我想使用组策略在计算机/位置/ OU上应用Windows代理设置(目前IE版本为8,但迟早会升级)。 目前,我在Active Directory树中的不同OU中分隔出用户对象和计算机对象,并将这些OU进一步按类别细分(例如,计算机/ PhysicalLocation1,计算机/ PhysicalLocation2,用户/ BusinessUnit1,用户/ BusinessUnit2等)。 我认为上述问题的典型解决scheme是使用GPO安全filter进行组策略环回处理。 但是,我想知道的是,只有当用户从特定的计算机/位置访问networking时,不pipe用户是谁,每个人都通过代理。 当相同的用户从不同的位置/ OU访问networking时,他们不通过代理。 如果我使用GPO安全筛选器来确定要应用组策略环回处理的位置,似乎需要指定用户对象(即与login到具有代理设置的PC相关联的对象)以及计算机对象(即应用代理设置的计算机)。 问题在于,当用户在不希望应用代理设置的位置使用不同的PC时,由于用户位于GPO安全筛选器中,代理设置最终将被应用。 有没有简单的方法来确定每台计算机的代理设置?
我有4个terminal服务器,都运行服务器2008 R2,需要在兼容模式下运行一些网站。 当我创buildGPO时,我所看到的只是IE 7兼容模式…适用于除1以外的所有站点。当以兼容模式7运行OWA时,无法将文件附加到外发邮件。 在GPO内是否有可能把它从7提高到9?
我正在审查我们之前的pipe理员设置的复杂的密码策略,并试图获得有关可逆encryption设置的一些说明。 在我们的组织中,可逆encryption不是必需的,应该禁用。 当我检查已经到位的GPO时,我可以看到这个设置: 使用可逆encryption存储密码:未定义 我的理解是,如果它被设置为“未定义”,那么默认值被设置为禁用,但也许我不正确。 当我在我的系统上运行rsop时,它反映了未定义的状态。 在哪里我有点困惑,但是当我运行PS cmdlet的Get-ADDefaultDomainPasswordPolicy; 我将ReversibleEncryptionEnabled属性设置为True。 不应该这反映了禁用,每个我的密码政策GPOconfiguration?
我有多个GPO用户体验的东西(例如:用户configuration中的GPP快捷方式)影响一些OU和他们的用户。 目前,每个“项目”(例如:快捷方式,文件)都有一个GPO,其中一个安全筛选器应用于定义安全组的GPO,但是它们的数量正在不断增加。 可以这么说,一些文件和快捷方式本质上是敏感的(不仅仅是内容,还包括path和名称),那么如果我将所有适用的东西合并到一个GPO中,并且使用了用于用户安全性的项目级目标,那么安全和性能方面会产生什么样的影响组呢?
我想知道如何让自定义用户组被允许授权UAC进行安装和更改? Windows Server 2008标准版70+客户端
我怎样才能限制XP机器使用GPO在Server 2012 R2域环境中访问互联网? 我需要让这些XP机器像其他Win 7机器一样在域环境中访问本地Intranet站点。 DC是Server 2012 R2。 我不想安装外部防火墙,除非configurationGPO不可能。
我正在尝试编辑映射networking驱动器的AD组策略。 策略工作正常,我可以查看设置选项卡下的设置,并查看现有的驱动器映射,Sysvol中的结构是完整的,但是当我在GPME中进行编辑时,整个用户>首选项部分没有任何部分和设置在它下面 – 它只是说“在这个视图中没有显示的项目”。 我也注意到Computer Config Preferences部分也有同样的问题。 我检查了其他GPO,他们也有同样的问题 – 用户configuration>首选项文件夹在那里,但没有在它下面。 缺less首选项设置 我尝试重新注册以下所有组件,但并未解决问题。 pipe理模板和脚本:gptext.dll 文件夹redirect:fde.dll Internet Explorer维护:ieaksie.dll IP安全:ipsecsnp.dll 公钥和软件限制:certmgr.dll 远程安装服务:rigpsnap.dll 安全:wsecedit.dll 软件安装:appmgr.dll 我创build了一个新的GPO,同样的问题。 首选项下没有任何 我问了四位同事,他们也不知道。 我不知道该从哪里出发。
我试图find一种方法来在几个GPO(大约50)中为某个组设置“应用策略”来“拒绝”,所以我正在寻找一个自动执行的方法,当我遇到这个post时, aparently)用以下脚本废弃的博客: $strGroup = "my group" $strGPO = "my GPO" $GroupObject = Get-ADGroup $strGroup $GroupSid = new-object System.Security.Principal.SecurityIdentifier $GroupObject.SID $GPOObject = Get-GPO $strGPO $GPOPath = $GPOObject.path $GPOADObject = [ADSI]"LDAP://$GPOPath" $GPOObjSec = $GPOADObject.psbase.ObjectSecurity $GPOACLList = $GPOObjSec.GetAccessRules($true,$true,[System.Security.Principal.SecurityIdentifier]) $extRight = [system.guid]"edacfd8f-ffb3-11d1-b41d-00a0c968f939" $ace1 = new-object System.DirectoryServices.ActiveDirectoryAccessRule $GroupSid,"ReadProperty, GenericExecute","Deny","None" $ace2 = new-object System.DirectoryServices.ActiveDirectoryAccessRule $GroupSid,"ExtendedRight","Deny",$extRight,"All" $GPOADObject.psbase.get_objectSecurity().AddAccessRule($ace1) $GPOADObject.psbase.get_objectSecurity().AddAccessRule($ace2) $GPOADObject.psbase.CommitChanges() $GPOGPTstr = "\\"+$GPOObject.DomainName+"\SYSVOL\"+$GPOObject.DomainName+"\Policies\{"+$GPOObject.Id+"}" […]
我试图完成的是在2012年的Active Directory环境中允许某些可执行文件基于组策略。 我在我的广告中有3种不同types的用户。 A组只能访问foo.exe。 B组应该有权访问bar.exe。 最后C组应该可以访问foo.exe和bar.exe。 我如何使用我的2012年服务器完成这个? 我已经看到不同的网站使用gpedit.msc的物理机器,但我希望这在服务器级别上实现,因为我设置了漫游configuration文件,它将很容易扩展。
我的组织正在运行terminal服务器场,以便为用户提供特定的应用程序。 该设置由一个AD域控制器和两台运行远程桌面服务的terminal服务器组成。 所有服务器都运行Windows Server 2008 R2 Standard。 用户在我们的组织之外,因此客户端configuration不在我们的范围之内。 我们只给他们提供一个RDP连接文件和一个存储在AD中的用户名。 在RDP文件中,我们configuration了"Start the following program on connection" = C:\path\to\batchscript.bat 。 当用户连接时,批处理脚本会执行一些清理和configuration工作,然后启动实际的应用程序。 用户完成他的工作,然后closures应用程序。 当应用程序closures时,用户正在注销,并且RDP会话结束。 这个设置工作正常,直到第一个用户升级到Windows 10.显然,在Windows 10中,从mstsc.exe中删除选项"Start the following program on connection" ,留下terminal服务器的桌面而不是启动我们的批处理脚本。 为了防止这种情况,我设置了以下GPO: User Configuration \ Admin Templates \ System \ Logon \ Run these programs at logon = C:\path\to\batchscript.bat 。 据我了解,这应该覆盖客户端的"Start the following program on connection"设置。 […]