在我的主域控制器上,每个GPO策略的AD和Syslog版本似乎都是正确匹配的: 但是,当我运行组策略结果报告时,它说它们是“AD / SYSLOG版本不匹配”: 根据repadmin / showrepl,我的复制启动并正常工作: 这里发生了什么?
我想使用虚拟帐户NT SERVICE \ MSSQLSERVER运行SQL Server服务的默认SQL Server安装程序。 这可以确保我的SQL Server在自己的机器上具有有限的访问权限,并且如果应该被黑客攻击,则不能访问networking资源。 但是,我们的域也有一个组策略,为其他几个(域)设置“login为服务”权限。 你可能已经猜到,或者甚至是经历过我的问题: 将域GPO应用于服务器(至less每天)时,它将撤消由SQL Server安装程序(或SQL Serverconfigurationpipe理器或其他本地计算机策略configuration)完成的“login为服务”权限分配。 然后在下一次SQL Server服务重新启动时(这可能是几个小时或几个月后),将阶段设置为错误“服务未启动”错误。 以下是我所知道的: 我无法将虚拟帐户添加到域GPO,因为它是机器本地SID。 域组策略会覆盖本地机器组策略,所以我将不得不对域组策略做些事情。 “用户权限分配”元素位于“计算机设置\ Windows设置\安全设置\本地策略设置”下,因此无法引用本地计算机帐户, 也许这是一个错误。 以下是我正在考虑的方法: 我可以删除应用login为服务的域GPO元素,并通过本地组策略(在一堆服务器上)执行此操作。 我可以将服务器移到没有应用此GPO元素的OU中。 目前违规的GPO是我的默认域策略,所以我不得不重构一些东西。 我可以在每台SQL Server计算机上运行一些工具,以便在域组策略运行之后重新build立“login即服务”权限,或者频繁地发生,以致于很less被发现。 有没有人有其他的build议或工作解决scheme给我?
我的组织在每周日早上4-8点有一个维护窗口。 我们有一个OU结构设置,用于在这个预定的时间内将我们的生产服务器分配给重新启动(例如Reboot4-5,Reboot5-6,Reboot6-7等)。 我们在这些OU中的每一个OU上都有GPO,并且在这段时间内使用以下设置来处理重新引导。 以下是一些设置的示例: Configure Automatic Updates: Enabled Configure automatic updating: 4 – Auto download and schedule the install Install during automatic maintenance Scheduled install day: 1 – Every Sunday Scheduled install time: 05:00 No auto-restart with logged on users for scheduled automatic updates installations: Disabled Reschedule Automatic Updates scheduled installations: Enabled Wait after system […]
IE发送的“AcceptLanguage”头可以由客户端上的GPO指定吗? 我想推出的设置是, HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\International <namnlös> REG_SZ AcceptLanguage REG_SZ en,sv;q=0.5
我们有一个最近从我们的AD中删除的密码过期的政策,但是一些用户继续得到“你的密码将在x天后过期,你想现在改变吗? 信息。 所以我们添加了一个反向/撤销策略来纠正本地registry设置 最大密码年龄= 0天 最小密码年龄= 0天 这还没有起作用,因为新用户似乎偶尔遇到上述“更改密码”信息。 我们现在已经删除了所有的自定义密码策略GPO,并保留了“默认域策略”。 仍然没有好处。 有人能指出我的方向来解决这个问题吗? 而且我做错了什么的解释(/如何使用密码过期策略)也是有用的。 谢谢 环境是大多数XPsp2客户端的2k3服务器。
我们networking上的打印机有一个有趣的问题 – 我们有连接到Windows Server 2008的Windows 7客户端networking,我们使用组策略将彩色打印机(RICOH Aficio MP C2050)分配给客户,这工作正常。 但是,要尝试和节省墨粉,我想要做的是将相同的打印机分配给客户端,一次,默认颜色,另一个默认为黑白。 我看不到在组策略编辑器中设置打印机设置的方法 – 有谁知道这是可能的吗? 如果它不能在组策略编辑器中完成,那么也许login脚本可以解决这个问题? 我也试图find打印机的黑白驱动程序,但还没有能够。 : – / 有没有人有什么build议? 非常感谢,戴夫
我目前正在编辑特定OU的用户帐户的GPO,并且我想要禁用特定OU上的可移动驱动器访问,问题是所有客户端计算机都是Windows XP,而当前可用的策略适用于具有Vista或更高版本的客户端。 我如何实现这一点,而不必手动绕过所有的机器,并设置本地计算机的政策,不允许访问可移动驱动器(这将是我最后的努力,如果没有别的作品,但它将是一个很头疼) ?
我们正在运行Windows 2008 R2域。 在域名的根目录,我有一个GPO打开自动更新,并在星期四下午五点安装。 在较低的OU(为使用Deep Freeze的计算机制作的)中,我有一个GPO来禁用自动更新。 对于大多数电脑,这个设置工作正常。 未按计划进入Deep Freeze OU更新的计算机,Deep Freeze OU中的计算机不会更新。 但是,Deep Freeze OU中的某些计算机仍在更新,就好像“禁用自动更新”策略未应用一样,即使gpresult显示它正在提供这两种策略。 我试过了: 检查DNS设置(没关系) 禁用机器账号密码更改(一个这个链接 ) closuresMcAffee访问保护,Windows防火墙等 将Deep Freeze GPO设置为“强制” 拉我的头发(这从来没有帮助,虽然) 我还发现,运行“gpupdate”很less做任何事情,但运行“gpupdate / force”会改变自动更新设置,直到计算机重新启动 – 即使解冻Deep Freeze时也是如此。 受影响的机器是运行McAffee VirusScan Enterprise和Fabronics Deep Freeze的Windows XP 其他人有什么想法吗? 编辑:受影响的机器上的“gpresult”显示链接不慢,两个GPO正在按正确的顺序应用,尽pipe自动更新设置仍然不正确。
服务器环境:Windows Server 2003 R2 客户端:带有Internet Explorer 6的Windows XP SP3 变化pipe理:保守 我们正在计划分阶段实施IE 8。 问题是,在我们的testing平台中,IE8的Inetres.adm正确部署代理和绕过设置。 我们的生产环境使用IE 6版本的Inetres.adm文件。 新的IE 8实现不会select代理,并绕过我们现有GPO的设置。 我不明白为什么 – 设置更新在我们的IE 6安装相同的registry项中。 在我们的生产环境中实施更新的inetres.adm之前,我们想要理解为什么老年人不做这个工作 – 如果出现问题,我们想了解这些差异,以便我们能够解决这个问题。
我需要知道如何通过组策略删除权利。 有问题的权利是SC_MANAGER_ENUMERATE_SERVICE并阻止代码打开远程计算机上的服务控制pipe理器。 在目标服务器上具有pipe理权限的域级帐户下,本地计算机上具有pipe理员级别权限的应用程序。 两台机器都运行Window Server 2008 R2,并且两个防火墙都被禁用。