Samba域名的乐趣…首先closures域名组策略不能使用,直到Samba 4到达。
我们需要在我们的Samba域中的大多数计算机上设置软件限制策略(SRP),我非常希望将其自动化。 (我们正在远离禁用Windows安装程序)。 传统的方法是使用本地组策略(LGP) 计算机configuration – > Windows设置 – > SRP来设置SRP,但是这涉及访问每台机器,因为它不能在NTConfig.pol中使用。
可以尝试直接在registry中创buildSRP:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\262144\Paths\{30628f61-eb47-4d87-823b-6683a09eda87}] "LastModified"=hex(b):40,a2,94,09,b5,5d,ca,01 "Description"="" "SaferFlags"=dword:00000000 "ItemData"="C:\\location\\subfolder" SaferFlags DWORD似乎是什么打开或closures,但虽然这似乎工作,它不会更新本地组策略 – SRP仍然显示为“没有SRPs定义”。
LGP在哪里存储这个设置 – 它甚至在registry中,更重要的是 – 是否有一个更聪明的方式来设置SRP?
本地组策略存储在C:\ Windows \ System32 \ GroupPolicyregistry之外,并在启动(对于计算机策略)或login(对于用户策略)过程中合并到registry中。 您需要将它们视为一个单独的实体,实际上它们甚至不需要设置即可生效。
当您在gpedit.msc中查看本地策略时,您正在查看的是C:\ Windows \ System32 \ GroupPolicy文件夹中的内容,而不是registry中的当前内容。
一个build议是修改本地政策,在testing机上品尝,并将相关文件放到其他机器上,但是我没有testing过,无法确认它会工作。 总的来说,虽然我诚实地认为你最好咬下子弹,把Windows域控制器放进去。你可能用现有的方法节省许可证费用,但是你只是失去了很多时间来维护一个复杂的(和可能微妙)设置使用Windows DC将完全绕过。 不幸的是,我怀疑你失去的时间成本是实现Windows数据中心成本的几倍。