目标是防止用户在terminal服务器上运行有害程序。 我已经阅读了许多微软和其他人的文章,说新的Applockerfunction比旧的软件限制策略要好100%,build议作为后者的替代。 除了内核模式执行之外,我不确定要理解Applocker的真正优点。 它的大部分function可以通过软件限制策略进行复制。 在同样的情况下,它有一个大的缺点,使它非常无用:它是不可扩展的,你不能添加自定义的文件扩展名,你想限制。 Applocker相对于SRP有什么优势?你会推荐什么软件控制?
IE7积极警告证书失败; 我们有一些通过HTTPS运行的内部站点,因此需要有效的证书。 我们似乎在Intranet上拥有可签署SSL证书的证书颁发机构,但是我们遇到了一个问题:我们如何批量configuration桌面以信任内部CA? 是否可以通过GPO在本地部署内部CA证书?
我想要更好地保护我们的集中pipe理的计算机,自动部署java运行时非常困难,但如何做到这一点是另一个问题。 我发现Java的灾难性安全性,即使它已经完全修补:看起来如果用户对无辜的问题“你信任这个证书”说“是”,java可以做任何想做的事情。 Java webstart似乎也是恶意软件作者的通用入口点。 一般来说,我并不在乎玩我的用户在玩游戏游戏等。Java小程序似乎已经绝迹了。 但是还有一页依靠Java(Ingramm Micro购物系统)。 有谁知道一个简单的方法来configurationIE或Java通过组策略只允许某些预configuration的网站上的Java插件? 谢谢!
我有一个用户从运行.exe的移动存储,如记忆棒和SD卡的问题。 我试图设置阻止从所有可移动存储运行的exe文件来解决这个问题,但是在“用户configuration> Windows设置>安全设置>软件限制策略>附加规则”下的组策略设置下,您可以创build一个“path”variables。 我想为所有可移动存储使用一个系统variables,但不知道是否有一个工作。 是否必须为所有可能分配给可移动介质(E:\直到L:\左右)的潜在驱动器号创build一个阻止列表,或者是否有实际可用的驱动器号? 我发现%~dp0显然只适用于for循环,if语句和批处理参数。 如果还有其他的,更好的或者更可靠的措施,请告诉我。 哦,我已经看过AppLocker,但是我们的DC正在运行Server 2008,我相信AppLocker是Windows 7和2008 R2的一部分。 正如在下面的答案中的评论中提到的,我不认为Server 2008具有“拒绝执行访问”设置,所以还有其他的select吗?
由于我无法控制的原因,我负责设立GPO / GPP,为我们的1000多个客户部署我们的100多台打印机。 好消息是,我们有十几个站点,而且大多数情况下,我可以将站点X的所有打印机推送到站点X的所有客户端PC。 坏消息是,我知道如何做的两种方式( “使用组策略进行部署…”, 使用GPP /组策略首选项 )涉及的手动工作比我愿意的要多得多我甚至无法select打印服务器上的所有打印机,并使用“ Deploy with Group Policy…选项,例如,我希望我可以一个接一个地完成这个任务GPP更糟糕,因为它期望我从打印服务器中select打印机的path,然后手动打印一些应该能够从打印机连接中获得的信息(如打印机IP)。 我的Google-Fu用于将打印服务器上的所有打印机添加到GPO / GPP的脚本已经空了,而且我似乎还没有看到用半自动化的方式来做这件事的另一种方法,但是我坚持相信我错过了一些东西,因为没有任何理智的人会select手动将数百台打印机添加到GPO中。 理想情况下,我想find一个使用GPP的程序化方法,但是在这种情况下,任何不需要几十个小时手动添加打印机的解决scheme都会很棒。 有没有人有办法做到这一点,或者我需要build立一个PowerShell脚本和/或欺骗下属这样做?
我想要某个本地用户不注销。 永远。 这很像这个愚蠢的问题 ,但是我不一定在乎button是否在那里,我想popup一个消息框,提示“请不要注销控制台”,然后点击“确定”button,然后取消注销尝试。 这可以在注销脚本中完成吗? 在开始菜单和CTRL-ALT-DEL对话框中有组策略来禁用注销button。 然而,我想更像是http://msdn.microsoft.com/en-us/library/ms811998.aspx ,似乎不在服务器2008 R2? 还是我错过了? 我甚至试图在开始时禁用注销button ,但这不起作用, 正如Matt在这个类似的问题上指出的那样 是否有可能创build一个注销脚本,显示一个对话框警告用户不注销,然后取消注销? 我知道这是一个愚蠢的需要 – 不幸的是,我没有权力去改变或推倒。 我用尽了这些选项。 随意得到一大堆评论,解释说,这实在是一个愚蠢的计划,显然是减轻许多系统性问题的症状,而不是解决任何事情。 我完全明白,这一行动实际上是在制造问题。 我希望这样做,这样我可以完成这个合同,永远不会再与他们合作。
我有一个GPO,我需要应用到用户DOMAIN\DumbGuy ,但只有当他login到DOMAIN\DumbGuysComputer$ 。 当DOMAIN\NiceReceptionistlogin到DOMAIN\DumbGuysComputer$它不应该应用。 当DOMAIN\DumbGuylogin到DOMAIN\ReceptionstsComputer$它不应用。 它只需要在一台电脑上申请一个人 。 如果我将GPO应用于用户对象,则将适用于他所有的计算机。 如果将GPO应用于计算机对象,则将应用于该计算机上的所有用户。 如果我把它应用到两者,它扩大甚至更广泛。 如何在一台计算机上将GPO应用于一名用户?
我是一个程序员,试图pipe理一个小公司的Active Directory设置。 域控制器正在运行Windows Small Business Server 2008。 我们有一名使用平板电脑的现场工作人员; 平板电脑ThinkVantage英美公司的configuration问题将要求这些用户在使用平板电脑时拥有pipe理员权限。 没关系的 – 当我通过电话修复他们时,他们有广泛的权限是很有用的,所以我不想在那里寻找解决办法。 我想使用组策略设置以下情形:在特定安全组(或组织单位)中的计算机上login时,特定安全组(或组织单位)中的用户应该在BUILTIN / Administrators组中。 如果计算机必须位于OU中,那么可以,但我更愿意按组来分配用户。 当然,外地工作人员不应该是其他工作站上的pipe理员,香草办公室工作人员不应该是平板电脑上的pipe理员。 目前,这是在每台平板电脑上进行本地pipe理,但是随着我们添加新员工,这变得更加麻烦。 我觉得受限制群体就是这里的答案,但是在AD概念和方法上没有坚实的基础,我很难做到这一点。 这个任务的适当技术是什么,我将如何去执行它?
我有一个单独的域控制器networking(Windows Server 2008 R2,运行在2003林/域级别),客户端当前正在从WinXP Pro迁移到Win7 Pro。 我需要控制Internet Explorer的代理设置:我已经制定了一个在Windows XP + Internet Explorer 7和8上正常工作的策略,但是没有Windows 7 + Internet Explorer 10和11 这是有道理的,因为你必须设置代理使用策略首选项而不是pipe理模板 但是,当我去首选项,并尝试select新,我只有5和6,7和8可选。 IE 5-8 http://blogs.technet.com/resized-image.ashx/__size/550×0/__key/CommunityServer-Blogs-Components-WeblogFiles/00-00-00-52-58/7558.gpp1.jpg 我希望那里有IE9和IE10以及(我知道IE11使用IE10设置 ) 我已经尝试应用使用IE8策略的代理设置,这在XP客户端上可以正常工作,但不是7个客户端:代理设置只是空的。 我有一个可以正常工作的Central ADMX Store(\ [FQDN] \ SYSVOL [FQDN] \ Policies \ PolicyDefinitions),我首先从Windows 2008 R2 + IE 10策略集合中复制了一套Windows 2012 R2 + IE 11政策。 为防万一本地服务器出现问题,我备份,然后将2012 R2策略复制到本地服务器的c:\ Windows \ PolicyDefinitions中,然后运行gpupdate / force。 我知道正常的GPO部分工作,因为我有我的中央存储“至lessInternet […]
networking: 多网站域名。 每个站点有2个本地(现场,相同的子网)Windows Server 2012 R2域控制器。 在Windows站点和服务中正确定义站点。 每个站点的DNSlogging只有定义了两个本地DNS服务器。 所有的客户端都是Windows 10 Pro 64位的所有更新。 这两个networking都使用经过authentication的CAT6电缆在Cisco交换机上完全千兆位运行。 每个站点都有一个本地(现场,同一子网)的Synology存储服务器。 作为组策略的一部分,两个networking驱动器被映射到Synology服务器上的共享。 连接性诊断: dcdiag /test:dns /v /c /e报告所有服务器和所有testing的PASS echo %logonserver% 总是返回一个本地DC nltest /dsgetdc 总是显示本地DC和正确的本地IP 在A站点,两个networking驱动器都显示出来,可能有0.5%的机会出现故障(我经历了一些驱动器显示不正确的启动)。 问题: 在B站点,networking驱动器可能无法显示30%的时间。 有时它是两个驱动器,有时是一个或另一个。 问题大多是随机的,似乎并不遵循任何特定的用户或工作站。 症状: 在问题出现的30%的时间里: 5%的时间gpupdate或gpupdate /force将解决问题,驱动器将立即出现。 如果gpupdate在第一次尝试时不起作用,那么之后几乎不会起作用(对于该引导) 5%的时间gpupdate或gpupdate /force将导致只有一个驱动器出现 20%的时间, gpupdate不会解决这个问题,但下一次启动将罚款 50%的时间, gpupdate不会解决这个问题,但一次启动和另一个 gpupdate ,驱动器将出现 20%的时间,它会需要多次重新启动(和每个启动gpupdate ),驱动器出现之前。 有时候是2次启动,但是在硬盘出现之前,我不得不重启计算机,有时甚至要重启6次或7次。 在过去的20%的时间里,我有时会从gpupdate过程中得到错误。 The processing of Group Policy failed. […]