我一直在尝试诊断缓慢的login到我的域名。 我的第一站之一是域名login非常缓慢10+分钟 。 到目前为止,我已经能够告诉它必须处理应用文件夹redirect的策略并pipe理性地分配脱机文件。 启用此策略可靠地将30 – 90秒添加到login。 即使在redirect的文件夹中只有20兆字节的configuration文件中,也会发生这种情况。 我经历了一些文章,包括使用procmon来查看是否发生了挂断的build议。 我确实发现并修复了一个旧的计划任务中的第二次挂断,但没有解释这么长时间的滞后。 我也看了几个积极的安装程序build议 – 如邮件应用程序。 在爆发Wireshark之前我还能检查什么? 编辑问题: 每次login都会发生这种情况。 软件设置/等坚持他们应该。 组合中没有临时性,强制性等概况。 我通过procmon看到活动,但没有任何迹象表明有差距。 没有差距的事件时间,没有延长持续时间的过程。 我以前打开文件redirect日志的详细程度。 根据文件夹redirect操作日志,处理策略需要1秒钟时间(事件1000到事件1001) 组策略操作日志显示了几个更复杂的策略,每个约1秒钟。
我读过一些声称使用Active Directory用户主目录属性来自动映射主驱动器的文章是一种传统方法,不build议使用,或者不推荐使用。 我链接的第二篇文章给出了一些很好的理由,为什么不build议这样做。 但是,我已经search了高低,并没有find任何正式的微软文章给出这个build议。 看起来官方的立场仍然是要么使用主目录属性,要么使用文件夹redirect。 以下是2013年的一篇文章 ,其中,Microsoft MVP仍然使用主目录属性练习,在“脚本人”认可的文章中。 有没有人知道这个历史,并可以提供一个更“官方”的build议的链接是否通过GPO映射家庭驱动器现在是最好的做法,通过使用主目录属性? 或者这是在实践中被采用但从未正式认可的东西? 如果是后者,是否有任何function由于不使用主目录属性而丢失?
环境: Windows 2000 SP4 编辑:与Win2008服务器没有信任安装的域控制器 Windows XP机器 Windows 2008 Server Netapp NAS 问题: 我们有一个共享文件夹驻留在使用Windows 2008 AD进行身份validation的NAS上,并具有适当的权限设置。 当Windows 2000机器试图打开驻留在Win2008机器上的共享时,会提示input用户名和密码。 一旦input凭证,它不断重新要求凭证。 重要细节: Windows 2000机器可以ping XP和Windows 2008 Server Windows 2008机器强制只使用NTLMv2 Windows 2000计算机最初设置为NTLM,但NTLMv2 if negotiated为了尝试连接到共享而NTLMv2 if negotiated ,则最近已将其切换为NTLMv2 if negotiated 。 我相信它会出现,因为合同义务,我们正在使用Windows 2000 问题: 为什么在这种情况下密码validation失败? 为Win2000机器设置GPO以使其使用NTLMv2之后,我们使用SECEDIT更新GPO而无需重新启动。 有谁知道这是否足够或将需要重新启动? UPDATE 我们检查了两个2008年域控制器,以find一个错误代码。 我们收到了: Microsoft_Auth_Package_V1_0 0xc000006a Event ID: 4776 我知道这是通过这篇文章authentication错误 “作为当前密码提供的值不正确” 我们知道这个密码是正确的,但是由于这两个域(Win2000&Win2008)没有信任设置,需要使用哪个authentication帐户? 一个驻留在Win2000托pipe的域? […]
到目前为止,我已经使用了一个使用Internet Explorer维护的用户组策略对象来为IE中的用户设置一个代理。 我们现在已经将Enterprise Client(EC)初学者组策略部署到了我们的域,并且此策略会影响此行为。 EC组策略使用每台机器(而不是每个用户)的策略制作代理设置 。 这个政策描述为: 此策略旨在确保代理设置统一应用于同一台计算机,并且不会因用户而异。 大! 这似乎是我以前的设置的改进。 如果启用此策略,则用户无法设置用户特定的代理设置。 他们必须使用为计算机的所有用户创build的区域。 哪些区域和哪些地方为他们configuration代理设置? 我认为政策只是简单地把用户设置和应用,但这不是发生了什么事情。 现在根本没有设置代理服务器。 所以我以前的设置显然不再有任何效果。 到目前为止,我只想出了涉及Windowsregistry的直接操作的解决scheme。 我想,这是好的,但代理为用户configuration的方式使得它看起来好像可能有更高层次的方法。
在服务器2008 R2和Windows 7环境中,我有一个GPO,用于指定整个域的用户设置策略中的屏幕保护程序设置。 但是,对于特定的电脑,这并不理想。 我创build了具有更高优先级的单独GPO,使用replace设置启用了环回,并指定了屏幕保护程序规则。 在安全filter中,只有GPO应该应用到的特定计算机。 但是,这个政策从来就不适用 – gpresult / z在GPO的用户设置下显示:“Filtering:Denied(Security)”。 如果将“域用户”添加到安全筛选器,那么GPO将应用于域中的所有用户,而不pipe他们正在使用哪台计算机。 如何将GPO应用于只login特定计算机的用户? 不幸的是,将GPO应用于OU不是一种select,因为计算机已经被分类到各种OU中用于其他事情。 在安全filter中,我尝试过: 只将计算机添加到安全filter; 导致GPO在用户设置下被拒绝。 将计算机添加到安全filter,并将“域用户”添加到安全filter; 导致回送GPO应用于所有用户,而不pipe使用哪台计算机。 将计算机添加到安全组,将安全组添加到安全筛选器; 导致GPO在用户设置下被拒绝。 将计算机和“域用户”添加到相同的安全组,并将该安全组添加到安全filter; 导致回送GPO应用于所有用户,而不pipe使用哪台计算机。 将计算机添加到安全组,将该安全组添加到安全filter,并将“域用户”添加到安全filter; 导致回送GPO应用于所有用户,而不pipe使用哪台计算机。 还有什么其他的select呢? 有没有一种方法来指定是否可以使用“和”而不是“或”来组合安全filter中的项目?
我试图编写一个实用程序作为batch file,其中包括将用户添加到“拒绝本地login”本地安全策略。 此batch file将在数百台独立的计算机上使用(不在域上,甚至不在同一个networking上)。 我认为以下是我的select之一,但也许有一个我没有想到的。 类似于net.exe命令行实用程序,可以修改本地安全策略。 一个VBScript示例做同样的事情。 使用一些WMI或Win32调用写我自己的。 如果我不需要,我宁愿不要做这个。
我正在构build我们要迁移到的新域的组策略。 在我们当前的环境中,“设置为服务login”设置为服务器 OU级别 – 在该字段中有大约一百个服务帐户可以访问该权限。 我想把这个设置在我们的OU树结构的下方(我们根据他们运行的应用程序分离出服务器),但是我们的一些内部员工却不想设置这个策略。 IE:不检查组策略中的设置,并让本地服务器处理为此设置在本地策略中放入哪些帐户。 我们的内部安全团队希望像我这样做,但是那些不想要的人包括build筑师 – 因此冲突。 我已经咨询了微软高级支持(对我没有正式答复),内部员工,外部IT朋友的工作人员以及networking研究小时,但是我根本找不到任何有关这个政策是否应该设置的信息。 我的直觉就是通过GPO来pipe理这个问题,这样可以很容易地从一个地方进行审计和pipe理(我们公司经常进行各种外部审计)。 微软的资源页面: https : //technet.microsoft.com/en-us/library/dn221981.aspx是关于我能find的唯一信息,但它说为了最大限度地减less授予此用户权限的帐户数量。 这对我来说似乎有点模棱两可 有人可以告诉我他们怎么想这个设置?
我想完成以下任务:用户必须无权保存桌面,我的文档,我的音乐,我的video,我的图片等。 我已经通过GPO阻止和隐藏了所有驱动器。 但是,用户仍然能够在上面列出的位置存储文件。 服务器操作系统:Windows Server 2008 R2 客户端操作系统:Windows XP,Windows Vista和Windows 7
大家下午好, 我很新的Active Directory的东西。 从2003年到2008年R2(我需要它把细粒度的密码策略)升级到我们AD的function级别之后,我开始重新组织我的OU。 我记住,一个好的OU组织可以帮助应用GPO(也可能是GPP)。但是最终,使用Security-group过滤(从Scope选项卡)来应用我的策略,而不是直接的OU 。 你认为这是一个好的做法,还是应该坚持OU? 我们是一个拥有20个用户和30-35台电脑的小型机构。 所以,我们得到了一个简单的OU树,但与安全组更细微地分离。 OU树不包含除底层以外的任何对象。 每个底层OU都包含计算机,用户,当然还有安全组。 这些安全组包含同一个OU的用户和计算机。 感谢您的build议,Olivier
将所有GPO设置还原为未定义 (现在不会反转它们) 我无意中将GPO应用于尚未准备好部署的整个OU。 我已经取消了GPO链接,但是它们当然已经被应用了。 有没有办法撤消这些变化(不是颠倒了设置,而是把它变成“干净”又名“未定义”? 类似于这个答案,但我正在寻找一种方法来使服务器看起来和行为,如果这些设置从未应用。 当然,我不是第一个这样的SA。 甚至有一台机器因为其他原因需要使用它们。 *注意:我已经看到了这个答案,但是我从来没有听说过这样的事情(实际上它违背了我所听到的所有事情),但是我希望有一些“技巧”可以使它工作:释义)如果你有一些真正奇怪的GP问题…你可以删除位于Windows \安全性的安全文件,这将迫使机器回到它join域的阶段。 然后运行“gpupdate / force / boot”