我已经发布了一些这样的“最佳实践”问题。 问题说明了一切。 目前的做法是映射驱动器并为每个用户/计算机组合安装计算机上的打印机。 我想使用GPO自动执行此过程。 小networking(80个用户),11个部门,95%的用户每天login到同一台PC,没有理由不这样做。 一些用户在多个部门工作,以及几个人人用于不同目的的浮动笔记本电脑。 这是我的想法: 根据用户映射驱动器。 这样可以防止某些用户访问其他用户无法访问的敏感数据。 基于计算机的地图打印机。 这将确保打印机分配既是逻辑的又是最接近的。 对我来说,这似乎是一个明显的答案。 这个标准是否被认为是最佳实践? 我在看什么?
有没有人有权威的政策来源,如果设置,必须设置在默认域策略(如果select设置)? 在我的头顶,我知道密码策略和某些用户会话策略必须在默认域策略中设置。 我正在清理我们的域名GPO,并试图分离任何可以在默认设置之外设置的GP。 为了澄清 ,我不是在问什么是必须制定的政策,我是在问我应该select设置哪些政策,必须在默认政策范围内设置。
我的问题是关于使用PowerShell脚本在2008R2域中安装,configuration,更新和维护Windows 7 Pro / Ent工作站,而不是使用GPO / ADMX / msi。 情况如下: 由于喜剧累积的企业碰撞,我们突然发现自己必须在很短的时间内和交付时间表上devise,configuration和部署完整的Windows Server 2008 R2和Windows 7 Pro / Enterprise。 当然,我不是一个Windows专家,我们人手不够,我们的stream行词宾果包括“自动化”和“一键”和“它需要正常工作”。 (FWIW,我从DEC开始,然后到solaris和cisco,然后是现在各种风格的linux,只有一些BSD,我用Windows来填写表格)。 所以我们决定引进一个承包商为我们做这个。 他们达到了最后期限。 系统已经启动,大部分都可以使用,而且这很好。 我们无法做到这一点。 但是现在被certificate是PIMA的“主要”部分,而且我必须学习微软的东西,直到/如果我们能够与这些人签订新的合同来进行持续的运营。 这是我的问题。 承包商几乎专门用于部署,configuration和更新。 上周我的精读内容让我认为部署,configuration和更新微软公司的普遍接受的做法使用了GPO和ADMX模板的元素,以及一些第三方的东西,比如PolicyPak。 有没有坚实的理由,我还没有发现,PowerShell脚本将优于GPO方法? 当他回来休假的时候,我会和承包商的负责人讨论这个问题,他会直接和我一起(我也不认为他们是这样做的)。 但是我也可以看到这可能是一个宗教问题,所以我仍然想要一些背景。 思考? 或网站链接? 谢谢!
我在Windows Server 2012上,Active Directory已启动并正在运行。 我们pipe理的所有项目都有两个专门的小组,一个供经理访问所有相关文件(包括发票,时间表和他们pipe理项目所需的任何东西),或者至less我猜,这可能是一堆GIFanimation知道),一个为实际工作的人只能访问项目本身的文件。 我需要让一些项目经理控制允许文件访问他们的项目的组的成员资格。 他们不应该能够编辑组的任何其他方面。 理想情况下,它应该使用某种types的graphics用户界面,因为这样解释会很困难,但是最糟糕的情况是我可以编写一个脚本。 我将pipe理组添加到托pipe组的“Managed By”选项卡上,“Manager可以更新成员列表”已启用,这看起来很简单。 但.. 我应该让pipe理组让我们看看整个用户列表吗? 如果是这样,怎么样? pipe理组成员如何以及在哪里login以编辑组成员资格?
我期待通过GPO设置我们的WINS服务器,这可能吗? 我们有2个SSID,我们的客户可以连接到(一个连接到我们控制的DHCP,另一个到不同的DHCP我们不 – 每个都有自己的WINS)。 我们通过DFS做了很多映射,所以我们需要我们的wins服务器。 帮帮我?
我有一个Windows Server 2003域。 其中一个组策略对象显示为OU中的链接项目,但是我可以看到唯一ID和链接状态是否已启用。 它旁边有一个红色的减号图标,其名称显示为“无法访问”。 该消息显示“ 此组策略对象(GPO)不可访问,因为您没有对其的读取级别权限 ”。 SYSVOL中有一个包含唯一ID的文件夹,我可以毫无困难地浏览它。 如果查看组策略对象的完整列表,我找不到类似于此无法访问的GPO的任何内容。 如果针对不可访问策略适用的用户运行组策略结果向导,则可以看到GPO的真实名称,并查看从GPO应用到用户的所有设置。 可能发生了哪些事情会导致pipe理员几乎失去对GPO的所有访问权限并且可以恢复访问权限?
我试图lockingXP工作站经过一段时间的不活动通过GPO。 从我可以告诉,其中一个要求是屏幕保护程序必须设置。 看来,强制屏幕保护程序的唯一方法是强制一个特定的屏幕保护程序。 我宁愿设置一个默认的屏幕保护程序,以便在客户机上没有特别select另一个屏幕保护程序的同时,还可以删除客户机上的select退出屏幕保护程序的function。 基本上,我不在乎屏幕保护程序运行,只要有一个运行。 那可能吗?
我已经创build了一个包含自定义用户界面(Access 2007应用程序)和电源pipe理(让电脑闲置2分钟后可以hibernate)的几种设置(包括计算机和用户)的环回GPO。 我也在过滤,所以这个政策不适用于“pipe理员” – 只对“用户”。 我遇到的问题是“用户”login电源pipe理设置不起作用,但他们做“pipe理员”。 为了testing我允许“用户”启动任务pipe理器,并使用运行线,所以我会运行资源pipe理器,看看电源pipe理,它显示了我的GPO的设置。 所以我创build了一个带有上述GPO副本的testingOU,但删除了自定义用户界面,发现电源pipe理设置对“用户”和“pipe理员”都起作用。 当我添加自定义用户界面的电源pipe理设置中断为“用户”,但继续为“pipe理员”工作。 电源pipe理选项需要用户界面是“Explorer.exe”吗? 这是一个错误还是我这样做是错误的方式? BTW平板电脑使用的是Vista SP2。 任何见解或build议将不胜感激。 谢谢,Matt
我在这里描述的问题与组策略Internet Explorer中的问题相同,附加列表不起作用 ,但我提供了更多的细节和故障排除步骤,所以我认为值得重新提问。 我pipe理许多运行Windows 8.1的计算机。 我在这些机器上安装的几个软件包都具有用于Internet Explorer的关联附件。 Internet Explorer的默认行为是提示用户在加载项安装后第一次运行Internet Explorer时启用加载项。 由于我是安装附加组件的人员,而且由于我pipe理这些机器,因此我希望这些附加组件在默认情况下处于启用状态,并且我不希望提示用户。 但是,如果需要,我希望用户保留禁用附加软件以进行故障排除的function,并且如果用户被授予了安装软件的权限,我希望他/她能够获得任何附加软件安装,我不知道。 根据微软的文档 ,这可以通过组策略设置。 (请注意,在“ 计算机configuration\pipe理模板\ Windows组件\ Internet Explorer”下自动激活新安装的加载项设置会打开没有提示的任何附加组件 ,因此它不符合我上面所述的要求。 ) 看起来像这样的设置应该做我想要的是在计算机configuration\pipe理模板\ Windows组件\ Internet Explorer \安全function\加载项pipe理下的加载项列表 。 从MSDN引用: 使用CLSID和pipe理模板来pipe理组策略对象 因为每个加载项都有一个类ID(CLSID),所以可以使用组策略和pipe理模板来启用和禁用特定的加载项。 pipe理加载项 获取要启用或禁用的加载项的CLSID: 打开Internet Explorer,单击工具 ,然后单击pipe理加载项 。 select您想要更改的加载项,然后右键单击“ 更多信息” 。 单击复制 ,然后closurespipe理加载项和Internet Explorer。 从复制的信息中,只select并复制Class ID值。 打开组策略pipe理编辑器并转到计算机configuration\策略\pipe理模板\ Windows组件\ Internet Explorer \安全function\附加组件pipe理 。 -要么- 打开本地组策略编辑器,然后转到计算机configuration\pipe理模板\ Windows组件\ Internet Explorer […]
正如您可能知道的那样, 回送处理是Active Directory组策略的一项function,它将GPO中的用户设置应用于任何loginGPO范围内的计算机的用户(而标准行为仅适用于用户帐户实际上位于GPO的范围内)。 当您希望所有login到特定计算机的用户都可以接收某些用户策略时,这非常有用,无论他们的用户帐户实际位于AD中。 问题是:启用了回送处理时,包含用户设置的GPO将应用于使用这些计算机的所有人 ,并且您无法通过在GPO上使用ACL来绕过此操作,因为它实际上并未应用于用户 ,而是应用于计算机 。 问题:如何避免回送处理被特定的用户需要login到这些计算机,但不应受制于这些策略设置? 例如,有几台terminal服务器,在这些服务器上,使用环回处理的GPO被用来对所有login到其上的用户实施严格的用户限制(他们基本上只能运行一大堆公司批准的应用程序)。 但这甚至适用于域pipe理员 ,因此无法启动命令提示符或打开任务pipe理器。 在这种情况下,如果用户login属于特定组(如Domain Admins),如何告诉AD不执行这些设置? 或者,即使是相反的解决scheme(“仅将这些设置应用于属于特定组的用户”)也可以。 但是,请记住,我们正在讨论这里的环回处理 。 这些策略适用于计算机 ,并且其内部的用户设置仅适用于用户, 因为他们正在login到这些计算机 (是的,我知道这是混乱的,回环处理是正确地使用组策略的最棘手的事情之一)。