有没有办法使用Windows GPO设置可应用于一组用户的“默认”映射驱动器列表? 我运行小型networking,并希望确保某些用户组(如销售或支持)具有相同的networking共享映射到相同的驱动器号,而不pipe他们login到哪个PC。 这将使新用户的设置更容易,并允许共享networking位置的集中pipe理。 任何链接的例子和/或分步指南将不胜感激。
如何使用组策略禁用文件夹redirect的SID安全检查? 这不是关于削弱安全性,而是关于让Active Directory和Samba很好地结合在一起。 我有一个Kerberized REALM信任的Samba服务器。 用户可以读写他们应该能够读写的内容。 用户不能读写他们不应该读写的内容。 但是,如果我尝试使用它来进行文件夹redirect,则会出现类似以下的错误。 EventData FromFolder RoamingAppData ToFolder \\samba.example.com\home\username\.AppData Options 0x9219 Error Can't create folder "\\samba.example.com\home\username\.AppData" ErrorDetails This security ID may not be assigned as the owner of this object. 漫游configuration文件没有相同的问题,但我必须启用: Computuer Configuration \ Administrative Templates \ System \ User Profiles \ Do not check for user ownership of Roaming Profile […]
我只想知道,如果我将防火墙放置在Windows客户端(XP或7)和域控制器(Window Server 2008 R2)之间,哪个端口需要打开, 请注意它在客户和DC之间,而不在DC到DC之间 我search谷歌,但在谷歌我得到的答案是在客户之间,以及从DC到DC。 根据我的发现,我需要打开。 TCP和UDP端口88用于Kerberos身份validation 用于LDAP的TCP和UDP 389 用于SMB / CIFS / SMB2的TCP和UDP 445 TCP和UDP端口464用于Kerberos密码更改 全球目录的TCP端口3268和3269 TCP和UDP端口53用于DNS TCP和UDPdynamic – 1025到5000(Windows Server 2003)和从49152到65535(Windows Server 2008)的DCOM,RPC,EPM 让我知道,如果我失去了一些东西。 注意: – 仅在Client和DC之间。
我知道有GPO设置“Computer Configuration => Admin。Templates => System => Scripts =>同步运行login脚本”。 但是,这确保login脚本在Windows资源pipe理器开始加载之前运行(启用时)。 我需要相反的东西。 我想确保explorer.exe已经成功加载,然后执行PowerShelllogin脚本。 这是由于我需要触发的一些应用程序的依赖关系。 我试过禁用根据描述的设置应该允许同时运行文件资源pipe理器和脚本。 不幸的是,它不(是的,我做了重启和gpupdates …) 所以我试图在我的PowerShelllogin脚本中添加一个名为wait-for-explorer()的函数。 它睡在一个while循环,直到explorer.exe正在运行。 但是,这似乎并不正确。 什么是最好和最干净的方法来解决这个问题? 有一个我忽略的GPO设置? 这是代码的样子: Function Wait-For-Explorer { $process = 'explorer.exe' $waitTime = 1 While ($owner.User -ne $env:USERNAME) { try { $owner = (Get-WmiObject -class win32_process | where { $_.ProcessName -eq $process }).GetOwner() | Select -Property User } […]
我们首次在组织中实施组策略,并对最佳实践和function提出了一些问题。 我们已经做了一些工作,想看看有没有更好的办法。 我们目前的设置 我们的安全过滤设置如下: EXCEPT Firewall AllowFilePrintSharing Group: Firewall AllowFilePrintSharing PCs EXCEPT Firewall AllowRDP Group: EXCEPT Firewall AllowRDP PCs EXCEPT Firewall Unmanaged Group: EXCEPT Firewall Unmanaged PCs Workstations Policy Authenticated Users Folder Redirection Group: Folder Redirection PCs Authenticated Users Proxy Disabled Group: Proxy Disabled PCs Authenticated Users Loopback Policy Processing – Replace Authenticated Users 我们的目标 […]
我真的可以用一些帮助。 遵循technet.microsoft.com上的官方说明,我试图在我的Windows 10机器上部署一个开始菜单。 不幸的是,这不能按预期工作,开始菜单不会改变用户。 但它被locking,这只是意味着实际上应用了GPO,我可以使用GPRESULT来确认。 此外,我检查了registry,两个registry值 HKCU\Software\Policies\Microsoft\Windows\Explorer\LockedStartLayout DWORD 1 HKCU\Software\Policies\Microsoft\Windows\Explorer\StartLayoutFile String \\domain.local\share\pathtoxml.xml 设置正确。 xml文件位于文件共享中,我使用GPO中的UNCpath引用它。 “域用户”组具有对文件的读取权限。 我从用户帐户validation。 还有什么可能在这里出了错?
我想知道是否有可能在Windows Server 2008 R2或2012上创build策略,一旦用户注销系统,将清除所有文件(桌面,文档等所有文件)? 基本上看起来就像一旦他们重新login系统,它将看起来像一台新的PC。 我希望这是有道理的。 提前致谢 :)
从各种文档看来,要更改WMI访问,您需要使用WMI访问正在运行的服务并修改树的特定部分。 它使用用户界面变化150,000主机恼人的一种。 然后必须在添加新主机的过程中包含这些更改。 可以编写一个脚本来执行相同的操作,但是需要连接到所有这些机器上,或者在启动/安装脚本中进行分发以便以后更新。 然后,你必须搞清楚从示例访问控制复制二进制SD数据。 我也发现你可以改变wbem / *。mof文件来包含一个SDDL,但是我现在对这个工作是非常模糊的。 我只是缺less一些简单的pipe理点?
我有一个实验室(ISH)环境,我在一个森林中有一个单一的域名。 我有一个Windows 7的图像给我的组织(我没有build立,不完全确定谁做的),我发现有一些项目的用户(即使是pipe理员用户,即使域pipe理员用户)也不能在Windows 7环境中更改,包括但不限于IE中的可信站点,电源选项(特别是configuration何时locking显示器)等。这些是我想要影响的主要两个,但是我提出了“我的pipe理员控制了一些设置”的消息,我已经看到了大约一百万个post。 我到目前为止所尝试的 – 组策略 – registry设置 – 本地安全策略 – 解锁隐藏的pipe理员并使用它们 – 将用户添加到“受限制的组” 这些似乎都没有影响。 集团的政策是适用的,GPResult显示我所期望的。 举个例子,我看到我在GPO中应用的一个自定义的权限configuration文件,它甚至设置了我所有的设置, 除了 “禁用显示”设置,它仍然设置为我的策略,并且仍然变灰以防止改变。 还有什么我可以看看重新控制我的客户端机器? ****更新****我没有明确地把它叫出来,但我已经将计算机移动到一个新的不inheritanceGPO的OU,每个build议我从域中删除机器。 设置保持原样。 当失败时,我重新启用本地pipe理员,并以同样的方式login,看看是否能解决问题,但没有。 我从一开始就怀疑,无论问题是在图像层面完成的,因为所有的工作站都是build立在相同的图像上(如图所示),它似乎是一个既不是由域设置也不能通过组策略忽略的设置至less不是我意识到的意思)
我只需要将GPO应用于特定networking范围内的某些计算机。 我知道有这个问题的许多其他解决scheme。 我可以将他们分组到一个OU或使用网站。 但目前的情况不允许我采取任何行动,除了确定客户端的IP地址是否在特定的networking中。 因此,我认为我可以使用WMIfilter,并且问我的好朋友Google寻求帮助:我find了http://waynes-world-it.blogspot.ch/2008/03/wmi-filter-for-subnet-filtered-group .html但是 Select * FROM Win32_IP4RouteTable WHERE ((Mask='255.255.255.255' AND NextHop='127.0.0.1') AND (Destination Like '10.31.%')) 似乎没有工作。 由于该filter,该策略不适用于任何计算机。 任何人都可以给我提示如何解决? 非常感谢你