我遇到了一些麻烦,并将其应用于Windows 10机器上。 我在域级顶部应用了几个GPO,其中一些仅包含计算机设置,一些只包含用户设置,另一些包含两者。 如果我执行GPresult / r,则可以看到在用户设置下应用的GPO,其中包含用户和计算机设置。 我可以看到在用户设置下应用的GPO,即使该策略包含NO用户设置。 最后,我可以看到在包含用户设置的用户设置下应用的GPO。 那么更奇怪的是,在用户设置下,我有2个GPO显示为未应用(未知原因),其中一个是默认域策略,但都不包含任何用户设置! 据我所知,所有的计算机政策正在适用,问题在于用户设置。 我需要弄清楚为什么GPO即使不包含用户设置,也显示为已应用,还有为什么它显示应用不包含用户设置的GPO的未知原因。 编辑 :gpresult的屏幕截图: 请注意,我已启用回送模式,所以这就是为什么他们出现了两次。 编辑 :当前委托设置 我们的默认域策略目前有这些设置: 创build者所有者 – 特殊 经过身份validation的用户 – 读取,应用 系统 – 除了完全控制和应用之外的一切 域pipe理员 – 读取,写入,创build子对象 域计算机 – 读取,应用 企业pipe理员 – 读取,写入,创build子对象 企业域控制器 – 读取 编辑 : 因此,使用与之前完全相同的设置重新创build“DOM-IE-CompatView”GPO后,不再显示为“未应用(未知原因)” 我是否应该使用dcgpofix将默认域策略恢复到默认设置?
我有一个GPO修改用户和计算机configuration。 在此GPO上,基于主机名的WMI筛选器将排除某些计算机。 select Name from Win32_ComputerSystem where (Name <> "comp1-*") select Name from Win32_ComputerSystem where (Name <> "comp2-*") select Name from Win32_ComputerSystem where (Name <> "comp3-*") 每一行都是filter中的一个单独请求。 GPO链接到父OU,默认情况下,安全筛选留给“已通过身份validation的用户”。 我的GPO仍然应用于父级和子OU的所有计算机上。 有任何想法吗 ? 谢谢。
希望有人能帮助,因为我用头撞砖墙。 问题 组策略计算机configuration不适用于除DC之外的任何计算机,用户策略正在应用。 历史 有人build立这个领域,它可能是这样一段时间,但考虑到他们不使用许多GPO和用户权利等似乎不受影响,他们似乎没有注意到。 在本周早些时候,我不得不手动重新创build已经被删除(或者可能从来不存在)的_msdcs域名,以使域名连接正常工作,这个问题很可能是这个问题的后遗症,或者这个域名存在其他严重缺陷,我只是无法弄清楚他们可能是什么或如何解决这些问题。 初始错误细节 gpupdate在针对用户(/ TARGET:用户)时处理得很好,但在针对计算机时不会处理,它会生成一个通用错误,并指向详细信息部分以获取更多信息: 一般错误 组策略的处理失败。 Windows试图为此用户或计算机检索新的组策略设置。 查看错误代码和描述的详细信息选项卡。 Windows将在下一个刷新周期自动重试此操作。 join域的计算机必须具有适当的名称parsing和networking连接到域控制器才能发现新的组策略对象和设置。 组策略成功时将logging一个事件。 详细的错误 ErrorCode 8341 ErrorDescription发生目录服务错误。 DCName \ SERVER01.domain.local 我所试过的 我一直在理解,这个错误是由计算机没有通过身份validation与DC作为计算机帐户访问GPO所造成的。 所以我试过了: 丢弃域名并重新添加 设置全新的服务器并连接到域 我也看过域名的健康,因为这是以前的问题(见历史),但我没有得到很大的修复问题,公元最佳实践分析师注意到在域中的一些错误,我正在计划服务器重启一夜之间希望能够解决这些问题,这里有太多无法轻松发布的地方,但是它们都与DNSlogging没有正确注册,以便将DC标识为主目录,kerberos服务器和其他域function。 潜在的想法 我目前的想法是,修复域名(考虑到它的一个活跃的领域,我们不能绕过太多激烈的事情,特别是在工作时间)以某种方式将解决这个问题,但我已经超出了我的深度需要修理或如何去做。 任何build议,将不胜感激,对不起这么长的一个post!
我目前正在努力解决以下问题:在我们的组织中,我们希望阻止大多数用户访问OneDrive。 我在“计算机configuration”中find了以下GPO设置来build立此项: Administrative Templates/Windows Components/OneDrive/Prevent the usage of OneDrive for file storage 但是,应该允许pipe理员使用OneDrive,因此我创build了一个包含所有pipe理用户“GRP_ALLOW_ONEDRIVE”的全局安全组。 现在我们有两个OU:一个包含用户,一个包含计算机。 所以我把这个GPO链接到COMPUTERS OU,并在安全设置中为这个特定用户组添加一个拒绝… 但是,这似乎并没有工作,我应该首先猜到,因为它是计算机configuration… 所以基本上我的问题归结为这个: 如何在COMPUTERS OU中成功创buildGPO以禁用除了exception组中用户以外的OneDrive? pipe理员login的计算机无关紧要,他们应该始终可以访问OneDrive。 所有其他用户不应该能够启动OneDrive,无论他们login到哪台计算机。 谢谢!
以前的IT根据用户的位置(例如:市场营销,销售等)将用户划分为OU,共有4个OU。 组策略对象应用于所有4个OU,其中一个设置包括文件夹redirect。 我不希望文件夹redirect给任何有笔记本电脑的用户,但是我想保留GPO应用的其他设置(不想删除它)。 我相信,将每台笔记本电脑的计算机对象放在一个单独的OU中,然后应用GPO来拒绝文件夹redirect可能是正确的方法,或者将计算机对象添加到组中,然后应用安全筛选器来拒绝文件夹redirect也可能起作用。 这是我第一次真正清理这样一个混乱的情况,所以任何意见,将不胜感激,请让我知道哪种方法最好。 如果你有更好的方法,请分享!
Windows Server 2012 R2和Windows 10 Pro客户端。 Sooooo …我在AD的早期尝试了OU,并且意外地将GPO应用到了我应该没有的整个域中。 我现在需要创build一个GPO来撤消我所做的。 其中一些更改是“ Computer Config -> Preferences -> Windows Settings -> Registry ,并且很简单,只需创build一个不同的GPO即可恢复默认值,或完全删除密钥。 但是,我也有一个计划任务下Computer Config -> Preferences -> Control Panel Settings -> Scheduled Tasks发送到我所有的计算机,我现在需要删除。 我想要创build一个新的GPO来消除这个任务。 那么, Scheduled Tasks有一个Delete选项,所以这似乎是完成我需要做的显而易见的方法。 但是,我不确定是否足以精确匹配任务的Name ,或者如果任务的所有设置必须精确匹配才能成功删除任务。 我对“ Computer Config -> Policies -> Administrative Templates下发生的更改Computer Config -> Policies -> Administrative Templates 。 所以,我有几个设置,我启用或禁用。 如果我没有记错,pipe理模板设置存储在每个本地registry的特殊位置。 如果我只是取消链接原始GPO(它已经是),本地计算机将停止使用这些pipe理模板设置? […]
我试图find一种方法来locking用户更改其join到域的计算机上的默认设置。 networking打印驱动程序已安装在他们的机器上后,用户倾向于设置彩色作为其默认: 我看了很多论坛,还有两种方式让我陷入了困境: Way 1 which i obtained from a forum that dates to 2006 https://www.experts-exchange.com/questions/21820852/Prevent-Users-to-change-Printer-Preferences-Property.html 一个叫Merete的人build议如下 这里是如何做到这一点使用Windows资源编辑器。 警告请自行承担风险。 首先进行备份,然后在Windows System32文件夹中编辑以下文件。 COMDLG32.DLL 编辑下面的对话框资源。 100 – 1033 101 – 1033 1538 – 1033 通过右键单击禁用首选项button,select编辑控件并设置WS_DISABLE样式。 保存COMDLG32.DLL。 这一切都直接和膨胀,但下载资源黑客和find该DLL后,我没有find他暗示的数字 Way 2 was by this fellow "yagmoth555" in this link http://serverfault.com/questions/747339/group-policy-to-disable-printer-preferences# 这说明使用组策略也将帮助做到这一点,同步计时器,以确保默认设置恢复后,他们已被改变,这失败了locking这个目的:( 有什么方法可以直接locking“打印机首选项”,我记得我们有来自不同厂商的打印机,如惠普绘图仪和理光多用途和OCE绘图仪/扫描仪 谢谢
我已经通过组策略(Win2012R2)为我的IT支持团队创build了本地pipe理员用户,现在他们可以使用此用户login到计算机,但是似乎他们没有权限更改计算机上的networking设置。
是否有可能Active Directory域完全否认从任何工作站和服务器的文档打印到某些用户组使用组策略或其他方式? 重要的是: 禁止必须适用于用户(同一台计算机上的其他用户必须能够打印)。 即使用户的电脑有本地连接的打印机,禁止也必须工作。 它必须能够通过更改域组中的成员资格来快速启用或禁用用户进行打印。 一些打印机通过USB连接到用户的计算机
在我们的Windows域中,我想将文件服务器的共享映射到驱动器号,只要经过身份validation的用户login到桌面,而不是在用户(任何用户)login到服务器时。 有没有办法通过GPO做到这一点? 基本上是一个基于GPO的匹配用户和计算机?