我目前正在编写和部署自定义的FxCop(Visual Studio代码分析)规则,允许开发人员根据一系列这些自定义devise的规则来检查他们的代码。 作为这个的一部分,我希望每个开发人员的计算机检查特定(networking)位置内的新的.dll文件,并将这些文件复制到正确的文件夹; 在启动时,也就是说。 我写了一个执行程序,但是它不会运行,因为它需要以pipe理员身份执行(复制到程序文件中的一个位置)。 有什么办法来分发这些文件,让开发人员的电脑在启动时检查更新的版本? 通过组策略或其他机制说。 我的目标是尽可能减less对我公司系统pipe理的依赖,线路很长; 所以能够用我自己的程序做到这一点是最好的解决scheme。
我正在通过组策略应用多个首选项,例如驱动器映射,registry,桌面图标等。 问题是需要两次login才能应用此设置。 仔细想一想就明白了为什么。 第一次login将设置写入HKCUconfiguration单元,但是由于所有的用户进程已经加载,用户需要注销并重新启动才能使此设置有效。 解决办法是在用户进程加载之前写入HKCUconfiguration单元。 目前我们正在解决这个问题,一个二进制文件是login脚本的一部分。 此二进制文件可防止所有用户input,并在特定时间后强制用户注销。 它只在第一次用户login时运行。 我对这个肮脏的黑客完全不满意。 有没有解决的办法? 提前致谢。 计算机/pipe理模板/系统/组策略: configuration用户组策略环回处理模式:Enabled => Merge configuration文件夹redirect策略处理: 允许通过慢速networking连接进行处理:已启用 即使组策略对象尚未更改,也要处理:已启用 configuration驱动器映射首选项扩展策略处理 允许通过慢速networking连接进行处理:已启用 即使组策略对象尚未更改,也要处理:已启用 背景优先级:空闲 用户/pipe理模板/系统/脚本: 同步运行login脚本:启用
我正尝试通过组策略首选项在多台Windows 7和Vista计算机上设置主页。 两者都运行Internet Explorer 9.“申请一次,不重新申请”选项已启用,因为我希望用户能够覆盖公司的默认值。 但是,主页没有得到应用。 看看客户端的gpresult,我可以看到来自另一个GPO的几个IE设置通过“Internet Explorer维护” – 设置。 这使我困惑。 我的GPO已经在W2012 R2机器上创build,因此没有显示IEM设置。 我可以看到GPO得到应用,但没有偏好。 我已经通过按F6启用了相关的主页部分! 有一些admx版本不匹配吗? 我怎样才能解决这个问题? 感谢您的input!
通过Microsoft安全公告MS14-025 ,现在可以对GPMC和相关工具进行修补,从而不再允许在组策略首选项中使用可能embedded混淆密码的configuration项。 公告引用KB256345作为解决方法,使用使用组策略configurationWindows服务的“传统”方法。 但据我所知,该方法只允许你在服务上设置安全ACL(它是启动types),而不是服务运行的帐号。 我很想被certificate是错的。 还有什么其他的方式来configuration服务使用组策略作为特定的域服务帐户运行? 我们不能手动开始触摸所有这些机器来configuration服务。 现在假设我们没有其他基于Windows的configurationpipe理工具可以使用,而且我们坚持使用组策略以及Powershell等其他内置工具。 暂时在我们的环境中,我们只是封锁了WSUS中的补丁。 但是我正在寻找一个长期的解决scheme。 我们以这种方式configuration的密码都是低权限帐户,如果他们的密码被泄露,那么这些帐户无关紧要。 有没有可能使用托pipe服务帐户的解决scheme? 我们应该想出一些在启动时运行的基于PowerShell的解决scheme吗? 我们正在使用的GPO适用于没有安装所有服务的计算机组。 因此,理想情况下,此解决scheme不会使用组策略错误启动垃圾邮件事件日志
我正在为希望阻止pipe理员帐户login到工作站的客户实施安全限制。 例如,每个人都有一个用户帐户和一个pipe理员帐户,只有用户帐户应该有访问权限。 pipe理员帐户用于解决问题和升级权限来解决问题。 如果我拒绝pipe理帐户的交互式login,那么将其用于“运行方式”的function也将被删除。 我还查看了“允许本地login”并只指定了正常帐户,但这意味着将pipe理员从本地允许login中删除,这会导致进一步的问题。 我目前的办法是做一个login脚本,看看用户是一个普通的帐户或pipe理员帐户,并在后一种情况下开始注销过程。 任何人都可以想到一个更好的方式做到这一点? 我们只是试图实现最低限度的特权访问,并确保pipe理员不用他们的pipe理员帐户login。
我们有一个程序,当它们被初始设置时,它们是在工作站上手动安装的。 我们现在需要升级这个软件,我希望通过组策略来完成。 我使用Orca创build了一个MST。 它似乎工作使用msiexec /i application.msi /q TRANSFORMS=my_mst.mst 。 但是,当我们添加包和MST通过组策略进行部署时,应用程序不会更新。 它被用作计算机configuration,以避免用户pipe理权限的任何问题。 根据我的理解,组策略软件部署的行为应该匹配msiexec /i application.msi /q TRANSFORMS=my_mst.mst 。 有什么我可能会失踪?
是否“将[FolderName]的内容移到新位置”。 选项仅适用于在用户configuration文件中find的文件,还是在将redirect目标更改为新共享时也适用?
作为一个序言,不,这根本不必与远程桌面的redirect打印机有关。 我已经在“组策略”对象的“用户configuration”下部署了HP打印机(称为\ Manager \ Picasso)。 这很好,很好,我可以打印。 问题是打印机实际上显示了两次,尽pipe在策略中只列出一次。 根据注册中心的HKCU\Printers\Connections ,它应该只在那里一次。 关于这两台打印机(实际上只有一台)的一切都是一样的,除了一个声称它的位置是Spooler Internal ,另一个是\Users\S-1-5-21-2824181156-3210474303-1020481702-500\Printers\^\^\manager^\Picasso (如下所示)(通过在设备和打印机中显示对象属性进行查看): 我唯一的猜测是不知何故这个特定的打印机可能configuration不同于其余的? 似乎这个被重复,因为它有某种特殊的队列或某事。
我们在Windows 8.1中使用本地组策略的“部署打印机”function,以便我们的用户可以login到任何机器,并且已经configuration了打印机。 这对所有机器上的所有用户来说都是完美无缺的,直到我们的打印服务器的主机名发生变化。 现在这个政策似乎什么都不做。 我已经拿出所有旧的部署打印机,并使用正确的服务器名称和打印机名称重新部署。 Windows发现新的打印服务器很好,并手动连接到打印机的作品。 我已经尝试在机器策略和用户策略中使用“部署打印机”,但没有任何运气。 gpupdate / force什么也不做,也没有完全重启机器。 任何帮助表示赞赏!
我在我的域上部署了EMET,并使用GPO进行configuration。 我想知道系统设置系统设置系统DEP,系统ASLR和系统SEHOP时,我刷新组策略或我需要也刷新EMET的configuration( emet_conf – 刷新 )? 谢谢您的回答。