我有一个Web应用程序,我想通过使用传递NTLM进行身份validation进行身份validation。 然而,有一个问题,NTLMv2显然不能在这种情况下工作(没有应用程序存储相同的密码哈希)。 我使用本地组策略:计算机 – > Windows设置 – >安全设置 – >networking安全:LANpipe理器身份validation级别在一台客户端计算机(Vista)上启用NTLMv1。 我将其更改为发送LM和NTLM – 如果协商使用NTLMv2会话安全性。 这工作,我可以使用NTLMlogin到Web应用程序。 现在这个应用程序将被所有的客户端机器使用…所以我想知道如果我把这个策略推送给所有的人(但不是域控制器本身),安全风险是什么?
有没有什么工具可以帮助我们处理所有的团队政策,以发现并消除令我们头痛的冲突和冗余组策略? 我们改变一个团体的政策,另一个总是搞砸了。
是否有GPO设置(Server 2008 R2域),我们可以使用它来设置以下桌面属性? 查看>显示桌面图标
我通过葡萄酒听说,WINS将被淘汰/不再由微软正式支持[但他们已经在Windows服务器2008]。 我在网上找不到任何有关这方面的信息。 有没有人知道这个谣言和/或从Mircosoft正式发布(URL?)? (这个问题涉及政策 – 大型企业networking)
更新:未解决… 这个问题依然存在,我也试过了UNCpath的加固方法,依然没有运气。 我会不断更新这个线程,如果我遇到新的东西。 更新和解决(希望) 似乎问题是由Windows 10(和8.1)中的“快速启动”选项触发的。 还有一个TechNet文章描述了类似的东西。 我去了并通过registryGPO( HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Power\HiberbootEnabled, REG_DWORD 0x0 (0) )停用所有客户端的快速启动 现在,networking共享在引导和重启时被映射。 我希望这样保持下去。 在我的环境(具有三个DC的Server 2012 R2域,所有GC)中,映射的驱动器通过GPP存在一些问题,但仅在Windows 8.1和Windows 10客户端(安装了所有更新)时才有问题。 GPP映射7个驱动器,其中4个位于主DC和文件服务器上,另外3个位于DFS份额上。 如果Win8.1 / Win10客户端连接, 有时会出现驱动器,但大多数情况下不会。 如果我通过命令行运行gpupdate /force ,他们都连接。 当一段时间闲置后用户想要浏览共享(如果DFS或文件服务器无关紧要),会popup一个错误提示: 错误0x80090006:无效的签名 但如果他们再次点击驱动器,一切都很好。 我尝试了所有可能的解决方法,设置GPP在启动之前等待networking,通过net config server /autodisconnect:-1将服务器上的autodisconnect时间设置为无限net config server /autodisconnect:-1 ,删除GPP并从头开始,检查并重新检查sysvol权限,但都无济于事。 客户端有时也会在事件日志中显示一个错误,指出没有DC可以访问,这是无稽之谈,因为每次都处理所有其他GPO和GPP(例如打印机),只有映射驱动器发生故障。 有人遇到类似的东西吗? 任何提示将不胜感激。 UPDATE 在启动客户端之后,有时候这个错误也出现在事件日志(客户端)上: 事件ID 1058,GroupPolicy(Microsoft-Windows-GroupPolicy) 组策略的处理失败。 Windows试图从域控制器读取\ domain.local \ SysVol \ domain.local \ […]
默认情况下,Exchange 2013中的Outlook Web Access(OWA)似乎将可疑垃圾邮件移动到垃圾邮件文件夹。 这在我的大部分环境中都是不受欢迎的行为,因为我们有Barracuda垃圾邮件filter 。 我想为Exchange 2013环境中的所有现有和未来用户全局完成以下设置。 什么是最痛苦的方法来完成这个? 我以为Exchange的shell将是魔术,但运行 Get-Mailbox | Set-MailboxJunkEmailConfiguration -Enabled $false 收益率… The Junk Email configuration couldn't be set. The user needs to sign in to Outlook Web App before they can modify their Safe Senders and Recipients or Blocked Senders lists. + CategoryInfo : NotSpecified: (:) [Set-MailboxJunkEmailConfiguration], DataSourceOperationException + FullyQualifiedErrorId […]
我无法让GPO在启动时运行脚本。 该脚本在一组Windows 8计算机中的每台计算机上创build一个共享文件夹。 剧本本身效果很好,但将其附加到GPO上给我一个问题。 即使在gpupdate / force命令和几次重新启动后,我也无法运行脚本。 以下是我所知道的: RSOP显示正在应用该脚本的GPO GPResult指出该脚本尚未运行(几次重启之后) 计算机的应用程序或系统事件日志中没有相关的事件 对自己的作品执行脚本很好 使用psexec使用SYSTEM证书运行脚本也可以 将脚本从networking共享移动到本地文件夹(例如C:\ GPOFiles \)没有差别,GPO仍然不执行脚本。 我试过使用其他更简单的脚本来查看是否有问题的脚本,而且它们也不会运行 我可以将其作为login脚本来运行,但如果可能,我宁愿将其应用于机器,而不是用户 我不知道如何解决这个,任何想法? 小组长,我对组策略有点新,所以我可能错过了一些明显的事情。 编辑: 我也尝试从Windows 7和Windows 8中创buildGPO,获得相同的结果。 域控制器是Windows Server 2008。 这是我试图运行的脚本。 : '========================================================================== 'ShareSetup.vbs '========================================================================== Option Explicit Const FILE_SHARE = 0 Const MAXIMUM_CONNECTIONS = 25 Dim strComputer Dim objWMIService Dim objNewShare strComputer = "." Set objWMIService = GetObject("winmgmts:" […]
在我们公司,我们使用GPO来推动软件更新,例如Java更新。 我们在不同国家的不同办公室有大约150个用户,都使用Windows 7.我们有几个办公室特定的应用程序,并且没有用户具有pipe理权限。 最近,在我们的一些办公室,有些时候用户需要不同版本的Java; 他们使用的一个应用程序将需要Java版本A,而另一个应用程序需要版本B.最糟糕的情况是同一用户需要不同的Java版本,具体取决于正在使用的应用程序(Web应用程序或独立应用程序)。 我们在这个月和上个月的两个办公室中遇到了这个问题。 到目前为止,我们在需要时安装了足够的Java版本。 显然这是非常耗时的。 对于下个月,我们正在考虑针对较旧的Java版本拥有特定的虚拟机或计算机。 但是这也不是最好的解决scheme。 还有什么其他解决scheme? 公司如何处理同一用户对不同(和不兼容)Java需求的需求?
我有三个域,DomainA,DomainB和DomainC。 在森林广泛身份validation的情况下,DomainA-DomainB和DomainA-DomainC之间有两种森林信任关系。 我想使用GPO首选项将DomainA中的组添加到DomainB和DomainC上的本地pipe理员。 在DomainA中,当我点击位置来从中select用户时,它将所有可信域显示为可用源; DomainA上的位置 但是在DomainB和DomainC上,它只显示本地域,就像这样; DomainB上的位置 我能够将DomainA中的用户添加到DomainB和DomainC中的AD组,但出于某种原因,GPO未将DomainA显示为可用位置。 我尝试validation信任,删除和重新创build信任,并下载新的ADMX文件,但没有任何工作。 DomainB和DomainC是2K3的森林/域function级别,我把它们都提升到了2K8R2(DomainA的function级别是2K8R2),但是这也不起作用。 任何想法,我怎么能得到这个工作?
我selectgpo软件安装升级来升级现有的软件包。 我没有更换包装。 将旧软件包和升级软件包安装在join域的新计算机上吗?