用Windows 7和Windows XP SP3。我们有一些SP2机器,但是如果无法升级到SP3,我们可以负担得起的费用。 当前,我们主要依靠登录脚本,这些脚本大多数是用Kixtart编写的,但是有些是用VBScript编写的,并且使用Windows BAT包装器。登录脚本映射驱动器和打印机,在没有官方补丁(例如最近的winhelp.exe安全问题)时安装快速解决方案,以解决安全问题或小错误,安装软件,并执行诸如备份某些设置(例如在机器中备份IE收藏夹)的其他任务需要重新成像。 我们还启用了少量的组策略。这些大多数实现一些安全设置。我正在尝试使用GPO来安装软件,但是我发现这不切实际。我们太多的软件没有使用MSI,而我一次尝试进行MSI捕获所花费的时间却无济于事。最终,使用脚本执行无人值守安装变得更加容易。更重要的是,维护工作很麻烦,如果机器关闭时间过长,则需要延迟启动。我不介意重新讨论这个问题,但是脚本似乎运行良好,所以我从来没有被迫为此花更多的时间。 我们的系统可以正常运行,但是有点不灵活。它旨在将每次登录时的信息记录到每个登录ID的集中存储文件中,而权限问题(例如使用一个用户名的同时登录)经常会触发这种情况。我们依靠标志来确定以前是否已安装软件,这可能很脆弱,有时会导致不必要的安装(例如,如果新用户登录到工作站)。这有点慢,尤其是在组策略方面。我尝试进行配置文件,但我认为这大约需要300秒钟(可能会有所减少)。一个典型的用户将应用大约8个小型策略。我们大约有12个OU,但是对一些组策略使用WMI筛选。 我们映射约8个共享驱动器(基于组成员身份,而不是OU),以及约20台打印机(每个人都获得每台打印机,但每个站点都有不同的打印服务器)。基于OU的软件需求差异很大,但是OU以外的一些人可能也需要软件。 我的问题: 部署GPP有多困难?鉴于Windows XP本身不支持此功能,对吗?我们需要安装客户端扩展吗? GPP在Windows XP SP3上是否可靠?谷歌搜索,我发现了一些有关错误和性能降低的参考。这符合该产品的当前状态吗? 与将kixtart或vbscript用于映射驱动器和安装打印机之类的东西相比,GPP的性能/开销如何? 跟踪成功/失败登录的最佳做法是什么?我们当前的系统似乎有太多的开销。是否应将其存储在事件日志中?在哪台机器上?集中还是在本地桌面上?当前,我们确实将日志用作调试工具,并且还确定用户最后一次登录域的时间。 我应如何尝试加快我们当前的组策略基础结构?我认为这是启动时需要很长时间的事情。关于从哪里开始进行故障排除的任何想法? 创建现代登录系统以处理我提到的任务的最佳实践是什么?地图驱动器,地图打印机,安装软件,安装补丁程序以及执行其他备份例程等。您喜欢并推荐什么工具来完成这项工作? 安装尚未巧妙集成在MSI中的软件的最佳方法是什么?我们是非营利组织,可以从Tech Soup等SCCM等公司获得一些软件捐赠。但是,我真的不知道这是否值得。 将域升级到Server 2008 R2版本对允许我们使用GPP有什么意义?我应该提到,我们域中有两个运行Windows NT的成员服务器。这些基本上是仅用于我们的语音邮件系统的设备。我不想这些打破。在使用SMB升级域控制器时确实遇到了问题,但是我能够找到降低安全设置的解决方法。如果我们升级域版本,有任何陷阱吗?似乎答案应该为否,但我希望了解一些现实世界的经验。 真是太抱歉了,结果比我想的要复杂得多。关于您的个人经历的任何想法都将有所帮助。我是我们IT团队中唯一的技术人员。

3
通过GPO的本地管理员用户
我有一个Windows 2008R2 DC(仅安装程序),我们已经有大约25个Windows 7专业版/最终版客户端,我们现在将加入我们的新域/ dc中。用户已经在使用计算机,并且是该计算机上的本地管理员。 我想通过GPO部署一个USER,该USER可以在每个LOCAL Windows 7框上创建并具有本地管理员权限,或者是一个在域中的每台PC上都具有LOCAL管理员权限的Domain用户(Windows XP,7)。 如果有人可以提供帮助,将不胜感激-我确实尝试过自行创建用户,但无法创建,我使用Computer SettingsGPO Edit中的组来创建用户。 感谢您的阅读-期待您的指导Rihatum

4
通过Active Directory组策略或WSUS部署.net 4
有没有一种方法可以使用Active Directory组策略或WSUS自动部署.net 4? 我想将它推出到很多机器上,而不必遍历每台机器。 背景:我有一个要部署给非管理员用户的VSTO ClickOnce应用程序,但是它使用.net 4,没有管理员权限就无法安装。因此,除非已经安装.net 4,否则非管理员的ClickOnce将会失败。

7
有没有办法审核特定密码的AD?
有什么方法可以审核广告以检查特定密码? 我们曾经为所有新用户使用“标准”密码(例如MyPa55word)。我想确保在我们庄园的任何地方都不再使用它。 我唯一想到的方法是a)以某种方式对该使用此密码的所有用户进行目录审计,或者b)设置一个明确禁止该密码的GP(理想情况下,这将提示用户重置其密码)。 ) 任何人都对我如何解决此问题有任何建议? , 本

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.