我正在尝试使用WSUS的组策略来防止像Silverlight这样的东西被安装,除非它被请求。 我需要每个软件的计算机组(这样一台计算机将以多个定位组结束),这些将由GPO分配。 问题是来自多个GPO的客户端定位设置将覆盖合并的intead。 有没有人知道任何简单的方法来实现这一点,而没有GPO的指数爆炸?
从某个Windows 8映像构build的域成员不能再更新计算机组策略,我们遇到问题。 这些域成员最近已经被搬到一个新的组织单元,但是把它们移回来是不可能的,因为OU的结构已经发生了很大的变化。 还有一些(未logging的)组策略更改,但是这应该是不相关的,因为当域成员在没有应用GPO的OU中时仍会发生错误。 其他域成员(不是说从Windows 8图像生成)都很好。 另外,将Windows 8映像join新的林时,问题不会发生。 这只是老森林和特定Windows 8映像的结合。 在gpresult / h输出中,我们看到组策略基础结构组件由于错误“发生了目录服务错误”而失败。 我们认为客户端有一些需要删除/重置的东西可以使客户端正常运行。 有谁知道如何解决这一问题?
我正在尝试解决一些GPO问题,并开始使用gpotool.exe来诊断问题。 我从2003年的资源工具包得到了这个工具。 这是我看到的第一个错误之一: Policy {00FB7F42-7700-4ADE-9714-9B6B69E321D6} Friendly name: PC Customizations Error: DOM-S02.domain.local – DOM-D01.domain.loca sysvol mismatch 我使用GPMC连接到每个系统,并validation了sysvol版本是相同的。 我偶然发现这个链接 ,指出由于2008 R2版本的误报,有一个更新的版本。 不幸的是,下载链接不再可用。 有没有人看过这个? 推荐其他选项? 谢谢! 编辑:我导航到\\DOM-S01\sysvol\ & \\DOM-D01\sysvol\文件夹,并检查每个政策的gpt.ini下的版本号和数字是完全相同的。 任何其他的想法? 在这一点上,我找不到任何其他的东西。
是否可以将GPO从一个域应用到具有信任关系的另一个域? 我们有一个GPO,它将pipe理安全组添加到已join域的计算机的本地pipe理员组。 我的理解是,域的GPO只能应用于其自己的域内的对象。 是否可以将域A的安全组添加到域B中创build的GPO,以便将其添加到域B中的本地pipe理员组? GPO – 域A < – 信任 – >域B. 谢谢!
在推出GPO以获取软件策略限制之后,我开始意识到这个问题。 我无法将MSI安装推送到某些计算机。 我去看了一台机器,它正在影响那些不受此政策支配的电脑。 这不是问题的原因。 试图在受影响的机器上运行gpupdate后,我看到它的失败,并提示DNS访问被拒绝。 在检查事件日志之后,它将显示事件ID为1055的错误。没有任何处理权限或访问级别的内容以任何方式被改变,除非它们有某种感染。 这尚未确定。 我已经validationDNS正在从其中一台机器正常工作。 我validation了该机器的DNS注册,并且没有显示错误。 我不确定下一步要去哪里寻找问题的根源。
我们有一些相当大的人在工作时连接到的共享,如果这些共享甚至不尝试同步到本地Windows 7脱机文件文件夹中,这将是最好的。 如何在没有开始同步文件的情况下检查该function是否打开? 在服务器上还是在本地机器上控制脱机文件设置?
我试图保持我的默认域策略干净和标准,我想为我的密码策略的GPO。 我做了它,但它仍然从默认域策略对象获取策略。 我想象得到那个,因为它是最具限制性的,但我会喜欢一个,我可以制作一个默认域策略的副本,编辑一个,然后先应用,如果某些东西没有应用/更改/等,在默认域策略中应用默认值。 可能吗?
我有一个运行login脚本(.vbs)并将其链接到包含W2012R2 RDS主机的OU的GPO(configuration有回送replace)。 我已经做了这些(问题相关)的政策变化: Computer Configuration -> Policies -> Administrative Templates -> System -> Group Policy -> Configure Logon Script Delay -> Enabled -> minute: 0 User Configuration -> Policies -> Windows Settings -> Scripts (Logon/Logoff) -> MyScript.vbs User Configuration -> Policies -> Administrative Templates -> System -> Run legacy logon scripts hidden -> Enabled User […]
我需要在Windows 2012 R2(远程桌面)上禁用突出显示的新项目(新项目标有“新build”)。 我尝试设置GPP的Windows XP / Vista / 7上使用的registry值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Start_NotifyNewApps (在GPO中指定删除“突出显示新程序”? ),但它不起作用。 我找不到与此设置相关的任何GPO。 任务栏属性中没有更多的选项来禁用它。 是否有可能删除开始菜单中的新项目突出显示?
我被要求帮忙解决一个问题,有一个域仍然在2003年的function层面上运行,在这个域中有2008 R2的成员服务器,我们需要知道在尝试什么时我们需要做什么来规划或预测将GPO设置应用于2008 R2成员服务器。 – 我需要一台配备GPMC的2008 R2服务器来部署GPO设置,还是我们可以在2003服务器上使用GP工具部署它们? – 有什么我们需要知道的。 欣赏反馈。 我们的情况是,我们有成员服务器,我们需要应用安全设置,而不是域控制器,我们不打算站在2008年的DC,我们只需要知道什么是需要或涉及到成功修补在2003域的2008 R2服务器。 来自另一个团队的人提到了以下内容:要求:ADPREP / forestprep,然后是ADPREP / domainprep / gpprep,这将更新GPO的GUID以启用增加的安全要求。 无需部署2008 R2或2012 R2域控制器,只需要成员服务器即可更新林GUID,运行ADPREP / domainprep / gpprep时,它将更新域GUID和GPO GUID,而不会影响森林或域function级别的function。 我的问题是,这些步骤是否需要,我们没有使用ADMX的计划,我们只有一个GPO来应用服务器策略,就是这样。 我做了广泛的search,没有find任何解决这个问题。 谢谢。