我们刚刚搬到了Server 2008 R2,我已经为使用组策略的用户设置了文件夹redirect。 所有文件夹redirect并按预期工作: 用户我的文档被redirect。 用户可以创build和删除redirect文件夹中的文件夹和文档。 用户只能访问自己的redirect文件夹 pipe理员可以访问用户redirect的文件夹 我遇到的问题是将来自旧服务器的用户备份文档移动到新redirect的文件夹中。 当我复制或移动文件时,文件不会获得预期的用户inheritance权限,并且用户无法访问它们。 现在我知道我可以在复制文件后重新应用每个用户redirect文件夹的权限,但这对每个用户来说都是一件痛苦的事情。 包含redirect的文件夹的我的文件夹具有以下权限: 共享权限: 每个人 – 完全控制 NTFS权限: 创build者拥有者 – 完全控制 – 仅子文件夹和文件 SYSTEM – 完全控制 – 这个文件夹,子文件夹和文件 pipe理员 – 完全控制 – 此文件夹,子文件夹和文件 用户 – 特殊 – 仅此文件夹 用户权限是 遍历文件夹/执行文件 列出文件夹/读取数据 阅读属性 阅读扩展属性 创build文件夹/追加数据 读取权限
我遇到了一个奇怪的问题。 我们的域pipe理员帐户,由于一些奇怪的原因,没有看到某些文件。 主要是三个工作站在硬件维修一段时间后closures了networking,并重新join。 这三个工作站正在运行7 SP1。 用作login服务器的相应域控制器正在运行2008r2 x2,2008sp1和2003sp2。 该域名是2003年的水平。 当他们第一次重新join域时,就出现了身份validation问题。 于是,他们又重新join了三个新名称的电脑账户。 现在看来,域和企业pipe理员有一个问题,如果他们创build一个符号链接(需要本地pipe理员特权)或移动文件到一个(本地)pipe理特权文件夹,新创build的文件是无法从文件资源pipe理器中看到。 但是,如果我们打开一个命令提示符,文件就会出现在目录列表中。 。 。 我一整天都在研究这个问题,深入挖掘三个工作站上的事件日志以及他们每次连接的各自的login服务器。 我已经尝试审核帐户作为login失败,但我不是100%确定我覆盖所有的基础。 我认为这是一个开放和closures的情况下,帐户login之前networking适配器完全初始化,因此GPO错误将显示出来。 但是在注销并重新login之后,没有骰子。 尽pipe重新启动完成。
我在Windowws 2008服务器上,并试图通过本地组策略pipe理单元为远程桌面会话设置启动应用程序。 当我通过RDPlogin时,它运行我configuration的应用程序,但它不使用我指定的工作目录(无论我放在框中,它总是c:\ windows \ system32)。 有没有这个function的任何已知的问题? 同样的事情也发生时,我configuration个人用户的环境设置login时启动应用程序。
我正在创build一个策略,允许非pipe理员用户能够注销已经离开并locking屏幕的其他非pipe理员。 我真的不想让用户在计算机上的pipe理员访问权限。 此外,我还希望将其应用于一组受限制的计算机,而不是域中的所有计算机。 有什么我可以做到这一点?
前言:我有足够的权限在我的OU中创buildGPO,并且为了一些简单的任务(比如将打印机部署到某些用户)做了一些GPO。 实际上并不是一个系统pipe理员…我是一个开发者。 我想创build一个GPO,为某个安全组(我最近创build的,只包含我自己)设置一个映射文件夹。 有以下几点: 在MyOU中创buildGPO – >用户 删除安全筛选下的默认身份validation用户 将安全组与我的帐户添加到安全筛选 通过“用户configuration”选项设置映射 将GPO状态更改为“禁用计算机configuration设置” 将WMI过滤为 closuresGPO在这一点上… 作为目标用户login; 运行gpupdate / force 注销,login,运行gpresult / r,没有提到我的GPO 重新启动 login后,重新运行gpupdate / force 注销,login,运行gpresult / r,仍然没有提到我的GPO 如果我用另一个完全不同的用户login,他们的RSOP信息显示新的GPO由于安全限制而被忽略,所以它似乎对其他用户“工作”。 我只是不能让它实际显示在RSOP中的用户应该工作。 有没有什么我可以做到的,无尽的重新启动,并穿过我的手指?
我有一个Windows 7系统,是一个域的一部分。 当它无法访问域控制器时,是否仍然运行login脚本? 现在,我们有一个从registry运行部分启动的本地脚本,用于检查连接性。 如果无法与服务器通话,则会修改某些设置,以防止在使用机器时出现严重错误。 这可能是这样做的最糟糕的方式,但这是以前的技术设置。 使用GPO和活动目录设置login脚本的最佳做法是什么? 无论我设置的系统还是需要在系统closures的情况下运行。 谢谢
我知道如果我们在AD用户的configuration文件选项卡中设置基础文件夹或configuration文件path,我们可以复制它,文件夹创build和权限设置将自动进行。 我的问题是,并不是所有的用户都有一个漫游configuration文件和主文件夹链接通过GPO完成。 从这些用户复制时,主文件夹不会自动创build,我必须手动创build它,并更改位于文件服务器上的该文件夹的权限和所有权。 我该怎么办? 脚本可能不错,但每次创build新用户时都需要运行脚本,我不认为我们可以将脚本链接到AD用户创build? 我想避免任何手动步骤,并保持我的GPO的方式。 在w7客户机上使用W2008r2 DC。 谢谢。
我们已经通过组策略configuration了Internet Explorer代理设置,并且效果很好。 可悲的是,最近我遇到了一些服务忽略这些设置的问题。 我意识到这些服务有一个共同点。 他们使用WinHTTP,它有自己的代理设置。 现在我正在问自己如何将这些应用到整个领域。 我意识到我可以创build一个login脚本,只需运行netsh winhttp import proxy source=ie ,但是根据经验我知道这些设置需要重新启动才能生效。 所以这在login脚本中完全不能帮助我。 那么,我该怎么做呢?
我有一个要求来改变一大群人在Active Directory中的用户帐户的安全选项卡中的一些设置。 我需要授予每个人访问用户帐户的安全选项卡下的特定读取设置。 是否有更好的方法来pipe理这个,而不必进入Active Directory>视图>高级function>打开用户帐户>安全选项卡; 然后为每个用户的每个Permissions添加复选标记? 这也需要应用于向前移动的新用户账户。 编辑: 特定的权限是高级权限,而不仅仅是读取权限。 我需要添加身份validation用户才能够:读取帐户限制,阅读一般信息,阅读login信息,阅读组信息,阅读电话和邮件选项,阅读私人信息。 我试图设置一个新的OU。 但是我没有这些新的OU下的高级安全设置。
我有一个运行5 x 2008(非R2)DC的2008级Windows域(在接下来的9-12个月内迁移到R2或可能2012的路线图上,但这个项目需要先工作),而我需要在安全事件日志中为集成了AD的Web过滤系统启用Kerberos身份validation服务事件。 显然,“Kerberos身份validation服务”审核设置是2008 R2的新增function,并不在2008 GPO界面中。 这篇TechNet文章似乎表明,我应该能够从2008 R2成员服务器启用“默认域控制器策略”上的设置,并将应用于2008服务器: 如果configuration了此策略设置,则会生成以下事件。 这些事件出现在运行Windows Server 2008 R2, Windows Server 2008 ,Windows 7或Windows Vista的计算机上。 事件ID事件消息 4768请求了Kerberos身份validation票证(TGT)。 4771 Kerberos预authentication失败。 4772 Kerberos身份validation票证请求失败。 但是,我已经试过了,我的5个DC中有4个应用了这个设置,但是其中一个没有在安全日志中logging审计事件。 2008年(非R2)服务器上有更好的方法吗? 有没有什么明显的可能会启用(或禁用)在这个古怪的DC,导致它不接受R2的设置? 任何其他想检查的东西? 在发生违规的DC事件日志中我没有看到任何exception。 任何想法或帮助表示赞赏。感谢您提供任何帮助。 编辑:这是一个链接到我以前的问题 ,我问如何启用此服务器上的这个设置2008年。这个问题变得陈旧,所以我问它的下一个逻辑扩展在这里。