我无法让GPO安全筛选为用户(称为TestUser)和自定义安全组(称为TestGroup)工作。它适用于已validation用户或添加计算机。 我在客户端计算机上做了一个gpresult,并确认TestUser列出了TestGroup。 我也确保读取和应用组策略在TestUser和TestGroup上都被选中。 我也尝试使用内置的pipe理员组,但没有喜悦。 我还在服务器(Windows 2012)和客户端计算机上运行gpupdate(/ force)。 我也重新启动了客户端PC。 我在两个不同的networking上也遇到了同样的问题,所以我知道这一定是一个根本性的问题,我不明白。 任何帮助将不胜感激。
我是一个普通用户而不是系统pipe理员。 我需要帮助使用本地组策略来允许打开一个域。 例如,www.xxxx.com在chrome或firefox(第三方浏览器)上打开,并将该域名设为主页。 我怎样才能做到这一点?
我们在2012 R2上运行RemoteApp服务器,并希望让我们的用户select边框颜色和字体大小。 除此之外,我们不希望他们在控制面板中乱搞。 起初,我们设置了“禁止访问控制面板和PC设置”来启用,它locking了服务器…但是阻止了任何人对其进行个性化设置。 如果他们试图右键单击桌面并单击“个性化”,则会popup一个框,该设置被pipe理员禁用。 所以我现在使用下面的组策略设置: 仅显示指定的控制面板项目 – 启用(@ themecpl.dll,-1和Microsoft.Display) 隐藏程序控制面板(启用) 从计算机图标上下文菜单中删除属性(启用) 当我在虚拟机中testing这三个设置时,我可以打开个性化菜单并select边框颜色。 但是,当我在实际的RemoteApp环境中尝试时,这是我所看到的: 拾色器神秘地缺席。 按照预期,更改字体大小是否正常工作。 奇怪的是,我们正在使用回送策略 – 如果我被添加到pipe理员组(谁没有得到该策略),我不仅有完全不受限制的访问控制面板,但颜色select器实际上显示。 我很困惑为什么设置在虚拟机中工作,但在我们的实际环境中。 有没有人有任何想法?
我只是发现比我的电脑,Windows 2012 R2域上运行Windows 8.1专业版已经查询不存在的SRVlogging的DNS。 所有的dcdiag / dnsalltesting都通过了,但是我想知道在组策略中是否有什么东西导致客户端查询错误的SRVlogging。 当运行ipconfig / displaydns来检查caching的DNSlogging上的TTL时,我发现了这些: _ldap._tcp.server1.contoso.com —————————————- Name does not exist. _ldap._tcp.site-name._sites.server1.contoso.com —————————————- Name does not exist. (网站名称,域名和服务器名称已更改)。 出于某种原因,DNS查找包括FQDN中的login服务器的名称。 如果它查找了_ldap._tcp。 server1的。 contoso.com和_ldap._tcp.site-name._sites。 server1的。 contoso.com ,他们将会返回正确的logging。 我只是偏执狂,还是有一些错误的方式,我有我们的Active Directory / DNSconfiguration?
在Windows 2012 R2 AD域中,我们有一个用于组策略模板的中央存储。 随着时间的推移,一些不必要的模板被添加到这家商店(大多数不使用),并在过去几年中增长。 是否可以确定GPO正在使用哪些模板(或哪些模板未被使用)? 我找不到任何东西,也找不到,但我们需要删除那些不被使用的。 提前致谢
我试图找出一种方法,使域客户端连接到局域网使用VPN只有当它是物理上断开到所述的局域网。 我find了这个和这个详细的官方指南。 据我所知,它只会让域成员连接到指定的VPN; 即使域成员已经在局域网内,VPN也是连接到本质上是一个冗余的练习。 如何在连接到VPN之前确保它在局域网之外? 一台电脑如何识别一个特定的networking(例如,什么可以用来识别networking,以便我可以准备)? 必须始终从DC获取login脚本? 我是否可以在创buildGPO时将副本永久复制到所有成员? PS熟悉使用上述GPO的人能提供一个L2TP / IPSec XML的例子吗?
在主题中,如果“安全筛选”选项卡为空,但GPO中是否存在具有读取和应用权限的安全组? “安全筛选”选项卡显示“此GPO中的设置只能应用于以下组,用户和计算机:” 那么安全组是否也必须位于“安全筛选”选项卡中,还是足够了? 谢谢,
我们在两个位置有一个域(与vpn连接)。 在这两个地方我们都使用VMview池。 在这两个位置,我们都使用GPO将用户文件夹redirect到每个位置的文件服务器。 如果用户“留在”他们的位置一切都很好。 如果位置A的用户从位置B连接到VMview-pool(这是必要的,因为某些软件仅安装在此处),则文件夹redirect对于某些文件夹是“仅”工作的。 它正在为“文档” – 文件夹工作。 但设置“按照文档文件夹”的文件夹似乎得到重复。 在Windows资源pipe理器中有例如两个文件夹“我的图片”。 在文件系统上我可以看到原因:一个文件夹的名称是德文版“Meine Bilder”,一个文件夹的英文名称是“我的图片”。 所有服务器都是德语版本的Windows Server 2012 R2。 所有的“客户端”都是Windows 8.1 64位。
我知道“文件夹redirect”和“驱动器映射”-CSE都需要同步GPO处理。 但是这两个CSE都在这里工作,不必强制GP-Client同步工作,只需在电脑启动和login时始终等待networking启用即可。再次login等…亚达亚达,我们都很了解他们)。 现在我想知道GP客户端是否具有内置的某种逻辑,可以区分需要同步或asynchronous处理的CSE,并在启动和/或login过程中对其进行相应的安排。 或者,这只是我的testingconfiguration文件,使这个CSE“出现”工作的旧设置? 我希望你明白我的意思。 由于我们正面临非常糟糕的启动和login时间,我想知道是否真的必须通过将“始终等待networking…”设置为“启用”,或者如果我可以离开它,将GP客户端强制进入同步处理模式甚至在使用文件夹redirect/驱动器映射CSE时是否还未configuration,并且接受必须login两次才能使更改显示的必要性?
我正在pipe理一个系统,由于我无法控制的原因,有一个不相交的DNS名称空间。 我不喜欢它,但事实就是如此,我无法改变这一点。 原因是服务器需要与预先存在的DNS基础设施共存。 Windows域被命名为ad.example.com,其名称为AD的NETBIOS。 但是,所有DNS服务器都将其主DNS后缀设置为“example.com”或“sub.example.com”,具体取决于它们在networking中的位置。 根据Technet上的“ 创buildDisjoint命名空间”文章,我已经在域中configuration了msDS-AllowedDNSSuffixes属性。 ad.example.com域的DNS在环境中的两个域控制器上运行,而example.com和sub.example.com的DNS在其他非Microsoft DNS服务器上运行。 在这种环境下,DNS是手动pipe理的,而不是依靠dynamicDNS注册和更新。 环境工作正常,除了在事件日志中出现的一些烦人的警告错误,看起来像这样: The system failed to register host (A or AAAA) resource records (RRs) for network adapter with settings: Adapter Name : <censored> Host Name : <censored> Primary Domain Suffix : sub.example.com DNS server list : <censored> (These are the domain controllers for ad.example.com) Sent update […]