我们有WSUS推出更新到我们用户的工作站,事情进展相对较好,有一个令人讨厌的警告:似乎有一个popup窗口显示在一些用户面前的问题,通知他们他们的机器将在15分钟,他们无话可说: 这可能是因为他们没有在前一天晚上退出。 不过,这有点太过分了,对我们的用户来说是非常不利的。 这里有一点关于我们的环境:我们的用户正在运行Windows XP Pro并且是Active Directory Domain 。 WSUS正在通过Group Policy 。 以下是执行WSUS规则的GPO快照: 这里是我想要WSUS的工作方式(理想情况下 – 我会采取任何可以让我接近的): 我希望更新每晚自动下载并安装。 如果用户没有login,我希望机器重新启动。 如果用户login,我希望他们的机器不要重新启动,而是等到下一个“安装期”,在那里它可以执行任何其他需要的安装,然后重新启动(假设用户帐户还没有login)。 如果要提示用户重新启动,则应该每天只发生一次(如果可能),但每次提示时都必须推迟重新启动 。 我不希望用户被迫在计算机认为应该发生时重新启动计算机(除非它是在更新安装之后并且没有login的用户)。 在一个人的工作日当中强制重启系统似乎并不有效。 有什么我可以做的GPO,这将有助于使WSUSless干扰? 即使它给了用户以后重新启动的选项 – 那会比现在发生的更好。 编辑 我们的目标是能够每晚自动下载和安装更新,并且只有在计算机要重新启动时没有用户login的情况下才能重新启动计算机。 如果Windows不得不唠叨用户重启,这是完全正常的 – 只要他们有一个选项来推迟重启。 编辑 事实certificate,我们在某些更新(SP3,客户端扩展等)上设置了一些最后期限,并且在下面find的post中,已经阐明了一些情况: http://forums.techarena.in/server-update-service/255722.htm
我正在尝试提供一些特殊情况的笔记本电脑。 我想创build一个本地访客帐户。 这很好,但是当我尝试创build它时,我提示我的访客密码不符合复杂性要求。 我试图编辑本地安全策略来改变复杂性,但这是灰色的。 是否有可能用本地覆盖域策略? 是的,我知道我可以select一个更长的密码,但这不是重点。 我想知道如何覆盖域名政策,以防万一我需要在将来。
我正在寻找通过GPSI部署一些软件,目前版本的软件是作为一个.exe分发,所以我需要将其转换为MSI文件。 此外,为什么MS仍然将其一些软件(WMI工具)分发为.exe
IE10实现了WebCache,这似乎是做临时Internet文件的新方法。 这个位置是C:\ Users \\ AppData \ Local \ Microsoft \ Windows \ WebCache 在我的情况下,我们有一个terminal服务器,用户configuration文件被限制在15MB的磁盘空间,这在安装IE10之前总是绰绰有余。 新的WebCache文件夹将所需的磁盘空间增加了近500%,而空间便宜,这就存在一个技术限制,要求将配额设置得较低。 我已经调查了组策略设置,并且有一堆特定于IE10的订单项。 两个注意事项是“允许网站在客户端计算机上存储索引数据库”和“允许网站在客户端计算机上存储应用程序高速caching”,这两者都被设置为禁用。 然而,似乎这些项目引用了其他内容,因为WebCache文件将继续被重新创build。 在networking上似乎没有很多关于这个问题的讨论,尽pipe我已经读到的一些事件在这个WebCache文件夹的大小上有类似的麻烦。 到目前为止,似乎工作的唯一的事情是撤销用户访问WebCache文件夹的权限。 虽然这有效,但与我所认为的build议解决scheme相差甚远。 有没有人对我如何限制WebCache的文件大小有所了解,或者通过GPO阻止它们一起存在?
每当我运行 “ 组策略结果”向导并select“域控制器”作为目标计算机时,摘要将在“计算机configuration”下显示“应用组策略时的安全组成员身份”列表中的BUILTIN\Administrators ,如下所示: (域名,用户和计算机名称被遗漏) 由于域控制器不是pipe理员的成员(至less不是我能在ADUC中看到的),我的问题只是为什么? 域控制器实际上是pipe理员组的成员,还是GPResults错误(以及为什么)?
我不确定这个function被称为什么。 但在Windows Server 2008中,它具有Vista Public / Private / Domain位置。 这对于笔记本电脑来说是有意义的,对于服务器来说也没有。 我的问题是,有时一些networking适配器决定他们现在在公共networking上。 这完全激活了防火墙,即使是“域”networking。 所以净效果是我重新启动了一些机器,然后他们再也不会回到networking上,直到我们KVM进入,并告诉它networking是私有的。 这个function叫什么名字? 是否有一个GP设置,我可以用它来closures所有的networking“域”? 编辑:谢谢,那就是NLA。 我试过在非域名机器上禁用这个服务,只是把所有的东西都公开了。 在域计算机上,networking列表服务拒绝停止 – 我会尝试组策略。
我有一个Windows Server 2012 R2域。 昨天,一台电脑(运行Windows 10 Pro)networking驱动器停止工作。 经过进一步调查( gpresult /h )后,出现所有组策略对象失败,原因不Inaccessible, Empty, or Disabled 。 我已经确认所有的GPO仍然存在,并在(冗余和本地)域控制器上都启用。 此外,在同一个域和局域网上还有20台机器,绝对没有问题。 但是,还有另一台电脑,我testing了相同的问题! 这是否意味着问题是与服务器? gpresult /r报告,一个客户端从本地DC1获得GPO,另一个从DC2获得。 所以这不是一个特定的DC有关的问题。 gpupdate /force没有任何规定(虽然它声称政策是适用的)。 我试图删除本地策略的registry项(按照本指南https://superuser.com/questions/379908/how-to-clear-or-remove-domain-applied-group-policy-settings-after-leaving-the – )和重新启动 – 同样的问题。 我从Microsoft发现了这个支持页面( https://support.microsoft.com/en-us/kb/2976965 ),但声称它只适用于Windows 7或更早版本的客户端。 我的所有机器(包括服务器和客户机)都运行64位版本并完全更新。 我已经重新启动了所有这些只是为了确保。
我需要通过GPO设置整个域的默认主页。 IE Home Page Policy在哪里?
我发现大多数用户忽略WSUS推出的“有更新可以安装,请点击这里安装”的消息。 到目前为止,我们还没有强制安装,但是我正在考虑改变组策略来每晚更新。 这有时需要重新启动,我想通过GP来执行。 我知道会有用户推迟,但是想知道这是不是最好的做法。 确保电脑保持最新和安全似乎是正确的。
背景/研究 我真的相信这样的问题: 在Active Directory域中使用GPO强制工作站Windows防火墙禁用 – 如何? 因为一般的Windowspipe理员早就被教过: “与域计算机打交道时最容易做的事情就是在域上只有一个GPO来禁用Windows防火墙……这将最终导致你更less的心痛。 – 随机的IT老师/导师 我也可以说,在MOST公司,我已经做了这方面的工作,GPO至less在域名configuration文件中禁用了Windows防火墙,而在WORST禁用了它也是为了公共configuration文件。 更进一步,有些会为服务器本身禁用它: 通过GPO为Windows Server 2008 R2上的所有networkingconfiguration文件禁用防火墙 WINDOWS FIREWALL上的Microsoft Technet文章build议您不要禁用Windows防火墙: 由于具有高级安全性的Windows防火墙在帮助保护您的计算机免受安全威胁方面起着重要作用,因此我们build议您不要将其禁用,除非您从信誉良好的供应商那里安装另一个防火墙,以提供相同级别的防护。 这个ServerFault问题提出了一个真正的问题: 是否可以使用组策略closures局域网中的防火墙? – 这里的专家们甚至混在一起。 并理解我并不是指禁用/启用服务: 我如何备份我的build议,不禁用Windows防火墙服务? – 要清楚这是关于防火墙服务是否启用防火墙或禁用防火墙。 问题在手 所以我回到这个问题的标题… 可以做些什么来正确地重新启用域上的Windows防火墙? 特别适用于客户端工作站及其域名configuration文件。 在简单地将GPO从“禁用”切换到“启用”之前, 应该采取哪些规划步骤来确保翻转交换机不会导致严重的客户端/服务器应用程序,允许的stream量等突然失败? 大多数地方都不会容忍“改变它,看看谁叫服务台”的心态。 是否有微软提供的清单/实用程序/程序来处理这种情况? 你自己是否处于这种状况,你是如何处理的?