我已经通过GPO应用login脚本来运行BGInfo。 据我了解,因为我设置用户configurationGPO必须应用于用户OU。 我们有一个称为SERVERS的OU,这是我们希望此GPO运行的唯一OU,但是当我将GPO链接到SERVERS OU而不是USERS OU时,GPO未应用。 因为GPO因此与USERS OU连接,所以它运行在我们公司的每台PC /服务器上 – 这不是我们想要的。 如果我的结论到目前为止是正确的,我推测,我可以阻止GPO运行在除SERVERS之外的任何OU的唯一方法是通过WMIfilter,但是我似乎无法创build一个filter,因为我无法访问variables如%computername%。 我原以为我想要一个查询,如: gwmi -namespace root\directory\LDAP -query "select * from ds_computer where DS_cn = %computername% AND ds_distinguishedName like '%ou=servers%'" 这相当于说“SELECT * FROM ds_Computer where DS_cn = [当前计算机正在被login到]和ds_distinguishedName如'%ou = servers%'” 但是这当然不会评估。 我在这里的正确轨道? 还是有更好的解决scheme? 任何build议不胜感激。 非常感谢dotdev
作为CVE-2014-1776的解决方法的一部分,我创build了一个组策略对象,将拒绝权限应用于VGX.DLL上的所有人。 我现在试图撤消这个组策略,并且遇到很多麻烦。 我第一次试图取消链接组策略,然后强制组策略更新,当时没有工作,我也试图明确地为每个人添加读取权限,这也没有工作。 如果您已经通过组策略向文件添加了“拒绝所有人”权限,那么如何删除这些文件以使其恢复到现状?
我有一个Windowsnetworking与PDC作为2003年服务器,并作为一个DC 2008R2服务器。 当我们的大多数工作站是WinXP时,我们已经使用了GPO,但现在我们有了Windows 7客户端,而且我们在打印机映射方面也遇到了一些问题。 我不太清楚我将如何去采取GPP,是否会涉及到PDC转移到2008R2服务器? 任何build议如何做,以及如何完成它将非常感激。
我们有一个login脚本,将一些remoteapp.rdp文件复制到某些用户桌面。 但是,这些用户有时也必须通过远程桌面连接直接连接到我们的terminal服务器才能使用某些软件。 当他们连接到远程桌面时,我们不希望在那里复制remoteapp.rdp文件。特定用户都是AD安全组的成员。 然后我们有一个组织所有的组织客户端计算机。 因此,如果login到客户端OU中的客户端计算机,我想要将具有login脚本的GPO应用于AD用户组中的用户。 GPO和login脚本是用户特定的。 我创build了一个适用于用户AD组并链接到客户端计算机OU的GPO。 这似乎不工作,至less没有文件被复制。 我认为问题可能是GPO设置是用户特定的,而链接的OU只包含计算机。 任何关于不同方法的build议都会使GPO按预期工作?
Windows具有禁用closures计算机的本地安全策略,但是这也阻止了重新启动计算机的能力。 有没有阻止只有closures阻止重启的方法?
我在组策略pipe理器的树中有一个直接在域中的GPO。 这意味着它适用于域中的所有OU。 (这不是我的) “交互式login:尝试login的用户的消息文本”策略在此GPO中包含安全消息。 我希望能够closures一个或两个服务器的消息,以便我可以自动login(消息干扰此) 有没有一种方法,我可以重写这个政策,特定的计算机,而不重新组织整个域OU树? 大多数政策都有一个“启用”或“禁用”的选项,可以用一个直接应用于OU的更具体的“禁用”覆盖“启用”,但在这种情况下,这似乎不是一种可能性。
我们正在考虑使用GPO在所有用户的桌面上放置公司Web应用程序的快捷方式。 不同的用户使用不同的Windows版本,这意味着不同的位置: c:\documents and settings\all users\desktop c:\users\all users\desktop c:\users\public\desktop (可疑的昵称为c:\users\public\public desktop ) 我找不到一个环境variables。 最可能的候选人是所有用户allusersprofile ,但这指向c:\programdata (至less在我的机器/ Windows 7上)。 因此,我想知道什么是最好的方法是使这些机器上的GPO将工作?
我有两个Windows 2012 R2域控制器,一旦他们的设置和testing完成(我现在已经构build了一个我的testing服务器),将实现7个Windows 2008 R2远程桌面服务器。 我已经设置了一个组策略,将用户的“我的文档”,“音乐”,“图片”,“video”和“下载”文件夹redirect到运行Windows 2012的文件服务器。我遇到的问题是删除公共库 – C:\用户\公共\文件,音乐,下载等 – 因为我不希望任何人有能力保存到本地机器。 与我的testing用户,我知道我可以右键单击我的文档,select公用文件夹,然后单击删除每个公用文件夹,我不希望他们有权访问,但我正在寻找一个更好的解决scheme,因为我不希望手动删除所有150个以上用户的全部5个文件夹。 我查看了GPO,search了Google和Server Fault,这似乎并不是我通过组策略可以做的任何事情。 我已经开始研究login脚本,但是我不知道从哪里开始,我也看到一些抱怨,login脚本只是从导航面板隐藏文件夹,而将它们作为可用的保存位置。 我确定有些事我可以忽略,我希望你们能够提供一些指导。
http://support.microsoft.com/en-us/kb/950934描述了当pipe理员组的成员使用资源pipe理器导航到pipe理员组具有权限的文件夹时,将提示用户到“单击继续以永久访问此文件夹”。 当他们这样做时,资源pipe理器将更改文件夹的ACL以授予该文件夹的特定用户完全控制。 MS链接完全描述了需要这种方式的devise约束。 但是,它会破坏为该文件夹设置的权限,并且无法对权限进行集中pipe理。 例如,如果指定的用户稍后从pipe理员组中删除,该ACL项仍然存在,以允许他们访问该文件夹。 我不想禁用UAC(我实际上喜欢提升和非提升之间的区别),我很高兴使用替代工具以boost的方式导航和查看文件。 最终目的是运行MS链接中描述的其中一个解决方法(使用单独的文件导航器, 可以运行提升,或定义一个单独的组来控制对白名单文件夹的访问),但是,所有的时间,资源pipe理器继续闯入该文件夹的ACL随意,这使得无法确定这些解决方法需要应用的位置(缺less定期审核每个文件夹的ACL更改)。 如果我试图在资源pipe理器中运行非升级时访问受限制的文件夹,我只是希望有标准的“拒绝访问”消息。 是否有一个设置(每个盒子或通过GPO一次性)删除这个“永久访问”提示, 同时保留UAC的其他设施 ? 注:我完全理解为什么这个提示存在,它是什么意思,为什么行为是这样的(虽然我不一定同意devise决定)。 不过,我要指出的是,我并不想讨论与用户的工作实践有关的解决方法,也不是UAC或pipe理员组织成员的优点/缺陷。
我有客户端定位设置来处理我们networking上的一些远程工作站。 他们不时地进行VPN连接,这样他们可以在连接的时候连接到内部WSUS服务器。 我基本上想要通过GPO设置他们的Windows Updateconfiguration使用内部WSUS,但从互联网(微软)下载更新。 我假设这是一个非常标准的configuration,但我的客户仍在尝试从WSUS服务器下载。 我可以控制这个吗?