Questions tagged «group-policy»

组策略是Microsoft Windows NT操作系统家族的一项功能,可控制用户帐户和计算机帐户的工作环境。

1
在Windows 7中启用快速免费的RDP控制台会话
我有一个版本的Windows 7家庭高级版已经修改了termserv.dll以允许RDP。这样可以正常工作,但我想要做的是允许RDP会话查看控制台会话而无需在控制台上进行确认(这是用于远程控制HTPC)。 我发现的信息引导我通过组策略编辑器路径启用此功能,但设置名称似乎在Win 2003(我发现的说明)和Win 7之间发生了变化。此外,Home Premium还没有不包括gpedit.msc所以我将不得不手动更改相应的注册表值。 我需要在注册表中进行哪些更改才能在Windows 7 Home Premium中实现快速免费的RDP控制台会话?
1
ScreenSaver组策略不起作用
更新:在此期间,我已经设置Password protect the screen saver到未配置,并Prevent changing screen saver以启用。我仍然无法确定为什么设置Password protect the screen saver为Disabled实际上导致该功能启用。 以下组策略正在应用于特定计算机: 计算机政策 将customscreensaver.scr从网络共享复制到C:\ Windows \ System32 \ customscreensaver.scr Enable loopback processing mode- 合并 用户政策 Enable Screen Saver- 启用 Force Specific Screen Saver - 启用customscreensaver.scr Password protect the screen saver - 已禁用 Screen Saver Timeout - 60 文件副本工作正常。在运行提示符中键入customscreensaver.scr可运行屏幕保护程序。但是,计算机并不遵守。即使超时设置为1+分钟,屏幕保护程序也会在60秒后运行。尽管禁用了该选项,屏幕保护程序退出后屏幕仍会锁定。最后转到屏幕保护程序属性显示“密码保护屏幕保护程序”正在检查但已禁用。 预期结果:自定义屏幕保护程序在60秒后运行。退出屏幕保护程序后,Windows …
1
允许非管理员用户格式化Windows 10中的内部驱动器
我们有一些笔记本电脑(联想T430运行Windows 10),都有多个硬盘驱动器。一个是普通的系统SSD,而另一个SSD在Ultrabay。这两个驱动器都被视为系统的内部驱动器。 现在我们的一些用户应该被授予格式化第二个硬盘(Ultrabay中的硬盘)的权利。但这些用户只具有正常权限,并且是非管理员用户。 我检查了gpedit.msc中的组策略,我只找到一个可以设置的外部媒体,但它不适用于内部驱动器。 我错过了什么?
1
计划任务触发器何时GPO无法在启动时运行(无DC)?
我正在通过GPO推送启动脚本。该脚本更新本地脚本(如果发生更改或删除),然后自行运行。 我希望只有当机器脱机且无法接收更新的脚本时才能在启动时运行本地脚本。是否有一个事件日志项,用于触发无法到达的DC-to-apply-GPO-on-boot?我不希望每次DC不可用时运行脚本(例如临时网络中断),仅在DC不可用时才启动。 有一个更好的方法吗?
2
Windows环境下的密码文件?
我正在寻找一种方法来在工作机器上存储数据库密码,以便我自己的应用程序可以读取它(为了连接到数据库),但没有管理权限的用户无法读取它。管理员必须可以更改密码,最好是自动更改密码。 我想到的是类似的东西 PostgreSQL的.pgpass文件 在Linux环境中。这也适用于Windows环境吗? 我认为密码文件只能供管理员访问。但是,对用户可执行的程序是否也可以访问此文件?此外,是否可以借助组策略通过网络分发此类文件? 我正在考虑的其他解决方案(可能需要付出更多努力): 加密密码文件。只有应用程序和管理员具有解密和更改/读取文件的有效密钥。 从网络资源中检索密码,也可能是加密的。
3
通过GPO编辑已存在的计划任务
我一直在寻找一段时间,但目前没有从我可靠的朋友谷歌那里得到太多,所以想知道那里的其他人是否可以分享一些智慧。 默认情况下,Windows下有一个计划任务 任务计划程序库>微软> Windows>系统还原 叫SR。这设置为每天在系统启动和午夜运行,但我希望它更频繁地运行。 显然我可以在奇数机器上手动修改它,但是我想通过GPO在多台机器上更改设置。 我知道如何在GPO中创建计划任务,但如何在上述位置编辑已创建的任务? 有任何想法吗? 谢谢James :)
0
仅允许使用公司发行的USB设备[关闭]
我正在尝试对部署到多个端点的Windows 10 Enterprise安装映像进行一些自定义。具体来说,我试图对USB设备连接施加限制以提高安全性: 防止安装和使用任何USB外围设备(键盘等) 防止安装和使用非公司发行的任何USB存储设备 使用公司发行的USB存储设备,一旦插入,就“解锁”外围设备的使用 一旦该公司发布的USB存储设备被移除,再次阻止使用任何USB外围设备 这样的事情有可能吗? 以下是我尝试过的一些事情: 我已经尝试配置GP以防止安装任何设备,但这实际上并不适用于我们,因为我们需要实际连接到这些端点; 我试图将一些设备列入白名单,这样可以正常工作,但我仍然坚持设备ID白名单,这是行不通的,因为我希望能够发出多个作为密钥的USB驱动器“解锁”USB设备使用; 我已经尝试创建一个应用程序来监听USB连接/断开连接并试图在那里做一些事情,但收效甚微。 就像一个概念验证一样,我将一个USB设备列入白名单并为该设备创建了一个自动运行,以便调用GP更改并且可以在连接上运行,但是不确定如何解决这些情况下的断开连接。但话说回来,那不是我们想要做的。有没有办法修改或丰富USB驱动器的设备信息,包括一些额外的信息,如我们将生成的自定义ID,然后自动将所有具有该值的设备列入白名单? 最后,这里实际上有两个问题: 是开头列出的场景甚至可以实现和 是否可以修改/丰富USB设备信息,以便能够通过组策略轻松地将多个设备列入白名单? 任何帮助在这里将不胜感激!
1
在系统启动时运行交互式脚本,或启动交互式用户会话(Windows)
我正在AWS上创建短暂的Windows Server VM,并希望在首次启动时安装无​​人值守的软件列表。为此,我在启动时运行一个bootstrap脚本,安装Chocolatey,然后安装一些自定义choco包。系统在启动时加入我的域,我通过GPO分配启动脚本。我还可以根据需要创建任何其他GP相关项目。 该脚本运行正常,但我遇到的问题是我通过choco运行的许多安装程序需要交互式用户会话才能工作,因此它们不会在启动脚本运行的Session0上下文中运行。 我可以看到以下任一工作: 为脚本创建交互式会话,以便在系统启动时运行。 从Session0上下文(可以是域用户)登录用户,而是将包安装为登录脚本。 我也对如何解决这个问题的其他建议持开放态度。只要我能以某种方式通过脚本无人值守地运行安装程序,我将感到满意。
2
如何使用组策略管理计算机?
我有一台XP机器,我想把它锁定,防止用户可以做什么。 我使用组策略禁用了控制面板(以及其他一些东西)。 这样用户帐户就无法触及那些东西。但是我该如何管理电脑呢? 假设我想从添加/删除程序工具中卸载应用程序,或者访问我在管理员帐户上禁用的任何其他内容? 我应该提一下,计算机不在域上。 这是一个很好的例子: 我使用这里的方法来限制可以运行的程序。但是在管理员帐户上我需要可以自由访问可以运行的内容,这样我就可以执行维护任务。
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.