我一直在试图取得这一成功没有成功。 看起来我运行组策略结果向导时正在应用我的组策略设置。 这是我正在做的设置互联网区域中。 1.组策略pipe理编辑器>用户configuration>策略>pipe理模板> Windows组件> Internet Explorer>互联网控制面板>安全页面 我login到我的XenApp桌面打开IE浏览器,我看到: 我运行结果向导,我看到: 它看起来像它应该工作,但事实并非如此。 有人会介意和我一起帮助我找出我失踪的东西吗? 需要注意的是,被pipe理的计算机是服务器2008年,组策略设置(域控制器)的计算机是服务器2003.我知道,我们需要从2003年切换,但这是一个项目,在我们的盘子为明年。
我期望通过GPO软件安装策略安装我们的最新AV套件。 (如下面的屏幕截图。) 不幸的是我的要求使用DFS已被拒绝,我需要为我们的环境中的每个站点(每个站点是它自己的子网)创build一个GPO。 我遇到的问题是,有很多用户在网站之间旅行,所以当他们移动到另一个网站时,他们会得到新的GPO,并且不在以前的GPO范围内。 我找不到有关GPO软件安装是否将在当前PC上已经存在的应用程序重新安装的具体文档。 当计算机超出范围时,我将使用该选项离开应用程序。 从我的研究中,我发现GPO只适用于GPO的版本发生了变化,这很好,但是实际的MSI呢? 我发现人们提出了两个scheme,但不能备份: GPO调用Windows Installer服务来检查已安装的程序列表,只有当前的MSI版本不存在时才会安装。 GPO安装会使用自己的软件列表保留自己的应用程序caching,如果应用程序不在该列表中,即使已经安装,也会安装该应用程序。 任何人都可以为我确认正确的信息吗? 编辑:谢谢你们的答复,我知道其他替代方式来部署软件,但是我后面是一个具体的答案是否GPO部署将重新安装包,如果它已经存在于工作站上。
我已经configuration了WSUS服务器,以便保留networking中的带宽,并保持使用该WSUS打开必要的更新。 指向客户端PC和其他设置的Intranet WSUS服务器通过域控制器2003中的组策略推送。 以下策略在域中configuration.. 计算机configuration部分 用户configuration部分 并以这种方式正确configuration在客户端。 但我希望禁用/删除, (1)用户能够检查更新(由于其自动安排在星期五下午4点安装) (2)用户能够安装更新 (3)从网上检查更新的能力(只有我希望wsus是下载的来源) 如果我列出以上3个事实,在Windows 7客户端设置下面,我希望禁用 这可能使用现有的Server 2003组策略? 要达到以上3个要求? 作为客户,我们有Windows XP,7,8,8.1需要超过3的要求。 任何帮助将不胜感激。
我有点难住这个,所以我希望有人能够启发我,因为我认为自己是一个非常有知识的GPO人。 我有一个login横幅GPO,用于更改Computer Configuration – Policies – Windows Settings – Security Settings – Local Policies / Security Options – Interactive Logon中的Interactive Logon:设置,以显示login横幅。 这是GPO所做的唯一的事情。 现在,我对Technet和其他人的理解以及我自己以往的经验是,您可以在一个应用/链接到域级别的GPO中进行configuration。 然而,在我目前的公司, 我们的“LogonMessage GPO”被应用/链接到域控制器OU ,当然这个GPO确实适用于组织中的所有计算机。 我在我的工作站上运行了一个rsop.msc,并将其显示为该设置的源GPO,即使我的工作站显然不在域控制器OU中。 那么给了什么? 为什么将login横幅GPO应用到域控制器OU将其应用到域中的所有计算机?
我注意到了通过组策略部署打印机的两种select: 在GPpipe理中创build并链接组策略,通过用户configuration>首选项>控制面板设置>打印机添加打印机。 转到打印pipe理mmc,右键单击打印机共享,然后select使用组策略进行部署。 然后select您要使用的GPO名称。 这些是首选还是推荐? 看来他们的工作方式有点不同…我目前使用第二种方法来部署打印机,但是我不能进入我部署并修改的GPO(它是空的)。
我通过组策略应用了几个Internet Explorer设置。 尤其是“站点到区域分配”设置中的一长串URL。 但是,即使分配给“信任区域”,一个URL似乎仍然属于“互联网区域”。 在Internet Explorer的早期版本中,可以从状态栏轻松地确定URL落入哪个区域。 这怎么能通过IE11来完成? 我可以忽略明显的东西吗?
我pipe理一个约150台机器的小型学校networking。 我正在寻找一种简单的方法来将软件部署到所有机器上,而无需访问每台机器。 我已经使用Symantec Ghost来让所有机器的设置完全相同,但是对于一个应用程序,重新整理整个networking似乎已经太过分了。 在过去,我使用了Novell的ZenWorks,它可以通过MSI安装程序执行此操作,也可以在安装之前和之后拍摄机器快照,然后将更改推送到networking上的指定计算机上。 但是,这一次,我使用的是Windows 2003,而且预算有限(即没有)。 我一直无法绕过组策略安装程序,所以也许如果有人可以指点我一个很好的方法,那也将不胜感激。 你的帮助表示赞赏!
我在组策略中configuration了BitLocker和TPM设置,以便设置所有选项,并将恢复密钥存储在Active Directory中。 我们所有的机器都运行带有标准企业镜像的Windows 7,并且在BIOS中启用并激活了TPM芯片。 我的目标是让所有的用户必须做的是点击启用BitLocker,然后离开它。 微软甚至提供可以通过脚本部署的自动化样本。 但是,让这个过程顺利进行是一个小小的呃。 在GUI中,当用户启用BitLocker时,必须使用自动生成的所有者密码初始化TPM。 但是,恢复密码显示给用户,并提示他们将其保存到文本文件。 我似乎无法压制这个对话框,这个步骤不能被跳过。 当密钥成功备份到AD时,这是一个不需要的(不必要的)提示。 如果我编写部署脚本,则必须在初始化TPM时在脚本中提供所有者密码,并且希望它以GUI的方式随机生成。 有没有办法使BitLocker部署真正地按照我所需的方式进行零接触?
我已经设置了一个由默认的Applocker规则组成的基本组策略。 根据微软关于这个主题的technet文章 ,任何没有明确允许策略运行的文件都应该被阻止运行。 在部署这个策略并validation它被应用到使用gpresult的正确用户后,我仍然能够从互联网上下载和运行一个exe文件,这个exe文件被保存到用户configuration文件的临时文件夹中。 正是在这一点上,我做了更多的Googlesearch,看到App Identity服务必须运行,而不是:所以,就像任何一个好的pipe理员一样,我启动了它,将其设置为自动,并重新启动以防万一。 重新启动后,该政策仍然无效。 以下是当前政策的截图。 我明确添加了拒绝规则,因为默认规则不起作用。 我正确地将策略应用到机器上,并validation规则是否被强制执行(在屏幕截图中是这样说的)。 我使用了Test-AppLockerPolicy cmdlet来validation规则是否应该阻止EXE和MSI运行,但是不是。 开放给大多数的build议,不pipe他们听起来多么可笑。 更新 忘了补充一点,我在这整个惨败中检查了AppLocker的事件日志,它是空白的。 整个时间没有一个单一的条目。
我们正在Windows 2003域中运行terminal服务器场,并发现正在应用于我们的TS服务器的软件限制GPO设置有问题。 以下是我们的configuration和问题的详细信息: 我们所有的服务器(域控制器和terminal服务器)都运行Windows Server 2003 SP2,域和林都在Windows 2003级别。 我们的TS服务器位于一个OU中,我们有特定的GPO链接并阻止了inheritance,所以只有TS特定的GPO被应用到这些TS服务器。 我们的用户都是远程的,没有工作站join到我们的域,所以我们不使用环回策略处理。 我们采取“白名单”的方式允许用户运行应用程序,因此只有我们批准和添加的path或散列规则才能运行。 我们将“软件限制”中的“安全级别”设置为“不允许”,并将“强制”设置为“除库以外的所有软件文件”。 我发现,如果我向用户提供应用程序的快捷方式,即使它不在“白名单”应用程序的“附加规则”列表中,也可以启动该应用程序。 如果我向用户提供应用程序的主要可执行文件的副本,并尝试启动它,则会得到预期的“此程序已被限制…”消息。 软件限制似乎确实有效,除了用户使用快捷方式启动应用程序,而不是从主可执行文件本身启动应用程序时,这似乎与使用软件限制的目的相矛盾。 我的问题是:有没有其他人看到这种行为? 任何人都可以重现这种行为? 我在理解软件限制方面错过了什么? 是否有可能在软件限制中configuration错误? 编辑 为了澄清这个问题, 没有更高级别的GPO正在执行。 运行gpresults显示,实际上只有TS级别的GPO正在被应用,我确实可以看到我的软件关键词正在被应用。 没有path通配符正在使用中。 我正在使用位于“C:\ Program Files \ Application \ executable.exe”中的应用程序进行testing,并且应用程序可执行文件不在任何path或散列规则中。 如果用户直接从应用程序的文件夹启动主应用程序可执行文件,则强制执行软件限制。 如果我给用户一个指向“C:\ Program Files \ Application \ executable.exe”应用程序可执行文件的快捷方式,那么他们就可以启动该程序。 编辑 另外,LNK文件在指定的文件types中列出,因此它们应该被视为可执行文件,这意味着它们受到相同的软件限制设置和规则的约束。