是否可以通过在Active Directory中创buildGPO来立即部署某个软件? 我意识到可以做到这一点,但只有在重新启动计算机后,这是我们并不总是想要做的事情,特别是因为我想部署在服务器上的一些软件。 有什么select? 有一点需要注意的是,我们大多数用户没有pipe理员权限,因为我不仅仅在讲服务器,而且在教室里也在讲工作站。
我有一个locking的环境,禁止用户执行,基本上,除了运行我们指定的特定程序外, 我们只是将一个程序从使用古老的“WinHELP”帮助格式切换到HTML帮助(CHM),但是似乎有一个不想要的和相当危险的副作用:当用户点击HTML帮助中的超链接时,一个新的Internet Explorer窗口被打开,用户可以自由地浏览和做可怕的事情,我的服务器(呃,不是那么多,但仍…) 我已经在这种情况下检查了会话,IE窗口实际上是在帮助引擎中托pipe的:在用户会话中没有运行iexplore.exe进程(不能:明确禁止)。 我们已经禁用所有的帮助,直到我们find解决scheme。 我正在与帮助团队合作,将所有外部URL从帮助文件中删除,但这将是一个长期和容易出错的任务。 与此同时,我已经检查了所有的组策略选项,但是我不得不说,我无法find任何可以阻止随机进程中托pipe的独立IE窗口运行的任何内容。 我不想禁用WinHTTP或IE渲染引擎或类似的东西。 但是我需要阻止特定的AD用户组的所有用户从一个IE窗口显示给他们。 这些服务器正在运行Windows 2003和Citrix metaframe 4.5。 提前致谢
我很好奇…networking上有两个域控制器是不同的版本(03和08)会有任何问题吗? 另外,在所有这些都应该正常工作的情况下…你能告诉我与组策略的兼容性吗? 防爆。 你可以在03服务器上设置一些组策略,然后在08服务器上使用一些较新的组策略? 感谢Cory的帮助
我创build了一个GPO启动脚本来执行特定AD容器中的计算机。 该脚本从AD netlogon共享中获取文件并将其放在计算机上的目录中。 鉴于正确的权限(即:我自己)可以执行脚本就好了,文件复制。 但在启动时不起作用 – 文件不会从AD服务器复制。 启动脚本应该作为localsystem运行(对吗?)。 所以问题是为什么这些文件不能在启动时复制? 难道是因为: 它是本地系统用户的权限吗? 读取registry在启动时有问题吗? 从AD netlogon文件夹中获取文件在启动时有问题? 我完全错过了吗? 我的testing机器具有脚本中描述的registry项和本地目录。 我自己有testing机器上的标准用户权限。 AD服务器是Windows 2008,testing客户端是Windows XP SP3(即将成为Windows 7,我承担的权限问题将是不可避免的) Dim wShell, fso, oraHome, tnsHome, key, srcDir Set wShell = WScript.CreateObject("WScript.Shell") Set fso = CreateObject("Scripting.FileSystemObject") key = "HKLM\Software\Oracle\Oracle_Home" On Error Resume Next orahome = wShell.RegRead(key) If err.Number = 0 Then tnsHome = oraHome […]
我正在考虑将AD CAangular色添加到我们的服务器,并使用GPO向所有内部客户端添加一个自签名的可信证书(以便于testing)…有关此问题的一些相关问题是: 如何部署内部authentication中心? 内部可信证书 我的问题是,将使用GPO“推”自签名的证书只为Internet Explorer工作,或将为客户端的任何浏览器工作? 另外,在非浏览器应用程序(如Web服务客户端)的情况下,是否允许客户端信任?
在我的活动目录中,我目前在包含login脚本的域对象上有一个GPO。 我想创build一个新的组,我可以添加用户,并运行一个额外的/不同的login脚本。 我试着创build一个新的OU,把这个组放入OU中,把用户添加到组中。 在OU中,我创build了一个GPO并设置了用户login脚本 – 我使用浏览button导航到脚本文件。 UNCpath看起来是正确的,我validation了用户/机器可以真正到达并正确运行。 问题是它似乎不工作。 我重新启动机器,login,脚本似乎并没有运行。 我猜测这可能是因为在其他域GPO的login脚本(这是设置为不覆盖)(也许这是不重写,这是问题…?)? 您是否只能从单个GPO定义一个login脚本,或者您是否可以拥有多个具有login脚本的GPO?
我在新安装的Server 2008 R2框中遇到了一些问题。 我创build了我的域和用户,并且所有的计算机都已连接。 每个人都可以login和共享文件夹,这里没有问题。 我现在编辑了默认域策略,并对安全性进行了一些更改。 (不要保存上次login的用户名)和其他几个基本的。 – 我将为更高级的GPO创build一个新政策。 总之 – 这不适用于我们的机器。 他们都是XP,我已经尝试在服务器和PC上运行gpupdate / force,以用户身份login并以pipe理员身份login。
我有一个名为“亚洲”的OU,我已经通过名为“亚洲设置”的GPO设置了区域设置。 此GPO链接到“亚洲”OU,并且链接已启用。 但是,当我运行gpresult日志表明“亚洲设置”的GPO不适用,也没有被过滤掉。 我试过gpupdate但没有解决问题。 任何人都可以解释为什么GPO不适用于OU,我需要做什么才能应用?
我们正在使用来自SAV 10的混合环境中的组策略升级到Symantec Endpoint Protection 12.如何分辨哪些机器是32位v。64位? 我们试着在AD用户和计算机上查看属性,以为我们不会为机器创build单独的OU。 我们的dc正在运行Windows 2003,但我们有一台2008年的机器,我们可以创build策略。 有任何想法吗? 谢谢!
我有公司/域设置与约150 +用户。 我不想授予用户本地pipe理员帐户,以防止他们安装可能用于攻击的程序 – 危害networking或其他用户。 但我有一些用户,有时他们需要安装一些工具来完成他们的任务。 有没有一种工具或方法,我不必授予用户pipe理权限,但他们可以随时安装一些应用程序(预定义列表),而无需返回到帮助台团队或系统pipe理员。 组策略呢? 我的用户使用64位和32位的Windows XP和Windows 7 和服务器 – Windows Server 2003。