我们有一个虚拟化的域控制器, 这导致了我们现在看到的复制问题。 我已经把PDC模拟器和其他fsmoangular色移到了一个新的DC上,我们正在研究虚拟DC的退役。 同时,我正试图解决组策略处理的问题。 某些工作站在尝试处理策略时,正在parsing虚拟化/故障DC的IP地址的“domain.local”。 当他们尝试从此DC下载GPO时,由于复制问题,这些GPO不可用。 我想要做的就是安全地从服务这个域(\ domain.local \ sysvol)的DFS服务器列表中删除这个DC。 有没有一个安全的方法来做到这一点? 这只能是暂时的创可贴,直到我们能够解除发生故障的DC。 我也接受其他build议。
我有一个基于Server 2008 R2的Active Directory域。 我们的默认GPO有几个打印机/networking驱动器映射,在运行Windows 7的客户端以及Windows XP(在应用KB943729之后)上都可以在本地正常工作。 目前,我们正试图将一些没有本地数据中心的远程办公室(通过站点到站点VPN连接),并且遇到了一个问题,即只有运行Windows 7的计算机才能将这些策略应用到这些计算机上到本地机器。 另一方面,Windows XP客户端完全忽略驱动器/打印机映射策略。 如果我尝试在受影响的Windows XP客户端上加载rsop.msc,我得到一个“无效命名空间”的警告,我甚至看不到该策略。 我努力了: 重新join受影响的机器到域(什么都不做) 在用户/计算机策略上禁用慢速链接检测(不执行任何操作) 确认login的用户有权使用DC上的SYSVOL共享。 (所有经过authentication的用户都可以) 有什么我在这里失踪? 我知道在每个办事处都设立一个地方区议会可能会解决这个问题,但我们现在没有那么多钱。
我们有一个问题,我们的客户之一相对较新的安装。 该域由包含4个Windows 7客户端和3个XP客户端的单个SBS 2011服务器组成。 大多数情况下,一切都很好,但是大概每三天,Windows 7客户端在尝试接收计算机组策略时就开始超时。 这导致在早上进入login屏幕之前的一小时的延迟。 这是伴随着事件ID 6006,赢取login错误,说明处理政策需要3599秒。 一旦他们启动,他们可以login没有问题,但gpupdate在计算机策略上再次失败,gpresult与访问被拒绝,即使当作为域pipe理员运行…在这一点上,如果我们重新启动服务器networking罚款3天。 我想也许它可能是ipv6或smb2,但禁用客户端上的ipv6没有帮助,客户端无论如何都可以在smb2上自由浏览sysvol文件夹。 有没有人有任何想法或路线,我可以采取进一步诊断问题?
我们有一些笔记本电脑用户,可靠地及时部署软件更新是一个问题。 情况是: 用户很less进入办公室。 因此,他们的电脑在启动时很less连接到域/企业局域网 用户没有本地pipe理员权限 login前的VPN连接可用 更新是典型的核心应用程序(Java,Adobe Reader等)以及一些业务应用程序。 一切从微星到自解压拉链的混合物 目前不使用第三方部署工具 相当小的部署(目前less于50个用户),所以没有用于重量级解决scheme的预算或资源 用户定期通过典型的客户端VPN(在这种情况下是RRAS / SSTP,但可能不相关)在启动后(通常是login后)连接到networking。 问题中的计算机是join域的Windows 8.1 Pro计算机。 服务器都是Windows Server 2012 R2 由于在启动过程中缺less与企业networking的连接,组策略软件安装似乎不是用于部署应用程序更新(或针对该问题的新应用程序)的可行选项,但是我很乐意收到提示除此以外。 DirectAccess可能会开放更多的select,但在可预见的未来不是一种select。 所以,我的问题是:人们推荐什么样的解决scheme,以可靠和及时的方式将应用程序/应用程序更新部署到在启动时很less连接到公司LAN的移动用户? 如果他们在小企业的范围内,我可以接受第三方工具。 我已经注意到这个答案 ,这表明Intune可能值得调查(SCCM可能会太多)。 任何其他build议不胜感激。
我有一个大规模的Windows 10计算机和用户正在开发一些真正可怕的高对比度的主题,然后消耗IT资源,因为他们不能改变它的情况。 我知道有一个键盘快捷方式来切换此设置( Alt + Shift + 打印屏幕 ),但四处奔波或尝试用户教育是太耗费资源, 我知道的选项可以完全阻止访问的可访问性设置 ,但是我们有视觉障碍的用户需要访问非恶意的易用性设置,所以这不是一个选项。 我也知道阻止用户改变主题的选项 ,但在这之前,我需要摆脱这种高对比度的主题垃圾。 有没有人知道一种简单的方式来通过脚本或GPO切换高对比度的主题?
我有一个Win2k8R2服务器configuration为PDC和terminal服务(是的,我知道。)。 我的经理希望用户能够使用开始菜单 – > Windows安全 – >更改密码来重置自己的密码。 原则上我不这样认为。 他试图改变自己的密码,只能遇到“你的密码不符合复杂性规则”的消息。 我已经从另一个帐户testing相同的方式,也不能更改无特权用户的密码。 我可以通过使用Active Directory用户和计算机作为我的帐户(pipe理员,以及企业和域pipe理员)login,然后重置其密码来更改用户的密码。 如果他们想重新设置密码,我很高兴他们来这样做,我们是一个8人左右的小团队,这不是一个大任务。 但是,即使通过编辑组策略禁用密码复杂性,用户仍然不能更改自己的密码。 问题: 我错过了什么魔法设置来允许他们更改自己的密码? 这是正常的用户必须访问pipe理员密码重置? (这是在我工作过的其他几家公司工作过的) 有一个更好的方法吗? 我不喜欢有不安全的密码。
我创build了一个GPO,通过组策略首选项将打印机映射到共享打印机用户策略。 我已经删除了GPO,但每当我login到任何机器,它仍然试图映射打印机,但失败(因为该队列不再存在于服务器上)。 该政策已设置为“ Create 。 这甚至发生在我从未login过的机器上。 是什么原因造成的,我怎样才能阻止它发生?
我试图通过限制* .exe在less数几个位置的执行,特别是各种压缩工具解压到的临时文件夹,当用户可能select打开可执行文件直接从一个Zip文件。 从TechNet文章http://technet.microsoft.com/nl-nl/library/cc786941%28v=ws.10%29.aspx : 您可以在path规则中使用环境variables。 由于path规则是在客户端环境中进行评估的,因此使用环境variables(例如%Windir%)的function允许规则适应特定用户的环境。 … path规则可以包含? 和*通配符,允许诸如“* .vbs”的规则匹配所有的Visual Basic脚本文件。 以下示例说明了通配符的使用: “\ DC – ?? \ login $”匹配\ DC-01 \ login $,\ DC-02 \ login $ “* \ Windows”匹配C:\ Windows,D:\ Windows,E:\ Windows “c:\ win *”匹配c:\ winnt,c:\ windows,c:\ windir 我有这些path规则(我已经应用了单一和各种组合): %APPDATA%\*.exe %APPDATA%\*\*.exe %LOCALAPPDATA%\*.exe %LOCALAPPDATA%\*\*.exe %TEMP%\*.exe %TEMP%\7z*\*.exe %TEMP%\wz*\*.exe %TEMP%\Rar*\*.exe …理论上应该代表用户临时文件夹下的可执行文件,以及以Winzip,WinRAR和7-zip命名临时文件夹(例如%TEMP%\7zSF20.tmp\the_file.exe的方式命名的临时文件夹中的可执行文件)。 %APPDATA%和%LOCALAPPDATA%工作; %TEMP%的人没有。 可执行文件似乎在%TEMP%下被阻止,但这只是因为在默认设置下,它们也与%LOCALAPPDATA%\*\*.exe规则相匹配(默认情况下Temp为AppData \ Local)。 我原本以为这是在部分文件夹名称通配符的问题,但它显示这是特定于使用%TEMP%variables(因此重写)。 […]
有一种方法(首选GPO),当新用户首次login时禁用“浏览Windows XP”气球/popup窗口?
是否有GPO选项来禁用RDP连接的空闲时间屏幕保护程序,但为交互式login保留空闲时间屏幕保护程序选项? 编辑:所有用户是TS用户以及本地,所以他们在同一个OU。 当他们RDP时,我们需要屏保'禁用'。