对于一个小型networking(<50个客户端)的Windows软件分发来说,这是一个非常新的问题。我想知道如何处理Adobe Reader或Java等软件包。 我可以通过组策略将它们部署为MSI。 但是当客户端软件检测到更新时会发生什么? 什么是常见的方法来处理这个? 禁用软件的自动更新function? 当pipe理员检测到新版本时重新部署? 只是钓鱼知识,谢谢任何暗示。
我试图通过组策略部署打印机。 在互联网上的postbuild议使用组策略首选项方法( 用户/首选项/控制面板设置/打印机 )是首选的方法。 但是,打印机无法部署,并且在事件查看器中出现以下错误: “组策略对象{GUID}”组策略对象中的用户“Epson打印机”首选项不适用,因为它失败,错误代码为“0x80070bcb在系统上找不到指定的打印机驱动程序,需要下载。 这个错误被压制了。 包括Microsoft Technet在内的互联网上的各种资源都build议修改指向和打印限制 GPO策略,以便允许驱动程序在没有提示的情况下安装。 此策略同时存在于“用户/策略/pipe理模板/控制面板/打印机”下的“用户configuration”树中; 计算机/策略/pipe理模板/打印机“下的”计算机configuration“树。 我已经尝试了两种方法: 将用户和计算机的指向和打印限制策略设置为禁用。 将用户和计算机指向和打印限制策略都设置为上述Technet文章( 策略的屏幕截图 )中所述的configuration, 每次尝试之后,我执行完整的目录复制,并在testing计算机上执行gpupdate / force ,同时从提升pipe理员和普通用户命令提示符重新启动,然后执行gpresult / H result.html以validation设置已应用。 但是,我仍然在事件查看器中获取上述错误,并且打印机未安装。 如果我手动添加打印机与控制面板中的添加打印机 ,驱动程序安装正常。 另外,如果我使用通过计算机/ Windows设置/部署打印机部署打印机连接的“传统”方法,打印机驱动程序和打印机似乎安装正常,但是我不能使用GPP方法支持的一些新function。 域控制器是Windows Server 2012 R2,客户端是Windows 10 Enterprise。 所有计算机都是最新的补丁程序。
我有大约100个GPO,我想合并到15-20。 有没有合并它们的方法。 我发现这篇文章: http://blogs.technet.com/b/ashleymcglone/archive/2011/01/19/finally-copy-and-merge-gpos-powershell-saves-the-day.aspx 但是它的function是有局限性的,我不能一个接一个地去解决它们。
我把GPO放在一起,将MSI文件部署到由计算机对象组成的安全组。 在重新启动testing工作站以便获取组成员身份并运行gpupdate后,我运行gpresult / r,然后看到它正在为软件安装选取GPO。 重新启动后,软件不会安装。 我们的防病毒软件(SEP Cloud)会阻塞所有工作站的WMI,我怀疑这是个问题。 有谁知道WMI是否需要组策略部署软件? 如果是这样,我会写一个VBS脚本来做这个。
我试图使用组策略首选项来pipe理共享打印机的用户连接。 打印服务器是Windows Server 2003 R2 Std版本。 安装了几台打印机,并将所有驱动程序的x64版本添加到打印服务器。 我已经创build了一个包含打印机首选项设置的新GPO。 打印机映射的目标是基于AD安全组成员资格。 我login到安装了组策略CSE的Windows XP PC,并且打印机映射完美。 我login到Windows 7 x64电脑,它不映射。 如果我手动连接到共享打印机,我会得到一个提示,要求我确认在安装驱动程序之前是否信任服务器,然后才能正常工作。 我有域pipe理员权限,我的UAC设置尚未从默认设置更改,即UAC已启用,并select默认级别。 是打印机映射失败,因为它无法提示我安装驱动程序,还是有其他事情正在进行?
我正在实施一个工具来保护AD林中的某些共享资源(主要是文件共享)。 根据一些标准,会生成来自不同域的用户列表,将这些用户添加到通用组(因为我需要从单个组中的不同域收集用户),然后将该通用组添加到共享资源ACL中。 这个森林大约有一万个用户,我认为我的普及组每个用户最多可以有2000个用户。 而且可能会有几千个这样的团体。 一切看起来不错,并在testing环境中工作。 问题是有一个关于组最佳实践的MS文章: http : //technet.microsoft.com/en-us/library/cc787646(v=ws.10).aspx 几乎相同的写在这里: http : //ss64.com/nt/syntax-groups.html 在“控制跨域共享资源访问的最佳实践”一节中,我们应该创build域本地组,并在其中嵌套全局/通用组。 我明白,它有一个pipe理上的好处,更容易pipe理,能见度等 但是我正在做所有事情的自动化,我的工具将自己监视正确的安全。 我们的一些IT顾问试图说服我,不遵循最佳做法也可能导致业绩不佳。 所以基本上问题是:如果我在共享资源上直接添加通用组,而不是在域本地组中嵌套通用组,那么性能是否会下降(这意味着需要时间来login,以保护目录等)? 提前致谢。 更新: 嵌套组也有一个限制。 ( http://support.microsoft.com/kb/328889 )有1015个用户组的限制。 因此,如果将通用组embedded域本地组,我会得到500个限制,这似乎是一个痛苦的限制。 UPDATE2:关于我的森林拓扑。 我有6个域名,分成2棵树。 (树由一个根域和两个子域组成)
例如,不允许用户将abc.doc重命名为abc.jpg? 有没有窗户组的政策呢? 我不是要求文件关联限制。 如果它真的不能,是否有任何组策略强制执行“隐藏已知文件types的文件扩展名”在Windows XP,Vista和7在Windows域环境?
我需要转储Active Directory中的所有组策略,以便以后离线查看。 有没有一种方法可以轻松地将所有组策略导出为文本或其他一些易于parsing的格式? 编辑:这些工具是否会从不属于域的计算机上运行? 我有域凭据,但我的工作笔记本电脑不一定是我需要审查的域的一部分。
我已经设定了大约10个组策略,并且工作正常 。 虽然,看看ITpipe理员执行什么样的事情会很有趣。 如果你有很多的政策,只是展示一些,你觉得真的改变了一些东西。 我想你可以避免“默认许可” – >阻止一切可以,只有保持东西解锁,这是直接需要的。 这个问题是指Windows服务器:)虽然我不会回避Mac或Linuxpipe理员。
如何将项目添加到所有用户的“collections夹”,最好通过GPO? 截图仅仅是W7的一个例子,但我实际上使用的是2008R2 Server和RDS