我有一个Microsoft域(主要是2008r2 \ 7)。 我正在寻找一种在join域(不需要用户login)后立即运行脚本的方法,至此我失败了。 另外,我希望它只运行一次,所以安排重复的任务不是一个选项。 让我感到很浪费,一遍又一遍。 我已经用启动脚本尝试了一个GPO,但是当计算机收到GPO后,启动后就是这样了。 我也尝试了一个计划任务(使用不同的触发器)的GPO,但他们也没有工作: “启动时”触发器与启动脚本失败相同。 “在任务创build”失败,我猜是因为它不是通常的方式创build。 “按计划”是不相关的,因为我需要在join后立即运行(并设置一个已经通过的date没有工作)。 找不到任何相关的registry项,但我认为他们会遇到与GPO启动脚本相同的问题。 我唯一需要做的就是将任务附加到DC上的相关事件,并远程运行脚本。 有更好的build议吗? – 编辑 – 由答案(这是伟大的,但不完全削减),我有几点补充: 1.这个问题适用于两台服务器(2008r2 \ 2012 \ 2012r2),尽pipe我只在2012r2上testing过。 2.我正在寻找更加类似runonce的解决scheme,这意味着我不希望它在无法满足条件的情况下运行。 3.我们使用镜像来部署服务器和工作站,但是我不能使用包含编辑的解决scheme,因为a)每当我需要更改脚本中的某些内容时,需要更新它们。 4.我们不使用join的脚本(我们根本不需要一个…),所以开始使用一个似乎对我来说是一种浪费。 此外,还有一些问题(例如,我应该把它放在图像中的哪个位置?在共享的位置?BYODs会怎样?将会使点3失效)。 谢谢。
寻找任何想法,我们发现我们的组策略(默认策略)不再适用我们的帐户策略(密码年龄/复杂性/历史logging等)。 我们的区议会仍然有本地政策的定义,所以广告用户仍然坚持政策,但是我们不能解释为什么这些政策消失了。 任何想法或build议在哪里检查将不胜感激。 我们重新制定了这些政策,并确认这些政策正在整个域内分发。
我们的一个供应商要求我们提供使用特定端口和IP的Skype访问。 为了方便访问,我们需要部署一套Windows防火墙规则。 目标客户端分布在不同的OU中,因此无法基于OU进行应用。 相反,我用用户的机器创build了一个组。 问题是GPO不适用于机器。 我试过了gpupdate /force和reboot,但是这些策略并不适用。 有趣的是,如果我单独添加计算机,计算机将获得GPO。 它似乎只是计算机组不会采取GPO。 GPO的设置是: GPO应用于域的顶级,并依赖于安全性过滤。 我的安全设置目前设置为: Read Allow Apply Group Policy Allow 链接: Enforced No Link Enabled Yes 安全筛选仅列出我的组。 我删除了身份validation的用户。 GPResults The following GPOs were not applied because they were filtered out ——————————————————————- Firewall Exception for Java for Ecommerce PCs Filtering: Not Applied (Unknown Reason) Firewall Exception – Skype […]
我们已经build立了一个使用安全组进行安全筛选的GPO。 GPO链接到OU,服务器是安全组的成员(在AD中 – 稍后)。 我们还没有重新启动服务器,因为它被添加到AD中的一个新组,所以服务器不知道它是一个新组的成员。 我们可以看到,如果我们在服务器上执行GPRESULT。 新组没有显示。 但GPO是应用的,它的工作原理。 我不明白为什么。
首先我会说,我刚刚发现,我直接对默认域策略进行更改的做法并不是推荐的做事方式 。 我承认我不确定为什么会出现这种情况,但我会继续努力。 现在,这说…我准备擦拭和重新安装我的WSE 2012 R2 PDC的操作系统。 在过去的一年中,我对Default Domain Policy进行了一些更改 – 谨慎地保存每次更改的备份 – 我将要将这些更改还原到新的域。 但是我认为这不能用我当前的备份来完成,因为重新安装时会产生新的SID(以及其他未知的复杂情况)。 我想要做的是写一个脚本/程序针对某种types的API,从策略中读取,并将其保存到一个文件中,以便稍后恢复到新的服务器。 我没有太多的东西,但是我已经有足够的权力去完成一个在TreeView中涉水的任务了,追踪它们并手动将它们一一复制。 由标准GPO备份function(以及Backup-GPO )生成的XML文件看起来要比所需的最低限度复杂得多,如果使用这些文件还原到新的GPO,则会很麻烦。 我不需要所有的pipe道,只是我从默认改变的设置/值。 换句话说,我正在寻找一个简约的GPO备份/恢复机制 – 即使我必须自己写。 现在生成的文件似乎是矫枉过正的,就像等待发生的麻烦一样。
每次Xerox发布新的打印机驱动程序,我们更新我们的服务器上的networking打印机,我们必须绕过每台域计算机,并inputpipe理员的详细信息到更新打印机驱动程序提示。 在这之前,用户不能打印。 我们现在有300多台域计算机,所以这是不现实的。 是否有一个组策略选项,允许用户只需单击是以这些提示,所以当我们更新服务器上的打印机驱动程序,他们可以继续,只需点击是这些提示?
我正在与约70个用户的AD域。 有一个文件夹redirect每个人都有相同的桌面。 但是,一个特定的用户需要在她的桌面上有一个没有人应该访问的文件夹(她是办公室经理)。 有办法将文件夹放在她的桌面上,没有人看到它? 我的意思是,我可以在该文件夹上设置特定的权限,但似乎超级迂回。 最终,如果他们想把多个项目放在桌面上,效率将会非常低下。
我的环境是使用Windows 10 Pro客户端的Windows Server 2012 R2 AD DC。 我有一个简单的GPO,它在以下方面设置入站防火墙规则: Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Windows Firewall with Advanced Security 正如我所说的,规则非常简单(允许来自特定IP范围的TCP和UDP的特定应用程序的所有传入),但它不起作用。 因此,我正在查看Group Policy Management中的Settings选项卡,以确切查看哪些设置正在更改以及可能导致我的问题的原因,并且有一个设置标记为: Security : Require Authentication 我似乎无法从规则的Properties中find这个设置来自哪里,而且我想知道这是否与我的规则似乎不起作用有关。 任何人都知道这是从哪里来的和/或它是什么意思?
我有一个PowerShell .PS1脚本,我试图通过组策略通过login脚本来申请。 这里是.PS1脚本(非常简单,只是将用户添加到RD用户组): net localgroup "Remote Desktop Users" "$env:USERDOMAIN\$env:USERNAME" /add 根据RSoP.msc和GPresult ,GPO正在得到应用,没有问题。 我可以手动运行PS1,它可以工作(尽pipe作为pipe理员和Set-ExecutionPolicy Unrestricted )。 但是,该脚本无法正常工作,因为用户login永远不会被添加到“远程桌面用户”组中。 在RSoP.msc “最后执行”的时候,这个脚本是空白的。 我想查看事件查看器,以更好地了解脚本为什么不起作用,但不知道要查找什么。 编辑:显然,login脚本必须作为login用户运行,所以它inheritance了用户所拥有的任何权限(或者说,没有)。 我将尝试运行脚本计算机端,看看它是否会工作,没有最终用户有本地pipe理员权限,因为它将使用系统帐户。
我希望所有域计算机上的远程桌面只能从一个IP访问。 但是,对于Windows自身设置的所有计算机,远程桌面都有一个默认的本地“允许入站”规则,允许所有IP。 有没有办法使用组策略删除或禁用此本地防火墙规则?