有没有办法我可以审计AD来检查一个特定的密码? 我们曾经为所有新用户使用“标准”密码(例如MyPa55word )。 我想确保在我们遗产的任何地方都不再使用它。 唯一可以考虑如何做到这一点的方法是:a)以某种方式审核目录中的任何用户使用此密码或b)设置一个GP,明确禁止此密码(理想情况下,这将提示用户重置密码。 ) 任何人有任何提示,我可以如何处理这个? 钽, 本
我正在尝试使用Azure Active Directory而不是使用传统的域控制器。 我想使用Azure AD对用户进行身份validation,并推送GPO设置,例如文件夹redirect,驱动器映射和Windows 10隐私设置。 我已经创build了一个Office 365帐户,我知道创buildAD后端。 我还创build了一个Azure帐户,并使用O365 / Azure用户详细信息将我的testingWindows 10 PC添加到Azure域。 我也订阅了Azure AD溢价试用版。 正是在这一点上我卡住了。 在Azure中,我可以看到我添加的个人电脑吗? 另外,我可以使用Azure AD将传统组策略设置推送到testingPC,如果是这样,我该如何configuration? 或者我需要使用Windows Intune之类的东西?
由于近期勒索软件爆发(Cryptolocker / Cryptowall /等)产生的工作量,最近我的任务是实施软件限制策略来阻止临时目录中的程序执行。 这通常工作得不错,但是当我们需要安装软件的时候,我们遇到了问题,因为这些软件限制策略阻止安装者访问机器的临时目录。 我们的Active Directory层次结构基本上是按照我们的物理站点的行来组织的,我们的AD对象inheritance了几个来自域根和它们的特定站点OU的GPO。 因此,我没有select在域根目录下创build阻止的策略OU(因为不inheritance特定于站点的组策略设置会导致计算机出现严重问题,而且远程用户也不够熟练,无法解决这些问题),或者将组策略对象更靠近子OU(因为这将涉及几百个我不愿意做的脱链和重链操作),或者在每个阻塞inheritance的情况下创build一个子OU(因为我会拥有在这种情况下做几百个连接操作)。 也就是说,我需要暂时停止软件限制策略GPO的应用,以便我们可以不时地安装软件。 我试图通过在每个站点创build一个子OU来解决这个问题,并且连接了一个反向的软件限制策略,认为反向策略的更高优先级将会覆盖inheritance的策略,但是这根本不起作用 – 一个RSOP显示电脑获得免费的disallow和unrestricted规则, disallow规则在这种情况下获胜。 因此,考虑到这一切(无法重新链接所有的GPO,不能创build简单的inheritance阻止的OU,而具有更高优先级的GPO似乎不能解决我的问题),我可以做些什么来[暂时]阻止inheritance的软件限制GPO的应用程序? 假定Server 2008 R2 FL域/林中的Windows 7客户端。
这个问题是参考@ SwiftOnSecurity的Twitter线程: https ://twitter.com/SwiftOnSecurity/status/655208224572882944 通过线程阅读后,我仍然不明白为什么你想要禁用本地帐户的networkinglogin。 所以这就是我在想什么,请纠正我在哪里我错了: 假设我有一个AD和一个DC和多个客户端。 其中一个客户是John。 所以在早上,John开始工作,用AD证书login到他的台式电脑。 中午,约翰出去开会,“锁住”他的电脑(windows + L)。 然后,他需要使用个人笔记本电脑远程连接到他的个人电脑(通过RDP或其他)。 但是,使用这个新的政策,他将不能这样做。 Securitay给出的解释是密码不被腌制。 但是,在这种情况下,攻击者将如何获得访问权? 密码不被腌制到哪一端? 或者我脑海中的情况与她想说的完全无关? 如果是这样,她究竟想说什么?
我设置了“只允许某些应用程序”的限制,并意外地将它们全部应用于所有帐户。 现在我仅限于运行浏览器,无法运行组策略编辑器! 有没有我可以利用的后门?
我的问题是组策略不适用于客户端刚引导时。 直接引导后,客户端在源“GroupPolicy(Microsoft-Windows-GroupPolicy)”事件日志和事件ID 1058:“组策略处理失败[…]”的事件日志中发布错误消息。 在Details选项卡中,ErrorCode是50,代表ERROR_NOT_SUPPORTED。 这不仅仅是一个表面上的问题:这些策略确实没有得到正确应用:例如,映射的networking驱动器不在那里。 等待一段时间后,执行“gpupdate”工作,策略正常应用:映射的networking驱动器出现。 我能够重现该问题的最简单的情况:在新安装的Windows Server 2012 R2上新创build的域,客户机是新安装的Windows 10 64位机器。 该域由一个域控制器组成,与其他域没有任何关系。 由于错误消息指出Windows无法从域的Sysvol共享中读取.GPT文件,我试图从命令提示符访问相同的文件。 事实上,当我开机后立即打开一个命令提示符,我得到这个: C:\Users\username>dir \\domain.example.com\sysvol The request is not supported. 等待一两分钟后,执行相同的命令会给出一个目录列表。 在这一点上运行gpupdate将会正常工作。 我没有设置组策略设置“始终等待networking在计算机启动和login”为“已启用”,并且我知道这个策略是适用的:在同一个策略对象中指定了一个registry设置,当我检查registry在客户端指定的设置在那里。 其他可能相关的因素: NTLM在域中受到限制,但这似乎并不重要:即使在启用它之后,更新策略并重新启动所有机器,症状仍然相同。 服务器是使用DHCP还是使用静态configuration来configuration并不重要。 域的DNS服务器不支持dynamic更新。 必要的logging手动添加(从C:\ Windows \ System32 \ config \ netlogon.dns) hibernate状态在客户端被禁用(使用powercfg /h off ),因此每次启动都是完全启动,而不是快速启动 策略启动策略处理等待时间设置为120秒 与DC的连接正常工作。 坪将工作。 closures客户端,在AD中禁用我的帐户,打开客户端将导致客户端不能login我的帐户:它会立即注意到帐户被禁用。 除了这个问题,我没有注意到任何不寻常的事情。 这似乎是一个中小企业问题比组策略问题。 在服务器端嗅探连接显示了一些有趣的事情:第一次执行命令dir \\domain.example.com\sysvol ,DC上的Microsoft Message Analyzer中显示以下内容: 客户端build立到DC的端口445的TCP连接,并且成功执行ComNegotiation(DialectRevision:0x02FF)。 紧接着,一个谈判成功执行。 DialectRevision是0x0302。 […]
使用组策略在64位系统上安装64位版本的软件包以及在32位系统上安装32位软件包的最简单方法是什么? 我已经做了一些search,我没有看到任何有用的关于如何使用组策略的环境中,我有一些64位系统和一些32位系统,我想要安装正确的版本。 只是用几个例子。 我想自动安装7zip和TortoiseSVN ,它们都是32位和64位。 理想情况下,我希望我不必创build电脑组,也不需要编写任何脚本来完成这个任务。
我需要在5-10台计算机之间build立一个慈善组织,这个慈善组织无法运行一个专门的服务器来维护越来越多的员工的组策略。 有没有一种方法可以pipe理每台计算机的策略,而不必实际更改本地安全策略。 电脑运行Windows XP,Vista和7的组合。
我有一个Windows 2008 R2 DC(刚刚安装),我们已经有大约25个Windows 7专业版/终极客户端,我们现在要join到我们的新域/ dc。 用户已经在使用机器,并且是该机器上的本地pipe理员。 我想通过GPO部署一个用户,这个用户可以在每个本地的Windows 7上创build,并且具有本地pipe理员权限,或者在域(Windows XP,7)上的每台PC上具有本地pipe理员权限的域用户。 将不胜感激,如果有人可以协助这一点 – 我曾尝试自己创build一个用户,但它不会被创build,我用GPO编辑中的Computer Settings组来创build用户。 感谢您阅读 – 期待您的指导Rihatum
我正在寻求一些build议,加快和升级我们的login系统,使其更强大,更快。 我inheritance了一个较早的login系统,该系统最初是从Novell Netware迁移而来的。 我们目前正在运行Windows Server 2008 R2,但域版本仍然是Windows 2000(理论上,如果没有损坏,请不要修复)。 我们希望最终升级到Windows 7,但是至less在几年之后,我们将会混合使用Windows 7和Windows XP SP3。 我们有一些SP2的机器,但是如果不能升级到SP3的话,我们可以负担得起。 目前,我们主要依靠login脚本,主要是用Kixtart编写的,但有一些用VBScript编写,还有一个Windows BAT包装器。 login脚本映射驱动器和打印机,在没有官方补丁(如最近的winhelp.exe安全问题)时安装快速解决方法,以解决安全问题或小错误,安装软件和执行其他任务,如备份IEcollections夹等设置需要重新构图。 我们也启用了less量的组策略。 那些实现一些安全设置,主要是。 我正在尝试使用GPO来安装软件,但我没有发现这是实用的。 我们太多的软件不使用MSI,而我尝试进行MSI捕捉所花费的时间在有一次我试过的时候没有得到回应。 它只是简单地使用脚本进行无人参与的安装。 更重要的是,维护是一个痛苦,如果一台机器已经closures太久,处理延迟的启动。 我不介意重新审视这个问题,但是看起来脚本运行良好,所以我从来没有被迫投入更多的时间。 我们的系统工作正常,但有点不灵活。 它被devise成将每次login时的信息logging到每个loginID的中央存储文件中,并且权限问题(例如同时login一个用户名)每隔一段时间就会启动一次。 我们依靠标志来确定软件是否已经被安装,这可能是脆弱的,有时会导致不必要的安装(例如,如果新用户login到工作站)。 有点慢,尤其是团体政策方面。 我试图做一个configuration文件,我认为这需要大约300秒(可能有点closures)。 一个典型的用户将会应用大约8个小的策略。 我们有大约12个OU,但是对于一些组策略使用WMI过滤。 我们映射了大约8个共享驱动器(基于组成员身份而不是OU)和大约20台打印机(每个人都可以获得每台打印机,但每个站点都有不同的打印服务器)。 软件需求主要基于OU而显着变化,但OU之外的一些人也可能需要该软件。 我的问题: 部署GPP有多难? 鉴于Windows XP本身不支持这个,对吧? 我们需要安装客户端扩展? GPP在Windows XP SP3上可靠吗? 谷歌search,我发现一些引用错误和性能下降。 这是否符合该产品的当前状态? GPP的性能/开销与使用kixtart或vbscript进行映射驱动器和安装打印机相比如何? 用来logging成功/失败login的最佳做法是什么? 我们目前的系统似乎有太多的开销。 这应该存储在事件日志中吗? 在哪台机器上? 集中,还是在本地桌面上? 我们目前使用日志作为debugging工具,并确定用户最后login到域的时间。 我应该尝试加快我们当前的组策略基础架构? 我想这是需要很长时间的启动。 任何想法从哪里开始解决这个问题? 创build现代login系统来处理我提到的任务的最佳实践是什么? 映射驱动器,映射打印机,安装软件,安装补丁程序和执行各种备份例程等。 […]