在我的Active Directory环境(DC运行Windows Server 2003 R2 SP2)中,有一个Windows Server 2008 R2 SP1客户端。 在此客户端上,有本地pipe理员帐户下正在运行的计划任务。 我想添加一个将在一个域帐户BackupUser下运行的任务。 BackupUser是域备份操作员组的成员。 任务计划程序无法添加具有错误2147943785的任务。这是一个权限问题,可以通过将作为批处理作业的login权指定给BackupUser来解决。 但是,通过组策略执行此操作将覆盖“Backup Operators,Administrators”的默认值。 这会导致在本地pipe理帐户下运行的任务停止工作。 无法通过组策略将作为批处理作业的权限分配给这些默认组,因为它们是内置的并且根本无法添加。 如何允许(通过组策略)域用户运行一个任务,而不会破坏在本地pipe理员下运行任务的能力? 我发现的唯一方法是将BackupUser添加到域pipe理员组(甚至不pipe理员!),而不是作为批处理作业login 。 但是这样做肯定是一种错误的做法。
我configuration了GPO设置,允许非pipe理员用户添加打印机。 这两个设置是: 计算机configuration/策略/pipe理模板/系统/驱动程序安装/允许非pipe理员安装这些设备设置类的驱动程序(我为打印机{4D36E979-E325-11CE-BFC1-08002BE10318}添加了类GUID) 用户configuration/策略/pipe理模板/控制面板/打印机/指向和打印限制(禁用) 我已经validation了使用“添加打印机”从“设备和打印机”菜单添加打印机时这些设置可以正常工作 但是,用户无法使用“添加设备”添加无线打印机。 我已经尝试将打印机的类GUID添加到设备安装限制/允许使用与这些设备设置类匹配的驱动程序安装设备,但用户仍然被提示inputpipe理员密码。 她试图安装的打印机是HP Officejet 4650 。 这是无线的,她可以从她家的其他设备打印。 任何帮助表示赞赏。
我尝试根据具有GPO的用户组设置.pdf文件的默认应用程序。 我们在Windows Server 2012 R2terminal服务器上安装了Adobe Acrobat Reader DC和Adobe Acrobat DC。 每个应用程序都有一个组。 我试图解决这个与文件夹选项失败。 通过registry设置默认的应用程序也失败了。 每个用户都需要一个独特的哈希,我不知道如何生成它们。 有这个问题的简单解决scheme吗? 先谢谢你。
我的目标是在某些Windows机器上为文件系统对象configuration高级审计策略,以覆盖组策略。 我需要这个适用于Windows Server 2008(R1)和更高版本。 从我读过的 ,这是可能的通过将此registry值设置为1: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy 然后运行这个命令: auditpol.exe /set /subcategory:"File System" /success:enable 我是否正确理解这一点,或者高级审计政策是否也可以被群体政策所覆盖? *更新* 我创build了几个虚拟机,并创build一个testing域,试试这个。 它似乎工作, 但设置Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings (控制SCENoApplyLegacyAuditPolicy )仍然可以通过组策略禁用 – 如果是这样,我不明白如何覆盖它,使审计不会再次在下一个gpupdate禁用。 这可能吗?
我有几个互联网面向Windows(2008 R2)RDP服务器和一个用户,我只希望他们有权访问RDP服务器,当他们在我们的本地子网,但允许其他用户有外部访问。 是否有可能将用户的RDP访问限制在内部networking? 更好的是,有没有办法通过IP来限制组的RDP访问? 我看着使用Windows防火墙,但没有看到任何限制特定用户或组的访问权限。 我检查了一些组策略设置,并且找不到与通过IP访问RDP相关的任何内容。
我想要启用指纹login与GPO。 我安装了Windows 10 1703(Creators)ADMX文件。 首先,我读到“计算机/政策/pipe理模板/系统/login”中的“打开便利PINlogin”是必需的…这是真的吗? 如果是这样,这似乎是荒谬的…我知道用户的域名密码将不得不在本地encryption指纹将被转换为密码,但是,我不想让引脚login。 如果用户的指纹login不起作用,我宁愿恢复密码login,而不是一个非常棘手的引脚。 其次,我读到有些用户build议将引脚复杂度要求设置得非常高,以弥补4位或6位引脚访问的白痴。 这些设置用于在“计算机/策略/pipe理模板/ Windows组件/ Windows Hello for Business”中存在,但Windows 10 Creators ADMX文件已将此选项删除?!?!?! 更新:看起来像“引脚复杂性”被移动到系统…仍然,为什么必须启用生物识别技术工作,当手input密码总是可用?
我们刚刚将约2300位用户的家庭份额迁移到新的文件服务器上。 出于某种原因,文件夹redirect不会更新任何现有用户configuration文件的path(我们不使用漫游configuration文件)。 但是,如果我运行gpupdate /force而个人用户login到他们已经有一个configuration文件的PC,文件夹redirect应用正确。 随着我们的用户移动很多,这成为一个大问题。 在每个用户的configuration文件选项卡下的活动目录中,我们设置了: Connect: Z: To: \\FileServer\Share\Username这个工作正常。 我们还没有改变XP布局的文件夹结构(即图片,音乐等仍然在文件内部),尽pipe很久以前删除了XP,所以我们的redirect策略如下: 链接到包含我们的用户帐户的OU的用户configuration 文件 基本 – 将每个人的文件夹redirect到相同的位置 redirect到用户的主目录 授予用户对文档的专有权 删除策略时将文件夹保留在新位置 图片按照文档文件夹 音乐按照文档文件夹 video按照“文档”文件夹 桌面 基本 – 将每个人的文件夹redirect到相同的位置 redirect到以下位置: %HOMESHARE%\Desktop 删除策略时将文件夹保留在新位置 最爱 基本 – 将每个人的文件夹redirect到相同的位置 redirect到以下位置: %HOMESHARE%\Favorites 删除策略时将文件夹保留在新位置 计算机configuration链接到OU包含我们的电脑 策略\pipe理模板\系统\组策略: configuration文件夹redirect策略处理 Process even if the Group Policy objects have not changed: Enabled 共享权限: 工作人员:完全控制 域pipe理员:完全控制 共享文件夹的NTFS权限: inheritance:禁用 […]
我有一个客户端要求阻止用户在本地保存Office文件(任何Office应用程序),他们应该只能保存在客户端的SharePoint文件,以防止不惜一切代价的数据丢失。 我发现Restricted Browsing但这迫使我指定至less一个本地path,这不符合客户的要求。 我也尝试使用VSTO创build一个Excel Add-In ,但在Office 2016中无法正常工作(而在2013年)。 有没有其他办法可以尝试做到这一点? 编辑 我有一个可能的解决方法,将指向Restricted Browsing到用户没有Write权限的read-only文件夹,但它会引起可怕的用户体验。
有没有办法来禁用通知区域中显示的警告,告诉你Windows防火墙被禁用? 编辑:我们特别希望通过组策略实现这一点,而不是手动过程。 我们通过GPO禁用域防火墙configuration文件,这意味着Windows 10机器不断地在通知区域中发出警告通知。 这会产生用户呼叫,询问警告的内容。 我们知道这是残疾人,所以要压制这个警告。
我们正在使用漫游configuration文件,我们的设置存储在映射的驱动器上。 有没有办法让我设置.net信任组策略中的用户configuration文件path?