我们的用户在他们的Windows任务栏上有一个名为“我需要帮助”的工具栏。 它与我们的支持系统连接,并预先填写特定的字段。 我们已经改变了我们的支持系统的一些结构,需要replace文件夹中的链接。 有些链接有不同的名称,有些正在被完全删除。 理想情况下,我们只是想清除文件夹,并将其replace为一组新文件。 通过Windows Server 2008中的组策略首选项来完成此操作的最佳方法是什么?
我在Server 2008 R2环境中通过Active Directory GPO启用WinRM已经取得了部分成功。 我创build了一个允许“允许自动configuration监听器”的GPO,并启用了所有必需的预定义WinRM防火墙规则。 这个GPO适用于我们的networking服务器。 事实上,“服务器pipe理器远程pipe理”很好地反映在“服务器pipe理器服务器摘要”中的“启用”中。 但是,同样的GPO适用于我们的pipe理服务器,即域控制器,并没有给出相同的结果。 我看到应用的GPO设置,包括通过确认的侦听器 C:\Windows\system32>winrm e winrm/config/listener Listener [Source="GPO"] Address = * Transport = HTTP Port = 5985 Hostname Enabled = true URLPrefix = wsman CertificateThumbprint ListeningOn = 10.32.40.210, 10.32.40.211, 10.32.40.212 但是在服务器pipe理器,服务器摘要中,远程pipe理仍处于“禁用”状态,实际上,当试图连接到其中一台服务器时,服务器pipe理器会提供“拒绝访问”。 通过服务器pipe理器在本地手动启用WinRM在这些机器上的任何一台configuration服务器pipe理器远程pipe理工作正常。 可能是什么原因? 这可能与这些DC机器有关,需要在GPO中进行额外的设置吗? Nick Reid
我们需要将某些用户locking在我们的terminal服务器上的一个非常严格的桌面上,并且只为他们提供一个可以自动启动的应用程序。 我有针对每个需求的GPO设置,但无法弄清楚如何仅将这些GPO应用于我们需要强制实施的特定用户。 WMIfilter是我的第一个猜测,没有潜入组策略环回(这可能会导致我们目前的AD结构和相关的GPO问题)。 我的问题是编写WQL语句来满足我的需求。 我试过[SELECT * FROM W32.ComputerSystem WHERE UserName ='domain \ username'],但是这个查询总是提供一个错误的返回值。 我的猜测是因为terminal服务器环境,但我不积极。 稍微看了一下W32.TSAccount类,但没有看到任何有用的东西。 任何人有想法或文学,你可以参考我,所以我可以进一步深入这一点? 任何帮助将非常赞赏,因为我没有AD / GPO的专家。
它看起来像我的服务器pipe理工具正在添加以下不需要的设置到我触摸的每个GPO。 计算机configuration/策略/ Windows设置/安全设置/本地策略/安全选项/公钥策略/受信任的根证书颁发机构 允许用户select新的根证书颁发机构(CA)来信任 :已启用 客户端计算机可以信任以下证书存储:第三方根证书颁发机构和企业根证书颁发机构 要执行用户和计算机的基于证书的身份validation,CA必须满足以下条件:仅在Active Directory中注册 这导致像某些CA不再被IE信任的怪异问题。 到底他妈发生了什么? 我在Win 7 x64机器上使用RSAT 2008 r2 / Win 7。
我正尝试使用Windows Server 2003(32位)中的组策略远程安装32位MSI和64位MSI。 我创build了一个分发点和一个组策略对象。 当我尝试“分配一个包”,并select32位MSI,一切工作正常。 但是,当我尝试分配64位MSI时,出现此错误: “添加操作失败,无法从软件包中提取部署信息,请在软件包上运行validation以确保软件包是正确的” 任何想法可能会发生在这里? 是否有可能通过使用Windows Server 2003(32位)的组策略远程安装64位MSI?
我们仍然面临的问题是即使成功的IE8安装后GPO也没有得到应用。 尝试重新启动/注销两次,但仍然无法正常工作。 而且,由于未应用GPO,自动configuration脚本未检测到,因此Internet无法工作。 互联网正常工作与FF,但IE8它不! 它也可以在gpupdate / force之后工作,但这不是一个可行的解决scheme,因为我们将会进行大规模部署,导致混乱,因为在安装IE8并调用SD之后,用户将无法访问Internet。 有什么办法可以防止这个?
我的公司通过Active Directory彻底组织了数千名员工。 我有信心在用户configuration文件中显示的部门和标题信息的准确性。 我正在帮助build立一个全新的SharePoint 2007站点,并联系了IT部门通过AD组pipe理站点权限。 目标是让网站根据AD中的信息自动分配读/写/贡献/任何权限。 例如,我们可以创build一个名为“经理”的AD组,其中包含AD用户configuration文件中具有“经理”标题的任何人。 如果我知道所有的pipe理者需要一定的访问级别(读/写/贡献/任何),我会让SharePoint利用这个AD组来批量分配权限。 那么,如果一个经理join公司或者离开公司,那么这个小组会自动更新(当然提供了公元更新)。 我的IT代表回电并表示无法完成。 这似乎是一个非常简单的业务需求,并具有Active Directory的巨大好处之一,但也许我错了。 任何人都可以点亮这个? A)当通过SharePoint分配权限时是否可以使用dynamic更新的AD组? (有谁知道一个指导,我可以显示我怀疑的IT代表?) B)是否有一个“最佳实践”的方式去做呢? 我已经阅读了一些有关SharePoint组或AD组是否要走的争论。 我主要关心的是dynamic更新。 C)如果这不是开箱即用的,有人可以推荐第三方软件来提供我正在寻找的function吗? 非常感谢任何人可以帮助我!
2008R2服务器,Win7客户端 我有一个只有三个GPO链接到域本身的小域。 首先(链接顺序1)是默认域策略,它是自动创build的,并具有密码策略设置。 其次(链接顺序2)是描述驱动器映射,文件夹redirect和一些脱机文件的策略。 三是增加额外的驱动器映射和文件夹选项的高级用户。 这个(也是唯一的)GPO具有针对“高级用户”用户组的安全筛选,并且只包含用户设置。 其余的被设置为authentication用户。 所有用户设置都按照它们应该的顺序很好地应用。 但是,计算机设置只能从gpresult报告的默认域策略中应用。 当我运行gpupdate时,用户设置成功应用,但是当它尝试更新计算机设置时出现错误。 计算机策略无法成功更新。 遇到以下错误: 组策略的处理失败。 Windows无法获取域控制器的名称。 这可能是由名称parsing失败造成的。 validation您的域名系统(DNS)已configuration并正常工作。 任何想法什么可能是错误的我的DNS设置? 什么DNS错误会导致用户设置被应用,但计算机设置不是? 那么默认域策略GPO怎么没有遇到这些问题呢?
我一直在试图解决这个错误,像其他许多人一样: 组策略的处理失败。 Windows试图从域控制器读取\ domain.local \ SysVol \ domain.local \ Policies {3EF90CE1-6908-44EC-A750-F0BA70548600} \ gpt.ini文件,但未成功。 在解决此事件之前,可能不会应用组策略设置。 此问题可能是暂时的,可能是由以下一项或多项原因造成的:a)名称parsing/networking连接到当前域控制器。 b)文件复制服务延迟(在另一个域控制器上创build的文件尚未复制到当前的域控制器)。 c)分布式文件系统(DFS)客户端已被禁用。 错误代码:5 =访问被拒绝。 这个令人难以置信的有用的职位是这个( http://www.experts-exchange.com/OS/Microsoft_Operating_Systems/Server/2003_Server/A_1073-Diagnosing-and-repairing-Events-1030-and-1058.html )。 从这个post引用: 这是一个可能导致1030和1058事件错误的潜在问题清单: 有时包含组策略(Sysvol文件夹)的文件夹的权限可能会损坏。 有时你有NetBIOS的问题: – 有时,GPO本身已损坏,或者您拥有该GPO的部分数据。 有时,您可能会遇到文件复制服务的问题,这几乎总是表示DNS的问题 –Sysvol可能是它自己的子文件夹:Sysvol / Sysvol 我遇到sysvol是sysvol子文件夹的问题。 目录结构是: -sysvol -domain -staging -staging areas -sysvol (shared as "\\server\sysvol") -domain.local -ClientAgent -Policies -scripts 有趣的是,第二个sysvol文件夹是共享为“\ server \ sysvol”的文件夹。 这让我确信这是权限和错误代码5的问题。 另外有趣的是,我的服务器2008 R2服务器可以看到它 – […]
有没有什么办法可以设置一个组策略,让用户可以访问共享系统中的某些文件夹? 我可以知道用户在我的系统中可以访问的所有文件夹,有没有这样的工具?