我有一个GPO设置,试图防止Cryptolocker感染我们环境中的系统。 下面的软件限制已经到位: %AppData%\*.exe %AppData%\*\*.exe %LocalAppData%\Temp\*.zip\*.exe %LocalAppData%\Temp\7z*\*.exe %LocalAppData%\Temp\Rar*\*.exe %LocalAppData%\Temp\wz*\*.exe %UserProfile%\Local Settings\Temp\*.7z\*.exe %UserProfile%\Local Settings\Temp\*.rar\*.exe %UserProfile%\Local Settings\Temp\*.wz\*.exe %UserProfile%\Local Settings\Temp\*.zip\*.exe 当试图安装Firefox我得到以下错误: 访问C:\ Users \ jdoe \ AppData \ Local \ Temp \ 7zSA1FB.tmp \ setup-stub.exe已被pipe理员按位置限制,pathC上放置了策略规则{0cbe13527-3132-4e4c-5df1-c48de858c993} :\用户\ JDOE \应用程序数据\本地的\ Temp \ 7Z * \ *。exe文件。 我已经将下面的规则添加到GPO并设置为不受限制,但不起作用: %LOCALAPPDATA%\ TEMP \ 7Z * .TMP \ SETUP,stub.exe 有人可以告诉我我做错了吗? 我不能使用确切的文件夹名称(在这种情况下是7zS189F.tmp),因为每次安装文件夹名称都稍有不同,所以我需要能够使用通配符。 提前感谢你的帮助。
(我应该这样说,最近我把工作转移到了一个大部分linux环境下的小公司,然后把它们从一个非常标准的Windows服务器环境迁移到了一个更大的公司,而且在Active目录和组策略) 为Win7机器和Win10机器创build单独的GPO的最佳方法是什么? 基本上,我们正试图pipe理UAC设置下的“滑块底部”,但是我们发现在Win7和Win10上它们完全不同。 从我所能告诉的是,在Goup策略中没有“原生”的方式来检测操作系统。 我们已经在Active Directory中按部门组织了我们的计算机。 我不确定是否可以创build第二个组织单元,并且在两个地方都有PCxxx的计算机对象。 我提出的最好的想法似乎非常麻烦,那就是手动委派两个策略,并打破每台计算机。 这在组策略pipe理本身看起来非常麻烦,但是,有没有更好的方法来做到这一点,或更好的方式来解决我的整体问题?
随着已知的Java威胁松散,我推动了一个GPO在IE中禁用Java。 不过,我想在所有浏览器上禁用Java。 Java提供了关于如何通过他们的新控制面板来做到这一点的文档: 如何在我的Web浏览器中禁用Java? 我想通过组策略推出这个设置。 我想这应该能够通过识别由Java控制面板修改的registry设置来完成。 有没有人确定了在所有浏览器中禁用Java所需的registry设置?
“组策略创build者所有者”组的唯一原因是为了向其他用户授予在域中创build(然后仅修改其自己的)GPO的权限? 是否有另一种方式通过Powershell来做到这一点,或者这个组是唯一的方法吗? 即只是在没有成为该组的成员的情况下取消权限。 有一个PS cmdlet,例如: Set-GPPermission等等。虽然根据他们的technet文章它并不真正适用。
我们的networkingpipe理员在这里进行了3个月的强化,build立了一个虚拟的WSUS服务器,并增加了组策略,对我们三分之一的工作站执行WSUS策略。 虚拟WSUS服务器已经被删除,但是策略仍然阻止用户从Windows Update获取更新 – 说这是由域控制的。 问题是: 如何删除所有指向不存在的WSUS的指针? 在组策略pipe理中有几个WSUS GPO,在AD用户和计算机中有一个WSUS对象,其中所有被设置为内部控制的系统。 我尝试将这些工作站拖回到计算机 ,但是Windows Server 2008发出了一个警告:如果我这样做了,那么“不按原样工作”。 我宁愿那个声明不适用于我们的整个领域;) 所以…拖动电脑对象? 取消政策链接? 删除政策? 什么是正确的方式去做这件事? 谢谢。
特别是对于启用了IE增强安全configuration的服务器,您需要在“受信任的站点”列表中包含所有Windows Update / Microsoft更新URL才能使用该站点。 (此外,对于组策略强制Internet Explorer的“受信任的站点”列表的域成员服务器,您没有select自己编辑受信任的站点…所以必须在GPO中列出所有必需的URL。 那么,IE的受信任站点需要什么url呢? 到目前为止,我有以下几点: HTTP(S)://*.update.microsoft.com http://download.windowsupdate.com http://windowsupdate.microsoft.com 我似乎记得还有几个…
我正尝试使用组策略将特定的Web服务器URL添加到客户端PC上的本地Intranet区域。 任何想法应用什么政策? 我可以通过Internet Explorer的Internet选项… GUI对话框,它工作的很好,但我需要把这个政策推出到一些个人电脑。 在此先感谢,丹
我基本上对组策略一无所知,除此之外我偶尔使用本地Windows机器上的本地组策略编辑器编辑了一些设置。 我有通过直接注册或通过合并.reg文件应用registry更改的经验。 我想知道组策略pipe理模板( .admx文件)在概念上与registry文件有多相似。 是否有可能写一个pipe理模板文件,你想调整一个设置,将文件复制到另一台计算机,当有人双击它,它有效地“安装”设置? 这是registry文件所做的; 我想知道如果组策略文件function相同的基本方式,或不。 如果他们这样做,我将如何去build立一个ADMX文件来编辑一个单一的组策略设置? 特别是我试图设置以下政策“禁用”(以编程方式): Computer Configuration > Administrative Templates > Windows Components > Windows Update Configure Automatic Updates
机器被添加到安全组,以防止他们获得GPO。 我希望机器在组内30天后被移除。 理想情况下,我也希望能够生成组中机器的报告。 就像是: MachineA – 还剩10天 MachineB – 29天了
我能否通过GPO拒绝“Internet Explorer”,并将Google Chrome作为默认浏览器? 我不知道,因为Internet Explorer是Windows操作系统的一部分,如果可以否认的话。 我想强制用户只将Google Chrome用作浏览器。