就像我想很多人一样,我们有一个Windows / Active Directory环境和许多需要Java的内部业务应用程序。 我们的经验是Java在这样的企业networking环境中玩不起来。 初始安装是好的(至less现在有一个MSI),但是让事情继续下去可能是一个很大的挑战。 我们遇到的具体问题包括: Java有它自己的更新程序,所以它不会与我们的内部修补程序pipe理系统绑定。 缺乏任何通过GPOpipe理Java设置的工具。 要求用户手动configuration某些设置。 每台机器上有多个Java运行时(Oracle Jinitiator是这里的一个特别的罪魁祸首)。 存储在Program Files文件夹下的关键设置文件。 与我们在一起,这主要是一批login脚本和hacky解决方法,但我有兴趣听到其他人如何处理这些项目,如果有任何其他的事情需要注意这里。
我试图在我的实验室域的一部分的Windows Server 2012机器上安装MSI。 我是本地和域pipe理员,但我似乎被阻止安装此MSI。 澄清一下,当试图安装作为pipe理员组成员的域用户login的visual studio(位于这里 )的git扩展时,出现以下错误 报告错误的机器是Windows Server 2012。 我几乎可以肯定,这肯定是某种集体政策限制? 没有设置,除非它是默认的安全级别? 澄清,我想知道是什么阻止这个MSI由域pipe理员安装?
我在高等教育方面做了很多工作,在特定课程或事件期间重新configuration许多Windows域成员(例如,教室中的PC)是相当普遍的要求,并且此后将此configuration撤销。 由于大多数configuration更改都可以通过组策略对象来完成,并且在OU级别取消关联或取消激活GPO时,这些更改会自动反转,这是一条非常舒适的路线。 唯一的缺点是重复的手动链接和解除OU上的GPO链接需要很多提醒和IT人员在课程开始之前和结束之后值class – 这是操作团队无法保证的。 有没有一种方法来指定特定GPO的有效性的时间框架?
这是关于Active Directory组策略基础的典型问题 什么是组策略? 它是如何工作的,为什么我应该使用它? 注意:这是对新pipe理员的问题和回答,可能不熟悉它的function和function。
我正在尝试通过Active Directory中的组策略部署MSI。 但是,这些是我login后在系统事件日志中得到的错误: 从策略安装分配应用程序XStandard失败。 错误是:%% 1274 从策略安装中删除应用程序XStandard的分配失败。 错误是:%% 2 无法将更改应用于软件安装设置。 通过组策略为该用户部署的软件的安装已经推迟到下次login,因为更改必须在用户login之前应用。 错误是:%% 1274 组策略客户端扩展软件安装无法应用一个或多个设置,因为更改必须在系统启动或用户login之前处理。 在下次启动或login此用户之前,系统将等待组策略处理完成,这可能会导致启动和启动性能降低。 当我重新启动并重新login时,我只是得到相同的消息,需要在下次login之前执行更新。 我在Windows Vista 32位笔记本电脑上。 我对通过组策略进行部署相当陌生,所以其他信息将有助于确定问题? 我尝试了不同的MSI,结果相同。 我能够在login到计算机时使用命令行和msiexec安装MSI,所以我知道MSI至less工作正常。
我公司为基于服务器的产品分发Windows安装程序。 根据最佳实践,它使用证书进行签名。 根据微软的build议,我们使用GlobalSign代码签名证书 ,微软声称这是所有Windows Server版本默认识别的。 现在,除非服务器configuration了组策略:计算机configuration/pipe理模板/系统/ Internet通信pipe理/ Internet通信设置/closures自动根证书更新为已启用,否则这一切运行良好。 我们发现,我们的一个早期testing版testing人员正在使用此configuration运行,导致在安装过程中出现以下错误 无法安装所需的文件,因为cab文件[cab文件的长path]具有无效的数字签名。 这可能表明橱柜文件已损坏。 我们把它写成一个怪异的东西,毕竟没有人能够解释为什么这个系统是这样configuration的。 但是,现在该软件已经可以用于一般用途,看起来我们的客户的双位数(百分比)configuration了这个设置,没有人知道为什么。 许多人不愿意改变设置。 我们已经为客户编写了一篇知识库文章 ,但是我们真的不希望这个问题发生,因为我们实际上关心的是客户体验。 有些事情我们在调查的时候已经注意到了: 全新的Windows Server安装不会在受信任的根权限列表中显示Globalsign证书。 随着Windows Server未连接到互联网,安装我们的软件工作正常。 在安装结束时,Globalsign证书存在(不是由我们导入)。 在后台Windows似乎首次使用时透明地安装它。 所以,这是我的问题了。 为什么禁用更新根证书是很常见的事情? 再次启用更新的潜在副作用是什么? 我想确保我们能够为我们的客户提供适当的指导。
我在哪里去禁用域的密码复杂性政策? 我已经login到域控制器(Windows Server 2008),发现本地策略中的选项当然是locking的任何更改。 但是,我无法在组策略pipe理器中find相同的策略。 我必须展开哪些节点才能find它?
我们有一套Windows服务运行在我们的服务器上,它们执行一系列彼此独立的自动化任务,除了一个服务看起来在其他服务之外。 如果其中一个服务无法响应或挂起,则此服务将尝试重新启动该服务,如果在尝试过程中引发exception,则会发送电子邮件给支持团队,以便他们自己重新启动服务。 在做了一些研究之后,我遇到了一些解决scheme,从KB907460提到的解决方法到给服务运行pipe理员权限的帐户。 我对这两种方法中的任何一种都不太了解 – 我不明白微软知识库文章中提到的第一种方法的后果,但我绝对不希望pipe理员能够访问运行该服务的帐户。 我已经通过本地安全策略和定义一个帐户是否可以作为服务login的策略之外的其他内容进行了快速浏览,但是看不到其他任何与服务相关的内容。 我们在Server 2003和Server 2008上运行这个,所以任何想法或指针都会受到欢迎! 说明:我不想授予给所有用户或组启用/停止/重新启动所有服务的能力 – 我希望能够授予对特定用户或组的特定服务的权限。 进一步说明:我需要授予这些权限的服务器不属于一个域 – 它们是两个面向互联网的服务器,它们接收文件,处理它们并将它们发送给第三方,以及为几个网站提供服务。 Active Directory组策略是不可能的。 对不起,我没有更清楚。