在我的组织中,所有开发者都将通过自动注册获得代码签名证书。 另外,PowerShell是由组策略configuration的,要求所有脚本都要签名。 但是,PowerShell不信任任何代码签名证书而无需手动干预。 我看到如果根CA是可信的,是否在域中自动信任代码签名证书? 并已validation代码签名证书是根的子项,并且根在我的组织中的所有计算机上列为可信CA. 但是,根据此https://serverfault.com/a/542179 AuthentiCode(PowerShell用于validation签名的内容)不符合证书链。 所以,我不能简单地添加一个根,并完成。 我必须手动添加每个证书。 因此导致我的问题。 我如何获得所有自动注册生成的代码签名证书自动添加到“受信任的发布者”? 我所能find的所有文档都是关于如何使用组策略一次性手动执行的。 (即http://technet.microsoft.com/en-us/library/cc772491.aspx )。 我真的希望在创build自动注册证书时能够无缝地进行自动化过程。 我怎样才能做到这一点?
所以这里有一点背景。 我们的系统最初是从Windows Server 2003机器开始的,最终随着时间的推移而扩大和发展。 我们仍然有一些Server 2003的,但他们正在被删除。 我们的域控制器最近从Server 2003升级到Server 2012 R2。 尝试从Active Directory用户和计算机的MMCpipe理单元pipe理远程计算机时,服务器有时无法打开远程工作站的“计算机pipe理”。 我们的PDC安装了以下angular色/function: Active Directory域服务 DNS服务器 DFS 组策略pipe理 远程服务器pipe理工具 每当pipe理员尝试pipe理工作站(在任何OU中)时,仅在服务器上logging以下错误: 尝试激活服务器时,DCOM从计算机workstation1.contoso.com中收到错误“2147944122”:{03837521-098B-11D8-9414-505054503030} 组策略启用以下防火墙规则: 计算机configuration\策略\pipe理模板\networking\networking连接\ Windows防火墙\域configuration文件\ Windows防火墙:允许入站远程pipe理例外 除此之外,我们还为TCP端口135,445和UDP 137启用了几个Spiceworks端口例外。 所有的工作站都运行Windows 7 Professional SP1,并且在12月份的补丁周二是最新的。 在任何Windows 7工作站计算机上禁用防火墙时,不会logging错误,并且远程pipe理工作正常。 我还想说明我们使用Vipre Business Premium。 所以这是我的问题: 因为我认为这是一个被工作站或远程机器阻塞的端口,是否有人知道它是哪个端口,还是有更好的方法通过GPO进行设置,以便所有机器都可以远程pipe理? 我尝试了以下修复而没有成功: WMI相关服务/可执行文件的端口例外 检查阻止的端口的Windows防火墙事件日志 使用Wireshark来确定它看起来像Windows使用dynamic端口从tcp端口1024上的任何地方,包括端口41975,和一个范围的例外没有好处。 任何帮助/build议表示赞赏!
我正在寻找通过组策略创buildBitLocker策略的帮助。 我自己做得不好,需要那些比我更有经验的人的帮助。 服务器:Windows Server 2012客户端:Windows 7旗舰版,戴尔笔记本电脑(2014),带有TPM模块 完整的本地磁盘encryption 我希望启动尽可能简单。 我不希望用户在启动时必须inputPIN码。 我想要的唯一的保护是,如果硬盘驱动器被删除,他们将无法查看内容 恢复密钥应该存储在AD中,并通过那里进行pipe理 插入笔记本电脑的任何USB驱动器在使用前都需要进行BitLockerencryption,并且可以使用PIN码保护(4位数字PIN码) 以上是可能的,任何人都可以帮助的GPO设置 。 我遵循了一些指南并部署了策略,但是我可以看到错误消息,指出我的GPO具有矛盾的设置或类似的消息。 谢谢 詹姆士
这一直在困扰我一段时间。 这是设置: 我们有20台Win2k8r2服务器。 他们被分成各种不能改变的OU。 我已经创build了一个安全组“DevHostsSG”,其中包含应用此策略的计算机。 我们有约40个用户。 有一个特定的OU“DevUsersOU”,其中包含我想要应用策略的十几个用户。 我还创build了一个包含相同用户的安全组DevUsersSG。 我需要将特定的文件夹redirectGPO应用于DevUsersOU中的用户, 并且只应用于DevHostsSG安全组中的服务器。 DevUsersOU中的用户不应将redirect策略应用于任何其他服务器,并且在loginDevHostsSG安全组中的服务器时,其他用户不应该有redirect。 我迄今为止的进展: 我有环回处理设置,所以redirect应该适用 当我将策略设置为DevUsersOU,然后将DevHostsSG添加到安全筛选(使用读取和应用)时,它无法在任何地方工作(我假设这是因为该OU中没有任何计算机?) 当我将策略设置为域,然后使用安全筛选来包含DevUsersSG和DevHostsSG时,即使DevUserslogin到非DevHosts 当我将组策略应用于DevHostsSG时,它似乎根本不起作用(这让我怀疑环回处理是否不起作用) 当我创build一个包含指定用户和计算机的安全组时,它似乎适用于所有主机 在这一点上,我已经没有想法,部分只是猜测的东西,似乎越来越差,出于某种原因,我有一个主机在DevHostsSGredirect工作,两个主机,它不工作,一个主机是不是在启用redirect的DevHostsSG中。每次我进行更改时,我已经做了几次gpupdate / force以及logoffs和gpresult / R,而且我没有真正得到任何地方。 任何帮助将不胜感激! —-进一步testing—- 为了简化这种情况,我尝试了以下方法: 清除安全filter中的组 添加了一个特定的用户到安全filter 添加了一个特定的主机到安全filter 在该主机上以该用户身份运行gpupdate:启用redirect(OK) 作为另一个用户在该主机上运行gpupdate:未启用redirect(OK) 作为该用户在另一主机上运行gpupdate:启用redirect(NOT OK) closures环回处理没有什么区别 —-回应—- joequerty: 基本上我每次在组策略pipe理中进行更改后,都在四台主机上运行gpupdate:DevHostsSG组中有两台主机,两台不在组中,每台主机都以DevUsersOU的用户身份login,不在OU中的用户。 需要重新启动听起来很奇怪。我只是指AD属性下的“members”/“member of”选项卡(例如,在DevHostsSG中,成员是DevHost1,DevHost2等) 如果政策与整个领域没有联系,那我们就不知道还有什么可做的 这是问题..我似乎无法让GPO安全筛选器做一个“AND”,安全筛选器总是做“或”(即DevUser1或DevHost1而不是DevUser1和DevHost1) 当前的configuration回到上面的第1项,这是为了使GP适用于DevUsersOU,并将安全组设置为应该应用GP的主机列表。 自上次更改以来,我重新启动了其中一台主机,并且文件夹redirect现在不再有效(这是我昨天检查的最后一次)。 当我运行gpresult / RI时,在“计算机设置”下看不到所有列出的GP,但我在用户设置下看到以下内容: The following GPOs were not applied because they were filtered […]
我在一个名为org_unit_a的组织单位的组策略中拥有一个受限制的组。 这个组织单位有所有的电脑。 受限制的组是My_domain\Workstation Admins 有成员: My_domain\settings 是以下成员: Administrators (或芬兰的Järjestelmänvalvojat) 在本地计算机上: net localgroup "Administrators"将My_domain\Workstation admins为成员组 net user /domain settings显示组成员身份到My_domain\Workstation Admins 如果我尝试inputMy_domain \设置到UAC提示符,它只是在我脸上贴着: 请求的操作需要提升 如果用户settings已经通过受限组设置为本地pipe理员,那么为什么Windows在UAC提示符下input时不接受这些凭据?
我知道有一个组策略,我可以映射一个特定的份额。 如果我希望组策略在该共享上创build文件夹并在login时映射它,该怎么办? 我知道在PowerShell中一定有办法做到这一点。 或者我不必担心使用PowerShell? 我可以只在组策略\\servername\share\$username指定UNCpath。 我应该期望Windows自动创build文件夹并映射给用户,或者这是更复杂?
我刚刚build立了一个新的远程桌面基础架构,所有服务器都在Server 2012 R2上构build。 我有7个会话主机和一个中央文件/打印服务器。 在打印服务器上,我使用IP地址添加了networking打印机,将其共享并列入目录中。 对于每个打印机“每个人”都有打印权限,但不pipe理。 然后,我创build了一个组策略对象,在其中创build了具有项目级目标的打印机条目(以控制谁获得了什么打印机)。 打印机部署正常,因为我也在同一组策略中禁用了点和打印限制: 我们有的各种问题: 惠普打印机的一些用户,部署了重复的打印机。 他们是相同的打印机,但一个显示“在FLX-FS-V001”,另一个显示“在10.0.0.100” 打印PDF时,用户偶尔会收到消息,指出由于没有select页面,文档无法打印。 据我所知,其他应用程序在这个时候是可以的 有些用户发现他们的默认打印机会自发地改变为OneNote 2013打印机,当尝试将其更改回来时,会出现驱动程序错误 在大多数情况下(如果不是所有这些情况),执行gpupdate / force或重新启动打印后台处理程序似乎都能解决问题,并将其重新启动。 我目前没有发现任何事件来表明可能造成这种情况。 我已经确保从制造商网站使用最新的x64驱动程序用于服务器2012 R2,但仍然是一个问题。 有没有人有这种问题的过去的经验,并能够build议我还可以尝试什么? 编辑:看起来像我设法摆脱了重复的打印机通过设置列表顶部的策略中的空白打印机,并将其设置为删除所有共享的打印机。 注销/login后,只部署了一台打印机实例。
出于各种原因,我们希望我们的客户的计算机不会在交stream时睡觉。 我们一直运行下面的脚本,并取得了中等成功: powercfg /change standby-timeout-ac 0 但是,脚本在许多计算机(包括不在域中的计算机)上失败,并显示以下错误消息: 此电源scheme或电源设置存在组策略覆盖设置。 我意识到,这可以很容易地用GPO解决,但这不是一个可行的解决scheme,因为我们的很多客户是没有域名的小企业。 有没有办法使powercfg覆盖本地GPO?
我正在考虑与Windows Server 2008R2和2012R2的CIS基准testing一致。 但是,在看了独联体的两个基准文件 (需要注册 – 不好意思)后,2008年的文件格式是不一样的,所以很难知道如何以一种有效的方式来处理这个比较。 你有什么想法来比较2008年和2012年的基准,并处理差异?
我的一个客户在networking驱动器映射中遇到了随机问题。 用户根据组策略中的安全组获取映射的驱动器。 一个用户的示例问题: 用户被添加到不正确的安全组“Alpha”,因此被映射到相应的“Alpha”networking驱动器。 用户已从组“Alpha”中删除,并添加到“Beta”组中。 gpupdate / force,重新启动用户的电脑。 用户仍然得到“Alpha”驱动器,但不是“Beta”驱动器。 gpresult / r表示正在应用“Alpha”GPO(应用组策略对象),并且用户处于“Beta”安全组而不是“Alpha”组。 有人可以帮忙吗? 客户端PC – Windows 7 Pro x64 服务器 – Windows Server 2008 R2