当我应用GPO更改服务启动设置,其中默认的服务启动设置保存? 我怎样才能读取和修改它们? 问题的原因是,我有一百个服务器,其中大多数服务被基线GPO禁用以用于强化目的。 我想通过删除一些服务来放松这个GPO,但是我不希望服务启动设置在GPO放松之后变成默认设置。 所以我想把实际的强化状态保持为默认状态,但是如果需要的话可以让本地pipe理员修改。 谢谢
我试图得到一个非常简单的批处理脚本,当我的Windows 2008 Server(R2)系统启动时运行。 我已经通过运行gpedit.msc将脚本添加到本地组策略中的“启动脚本”,并且在运行rsop.msc ,我看到了Windows Settings/Scripts (Startup/Shutdown)/Startup时列出的脚本,但脚本没有被执行。 即使在重新启动之后, rsop的“最后执行”列也是空的,并且不会创build应由脚本创build的文件。 目前,脚本的全部内容是: rem Check if this script is running. date /t > c:\temp\flag 目标目录( c:\temp )存在。 该脚本被称为c:\scripts\startup.bat ,并且如果我手动运行它可以正常工作。
我知道,我们可以通过编辑以下关于:config设置来允许Firefox允许传递Windows凭据 –If using Kerberos– network.negotiate-auth.trusted-uris network.negotiate-auth.delegation-uris –If using NTLM– network.automatic-ntlm-auth.trusted-uris 并在Chrome中添加一个命令行开关 -–auth-negotiate-delegate-whitelist="*example.com" 但是,这些在公司范围内都难以pipe理。 有没有人有任何解决这个问题的好方法?
多年来,我一直使用文件夹redirect为我所有的桌面客户端(Win7)。 我正在寻找将所有数据迁移到新的服务器/共享。 我已经使用相同的ACL创build了一个新的共享,并使用robocopy将数据与文件安全信息一起传输(我目前对DFS不感兴趣)。 我可以只更改GPO中的服务器吗? 如何“将[FolderName]的内容移动到新的位置”。 设置效果这种情况?
我想在Microsoft Windows Server上的不同用户下运行一个进程 (而不是服务),我需要这样做的最小权限集合 。 最小的一组权限是必需的,因为这个用户不应该只能login和访问所需的资源。 像这样的东西应该工作: Start-Process -Credential $cred -FilePath calc.exe 我研究了用户权利政策,但没有获得值得注意的成功。
我有一个使用Windows Installer的内部应用程序。 此应用程序的每个更新都是“主要升级”(不同的产品代码,相同的升级代码),并调用RemoveExistingProducts。 (实际上,这意味着只要点击MSI文件就可以安装新版本,因为它会卸载旧版本,然后安装新版本。) 它目前通过组策略中的机器configuration进行部署。 任何关联的GPO将在下次启动时安装该软件,而且这个工作很好。 我也有一个持续集成服务器(TeamCity),每次我们提交源代码控制和“钉住”部署的时候,都会为这个软件构build和运行testing。 我甚至可以将新build的MSI文件复制到networking共享中,以备部署。 不幸的是, 我没有看到实际告诉GPO作为我的集成过程的一部分以编程方式重新部署新更新的MSI文件的方法。 如果我只是覆盖现有的MSI文件,而不触摸GPO,那么更改不会被安装了旧版MSI的机器发现,而当新的机器无法find带有产品代码的MSI文件由组策略pipe理编辑器生成的脚本。 好,有道理。 如果我只是覆盖现有的MSI文件,并在GPME中单击“重新部署应用程序”,似乎也会发生同样的行为。 再一次,我们似乎很不高兴,我们试图重新部署一个MSI文件,它的软件包代码与GPME生成的脚本不匹配。 好,有道理。 在GPME中右键点击安装包,点击“立即删除”,然后右键添加安装包 – 创build一个新的* .aas脚本,旧的包被删除,下一个安装的新包开机。 有一些方法可以通过批处理脚本来完成,我可以将其添加到集成服务器的构build过程中? 谢谢! 后续更新 在回顾了Evan的评论之后, 我最终只写了一个在Startup上运行的小批量脚本 。 我还写了一个名为msicheck的小工具,用于确定是否安装了指定的MSI软件包。 这足以满足我的需求,而且比通过LDAP规范的页面浏览要好得多! =)
我正在尝试修复完全无计划的非结构化Active Directory层次结构。 在Windows Server 2000上首次创build域时,不会为用户或计算机创build任何容器或OU。 所有用户在默认的“用户”容器下集合在一起,并且所有的计算机都集中在默认的“计算机”容器中。 该域最终得到升级,我现在有两个Windows Server 2008 x64数据中心。 但当然,目前的结构或缺乏是分配权限和应用组策略的噩梦,所以我需要重组整个事情。 我的问题是,如果将用户和计算机迁移到OU和组(如果有),我应该期待什么样的业务中断? 任何build议如何做到这一点? 任何指向最佳实践的指针? 以防万一需要时,环境的其余部分是Windows Server 2008文件服务器,Windows Server 2003 R2打印服务器,Windows Server 2003 R2 Exchange 2003服务器和运行SQL Server 2005 SP2的Windows 2003 R2 x64服务器。
我不是一个服务器pipe理员,但是当我不得不时,我的脚湿了。 现在我正在Windows 2008 Server计算机上运行一些COTS软件。 软件安装程序会创build一些用于运行其进程的用户帐户,然后为这些用户提供“作为批处理作业login”的权限。 每隔一段时间(例如昨天下午2:52和今天上午7:50),这些权利就会消失。 该软件然后停止工作。 我可以通过使用来validation用户权限是否消失 secedit /export /cfg e:\temp\uraExp.inf /areas USER_RIGHTS 我有一个脚本每隔30秒做一次,并logging结果的时间戳,所以我知道什么时候权利消失。 我从导出中看到,在“正常”状态下,即在安装软件并正常工作之后,secedit导出的SeBatchLogonRight行包含由软件创build的用户帐户。 但是每隔几个小时(有时会更多),这些用户帐户将从该行中删除。 使用GUI工具“ Local Security Policy > Security Settings > Local Policies > User Rights Assignment > Log on as a batch job可以看到同样的情况:在“正常”状态下,该策略包含所需的用户帐户,坏的状态,政策没有。 基于上述日志脚本和用户权限被删除的时间戳,我可以清楚地看到一些GPO正在引起这种变化。 GPO操作日志显示正在正确处理的GPO。 例如: Starting Registry Extension Processing. List of applicable GPOs: (Changes were detected.) Local Group Policy […]
我试图find一种编程方式来编辑Windows更新的组策略。 我有一个本地的WSUS服务器,我想指向新安装的Windows。 理想情况下,我只想要一个脚本,我可以运行这个,而不是进入gpedit.msc>pipe理工具> Windows更新>设置内部网服务器。 我考虑编辑registry作为替代,但我碰到了一堵墙。 首先,不同操作系统的条目是不同的,这不是一个很好的解决scheme,但是很烦人。 主要的问题是,在较旧的操作系统configuration(如Windows XP)中,服务器地址会显示在每一台计算机的一大堆奇怪,独特的地方。 例如: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{2975F3DE-F18A-9CE1-A731-5E6723AC64FD}Machine\Software\Policies\Microsoft\Windows\WindowsUpdate 据我所知,没有办法确定registry项名称将在安装之前,所以我不能正确设置密钥。 我也一般在registry上这样做,因为我不是100%自信这是在GPO中唯一的变化(是否有任何其他的幕后? 更新回应评论 @Ben – 我知道这不是使用GPO的理想方式,我更受限于这样的事实,即我看不到任何其他方式来指定我的WSUS服务器而没有registry问题,而不是使用GPO 。 目前没有一个活动目录,所以据我所知,我不能设置每个人都inheritance的全局GPO,如果我可以避免的话,我不想设置一个。 @Jason – 有两个问题,首先,这只是设置registry值,我已经可以在cmd中做,其次,我不是100%确定所有的计算机,我们正在使用的PowerShell的安装。 而且,在那个时候,它的鸡和鸡蛋问题 – XP的旧版本需要WSUS,WSUS是它获取Powershell的地方,它需要设置WSUS。 @瑞安 – 我不认为这些是唯一的registry设置改变。 至less在Windows 7帐户中,它会更改您在HKLM和HKEY_USERS中logging的条目。 但是,只在Windows XP盒子上设置这些值不允许计算机连接到WSUS服务器,它只是错误的。 但是,我会重试。 第二次编辑:刚刚在一台空白的XP SP3机器上试过,只能设置以下内容,无法连接到服务器: HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows \ WindowsUpdate / v“WUServer”/ t REG_SZ / d http:// myserver […]
如果版本号匹配,组策略诊断实用程序GPOTool会报告两个域控制器之间GPO版本不匹配的任何想法? Policy {GUID} Error: Version mismatch on dc1.domain.org, DS=65580, sysvol=65576 Friendly name: Default Domain Controllers Policy Error: Version mismatch on dc2.domain.org, DS=65580, sysvol=65576 Details: ———————————————————— DC: dc1.domain.org Friendly name: Default Domain Controllers Policy Created: 7/7/2005 6:39:33 PM Changed: 6/18/2012 12:33:04 PM DS version: 1(user) 44(machine) Sysvol version: 1(user) 40(machine) Flags: 0 (user side enabled; machine […]