我是IT工程师团队的一员,他们正在改造一个大型组织。 以前的IT部门有一些组策略对象,用于安装软件,对机器应用安全相关的更改等。 在某些组策略对象上,启用了环回处理(合并模式)。请参阅下面的示例: 由于回环处理不是您可以启用协助一个政策(换句话说它是全球性的),这会对计算机有什么影响? 如果我理解正确,合并模式将允许您定义计算机策略并将其应用于用户? 或者是..允许用户configuration应用于电脑? 如果合并模式将允许在计算机级别上应用用户configuration,示例策略将如何影响计算机?
我正在AD域中工作,其中一个DC运行Windows Server 2012 R2,而客户端主要运行Windows 7 Professional。 我需要能够授予某些用户组创build硬链接的权限,希望通过mklink /H SINK SOURCE 。 我已经find一个GPO,授予创build软链接的权限(也就是运行mklink SINK SOURCE ),以供参考,它位于Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > User Rights Assignment > Create symbolic links – 但我需要能够设置硬链接的等效策略。 实现相同目的的registry项将同样有用 – 我可以设置一个GPO以进行相应的registry更改。
情况 在我们的环境中,我们使用以下服务器在我们的域林中部署打印机: Windows Small Business Server 2008:包含部署打印机的组策略 Windows Standard FE Service Pack 2:包含要部署的共享打印机的文件和打印服务器 问题 我有一个组策略分配给我们域中的两台电脑。 一个是64位的Windows 10 ,另一个是64位的Windows 7 。 gpo的详细信息: Computer management > Preferences > Control panel settings > Printers 在这里,我已经定义了11个TCP / IP打印机来部署更新操作。 因此,我input了打印机的IP并链接到文件和打印服务器上的打印机。 问题是,某些打印机在客户端control panel > printers and devices中不可见。 其他详情 我以pipe理员身份login,在客户端上执行gpupdate。 当我手动添加打印机相同的驱动程序,它完美的作品 部署的打印机的所有端口都添加到客户端计算机,但其中一些端口未映射到打印机 这可能是什么原因? UPDATE 使用gpresult / H命令,我发现没有部署的打印机上的错误代码: 0x80070bcb 更新2 添加了新的策略Points and print […]
我是一名Unixpipe理员,他也必须使用各种MS Windows服务器。 对于各种不同的任务,使用我熟悉的Unix工具可以提高工作效率,而且很长时间以来,我一直在我的本地工作站上使用Cygwin。 现在,我想在某些Windows服务器上设置Cygwin,这样我就可以通过SSH进入他们,并使用相同的工具进行pipe理任务。 在之前的版本中,Cygwin会将Windows映射到POSIX用户和/etc/passwd和/etc/groups文件的权限,但现在它直接使用域控制器上的Active Directory来validation用户身份。 Cygwin常见问题解答已更新, 在域上设置SSHD的说明: 首先,创build一个名为“cyg_server”的新域帐户。 此帐户必须是pipe理员帐户,因此请确保它在“pipe理员”组中。 现在创build一个域策略,传播到所有应该运行sshd服务的机器上。 此域名政策应给予“cyg_server”帐户的以下用户权限: Act as part of the operating system (SeTcbPrivilege) Create a token object (SeCreateTokenPrivilege) Replace a process level token (SeAssignPrimaryTokenPrivilege) 我有AD域控制器(在Windows Server 2008 R2上运行)的pipe理员访问权限,我创build了cyg_server 域帐户作为Administrators组的成员。 但是,我不太了解Windowspipe理,请遵循其余的说明。 我认为“域名政策”是指集体政策,但我真的不知道有关集体政策的事情。 我认为这个问题似乎有关,但是没有足够的细节来利用它。
趋势科技安装的Anniversary更新上的Windows 10 Pro计算机上有一些问题。 由于某种原因,我每5分钟就会popup一个popup窗口,每天总共有200多次: 错误消息在操作中心 通常是一个很长一段时间的Windows用户,我习惯这样的烦恼。 但是这让我感觉很不舒服。 这里是讨厌的地方,我知道我可以禁用行动中心,使用下面的键 [HKEY_CURRENT_USER \ SOFTWARE \ Policies \ Microsoft \ Windows \ Explorer]“DisableNotificationCenter”= dword:00000001 但是,我的用户实际上在那里使用快速命令。 所以这一切都很好,但从Windows 10没有registry设置来禁用特定的通知。 所以后来我想我应该检查一下组策略以获得更多关于我能做些什么来阻止它的线索。 没有骰子,组策略让我做的唯一事情就是完全禁用Action Center, 这不是很有用。 然后,我决定做更多的挖掘,我遇到的是安全和维护>更改安全和维护设置: 在操作中心更改通知 令人讨厌的是,我超过100%,closures这两个设置将停止这些通知。 那些专注于注意力的人会注意到间谍软件和不需要的软件保护实际上是灰色的(yay)。 这意味着我无法closures它。 然后我发现问题的根源是这项服务: 安全中心(wscsvc) 那么那个checkbox就没有了,我就可以关掉恼人的通知了。 除了20台有两台机器出现这个问题之外,所有这一切都很好。 在其他Windows 10客户端上,安全中心服务是启用还是禁用都没有区别; 开始或停止tickbox只是整个过程保持灰色。 有没有人对此有任何想法? 亲切的问候,战术
我正在编写一个大脚本,并通过Powershell应用一系列本地策略设置。 其中大部分工作是通过Secedit导出当前安全configuration完成的,将其传递给ArrayList,根据需要添加/更新值,然后导出ArrayList并使用Secedit导入。 我的问题是我需要设置本地防火墙策略(计算机configuration\策略\ Windows设置\安全设置\高级安全Windows防火墙\高级安全Windows防火墙\ Windows防火墙属性\域configuration文件\防火墙状态),这已经造成我卡住了。 我能够使用本地防火墙设置 $Domain = Get-NetFirewallProfile -name domain $domain | Set-NetFirewallProfile -DefaultInboundAction allow 但是这不是在操纵政策。 我也可以操作在策略更改时写入/更新的registry项,但是更改这些项不会显示策略更改,例如: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\enablefirewall=4,1 变成: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\enablefirewall=4,0 如果运行gpupdate / force,则不显示策略已更改 – 将此设置从内存中清除(这是因为策略包含在c:\ windows \ security下的安全数据库中) 我已经尝试在通过secedit导入的文件中添加registry项 – 成功加载但不操作设置。 我已经尝试使用open-netgpo – 但我无法这样做,因为这不是域join的计算机(并且永远不会join域),我无法传递一个有效的策略存储选项,以便它可以操纵本地防火墙策略 理想情况下,我希望通过本地策略来控制,而不仅仅是激活的防火墙设置。 我希望有一种方法可以使用Powershell来更改防火墙策略,这样我就可以以自动的方式完成我需要的function。 谢谢
我们在Active Directorynetworking上拥有大约1200台Windows PC客户端。 我们已经注意到,似乎有随机的系统没有制定政策。 例如,在我们的策略中,Windows系统是通知更新但不应用更新。 即使没有任何人login,我们在夏季升级后还有一组系统。即使没有任何人login,系统也会下载更新并重新启动。问题在于这些系统具有Deep Freeze冻结function,因此,当它们重新启动时,所应用的任何修复都会被删除,所以他们再次重新启动他们的下载/重新引导周期,无限的。 其他人,用户login,它会popup一个通知,它会在五分钟内重新启动,除非你点击“稍后”。 在过去,我们看到一些问题,例如阻止访问AD策略中的C:驱动器; 通常系统隐藏驱动器,在某些系统上,看似随意,用户将login并访问。 从命令行刷新策略似乎没有解决问题,但有时会重启几次。 这些系统似乎在启动时具有networking访问权限,所以它们应该能够与AD服务器通信(加上用户可以login到它们,所以它们必须能够进行authentication,因为冻结的系统没有被caching的configuration文件被冻结)。 对于AD政策来说,这是否正常,并不总是“服用”客户,还是应该检查什么? 其他人是否按预期的方式遇到这种情况? 我知道AD策略应该在客户端随机刷新,但是当我们运行命令手动刷新策略时,似乎没有解决问题。
我们最近推出了IE8给我们的组织(2500人)。 鉴于我们有几个不支持IE8的传统内部networking应用程序(但在兼容模式下工作正常),我们决定将我们的内部域放入要在兼容性视图中自动呈现的网站的组策略“策略列表”。 这几乎适用于所有人 – 兼容模式打开,并兼容性button消失。 但似乎有大约100个用户没有得到策略设置(尽pipe他们确实获得了其他IE8策略)。 我检查了registry,用户正在获取策略列表条目 [KEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\BrowserEmulation\PolicyList] 但是他们没有得到兼容性视图的“打开”标志: [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\BrowserEmulation] "MSCompatibilityMode"=dword:00000001 设置registry标志,然后重新启动,修复问题。 我可以批量分发此修复程序。 但是这个问题肯定是有原因的。
根据SANS和其他人的build议,以减轻散列转储和其他攻击,我正在使用组策略来定义“debugging程序”用户权限分配。 如果没有启用,默认的策略是允许本地系统和pipe理员的权限,我想从pipe理员中删除这个权限(我们没有运行集群服务,据我所知,这是关于你的唯一原因, d需要pipe理员拥有它)。 我想知道是否应该启用此设置并仅添加本地系统,或只启用设置。 即,本地系统是否因为任何原因需要这个特权?
我创build一个域,我需要使用户可以有一个空的密码,但pipe理员必须遵守密码的复杂性如何解决这个问题? 提前致谢