我目前正在尝试为新的AD部署deviseOU和组devise。 首先,分类很难。 作为第一次猜测,我们试图将所有的用户对象保留在OU=Users和一些子OU之下。 我们有许多Team和Subteam OU以及一些Toolset OU,这些工具集通过人们所在的function团队进行分组,以及他们需要访问哪些工具。 我们希望将用户保留在用户OU中,并且每个Team OU都包含一个安全组对象,我们可以在用户join团队时添加用户,或需要工具集访问权限。 以下是AD的布局: Domain Root | | \–OU=Users | | | \–OU=Staff | | \-Username=Tom.OConnor, MemberOf=RedTeam | | | \–OU=Contractors | | | \–OU=Visitors | | \–OU=Teams | | | \–OU=RedTeam | | \-GroupName=RedTeam | | | \–OU=BlueTeam | | \-GroupName=BlueTeam | | | | | \–OU=GreenTeam | | […]
你怎样才能为一个组织单位创build一个GPO? 我想要创build的GPO非常简单,只需设置最小密码长度即可。 鉴于我不希望所有用户具有相同的密码策略,我想将GPO应用于特定OU中的用户。 我试着直接在OU上“在这个域中创build一个GPO,并把它连接到这里”,但是看起来像GPO并没有覆盖默认的GPO。 谢谢。
我已经在许多Windows Server 2012 R2机器上build立了一个实验室。 该实验室具有Active Directory域(DFL:Windows Server 2012 R2,FFL:Windows Server 2012 R2),并且这些计算机已join域。 默认情况下,如果无人看pipe,这些Windows机器将自动locking。 我不希望机器自动locking。 由于这是一个孤立的实验室,所以我没有任何安全隐患,因为机器保持解锁状态。 我创build了一个组策略对象,它设置了许多configuration,并且机器仍然locking。 我已经validation了GPO已经应用到机器上了。 GPOconfiguration以下设置: 计算机configuration\策略\ Windows设置\本地策略/安全选项\ Microsoftnetworking服务器\ Microsoftnetworking服务器:挂起会话之前所需的空闲时间量:0分钟 用户configuration\策略\pipe理模板\控制面板/个性化\启用屏幕保护程序:已禁用 用户configuration\策略\pipe理模板\控制面板/个性化\密码保护屏幕保护程序:已禁用 User Configuration \ Policies \ Administrative Templates \ Control Panel / Personalization \ Screen saer timeout:0秒 用户configuration\策略\pipe理模板\系统/电源pipe理\从hibernate/暂停恢复密码提示:已禁用 我已经做了几个小时的研究,但还没有find任何有效的方法。 是否有另一个设置来控制这种行为? 编辑:从gpresult / v输出: C:\Windows\system32>gpresult /v Microsoft (R) Windows (R) Operating System Group […]
在Win2008域控制器上,我更改了一个用户帐户属性“帐户敏感…” 当然,我希望GPO立即申请 所以我尝试gpupdate (或gpupdate / force ),但似乎没有工作! 我必须重新启动我的域计算机,然后用用户帐户再次login,使其工作! 其他方式 ? 解决方法是在这里有没有重新启动刷新计算机组成员身份的方法?
在Windows电脑中,系统使用“time.windows.com”来同步时间。 我需要在其login时修改Windows用户的时间服务器,并希望使用组策略来强制执行。 案例:我们有Windows Server 2012,在该域上有10个用户。 用户login系统时,系统应更新每台用户计算机的时间。
好的,所以我要升级,我是一名软件工程师,试图做一个系统pipe理员的工作。 我问了一个关于重写密码策略的问题,并得到了一个正确的答案,但我不明白该怎么做。 基本上它告诉我在计算机上的某个级别上应用一个策略变更。 我从来不必应用任何一种政策。 有没有人愿意帮助一个新手一步一步的如何做到这一点。 (看到另一个问题 ,为什么我这样做的原因。)
今天,我在Active Directory环境中安装了Astaro Web Gateway(代理设备)。 我制作了一个GPO来强制广告用户将httpstream量发送到设备,而不是发送到默认网关。 GPO只是编辑Internet Explorer的代理设置。 据我记得,我发现GPO模板在user..window coponent … internet explorer …代理设置。 策略运行良好,但有一个大不了的事情,它不会阻止用户手动清除该设置。 有没有办法来拒绝编辑该设置? 或者也许另一个GPO做这项工作?
在Windows服务器2008 R2中,为这个手动过程 打开运行> gpedit.msc>计算机configuration> windows模板> windows update>指定intranet microsoft update服务位置> https://www.10.101.10.10.com 也应该启用/禁用状态 我可以知道如何使用PowerShell,如脚本? 这些设置在registry部分,是问: 在GPMC中,展开计算机configuration,展开策略,展开pipe理模板,展开Windows组件,然后单击Windows更新。 在“Windows更新”详细信息窗格中,双击“指定Intranet Microsoft更新服务位置”。 单击“启用”,然后在“设置Intranet更新服务以检测更新”和“设置Intranet统计服务器”文本框中input服务器,键入WSUS服务器的相同URL。 例如,在两个框中键入http://XX.XX.XX.XX (其中servername是WSUS服务器的名称)。 这是从PowerShell脚本POssible结束?
我有一个testing电脑,我正在尝试新的GPO。 GPO是文件夹redirect,它被设置为 – 安全filter:通过身份validation的用户 – 它被链接到testingOU 运行gpresult我得到以下内容: Computer Settings The following GPOs were not applied because they were filtered out ——————————————————————- Local Group Policy Filtering: Not Applied (Empty) My Documents – Redirection Filtering: Not Applied (Empty) 这是GPO报告 My Documents – Redirection Data collected on: 9/4/2011 15:04:18 General Details Domain optitex Owner OPTITEX\Domain Admins Created 8/31/2011 […]
我已经Google,但还没有find答案。 情景:我的一个GPO有一个启动脚本需要很长时间才能完成。 出于某些原因,我们必须同步运行脚本。 当然,这会导致login屏幕出现之前的启动时间变慢(有时长达15分钟!)。 在对犯罪人脚本进行分析和分析后,我确定了要花费很长时间才能完成的步骤不会影响成功的GPO的结果。 换句话说, 那个特定的步骤(以及之后的所有步骤)都可以在后台运行。 我的问题: 即使启动脚本退出,启动脚本是否可以“触发”即将运行完成的另一个脚本/程序? 也就是说,即使启动脚本的过程结束,启动脚本的“subprocess”仍然存在? 附加信息:域控制器是2008和2008 R2的。 工作站是Windows XP。