我有91个组策略对象链接到我的域。 当我运行GPOTool.exe它只发现并报告47.为什么结果将失踪其余? 我在所有6个域控制器上运行Windows 2008 R2。
在下面的图片中,如果用户点击“打印机”button,控制面板打印机窗口打开。 我已经试过每个GPO,我可以findclosures,但似乎没有任何工作。 我试过用户configuration – pipe理模板 – 控制面板:隐藏指定的控制面板项目禁止访问控制面板
我正在尝试为IE10应用组策略首选项。 有几个设置我只想申请一次。 我对此进行了configuration,但是如果我在一个系统上login到具有多个用户的系统,则不会为每个用户设置GPP。 我的问题之一是,如果GPP限制为IE10而IE10不在系统中,GPP是否仍然运行而不再运行? 下面是我如何设置它:用户configuration/首选项/ Internet设置/新的Internet Explorer 10.我经历了,并禁用F8的所有设置。 然后我通过F6启用了我想要的设置。 我只做了大约12个设置。 大部分是在Internet和可信站点区域的安全选项卡上。 然后我设置它运行的是用户上下文,只运行一次。 我只是testing了这一点。 我们的系统目前有IE8。 当我安装IE10时,设置没有设置。 这就像安装IE8时在系统上运行的GPP,安装IE10时不会再运行,需要设置设置。 我尝试设置ITL – 物品等级定位,所以GPP只适用于IE版本在10-11之间。 它不起作用。 事情是,GPP既有“一次运行”的优先,也有一些是每次都运行的。 你可以在一个GPP?
我已经configuration了组策略来告诉特定的服务(Winrm)在策略应用时重新启动。 当政策适用时,我发现它试图停止和启动服务。 停止工作,但是当它试图启动它,我得到在事件日志中的以下错误: “由于以下错误,Windows远程pipe理(WS-Management)服务无法启动:为此服务指定的帐户与在同一进程中运行的其他服务指定的帐户不同。 顺便说一句,这个账号应该是“networking服务”,这个设置就是这样的,但是还是不能通过组策略来启动。 现在,有一段时间我试着从机器本身手动启动它,并得到了同样的错误,直到我进入服务的属性,并删除了密码。 但是,虽然在同样的方法在组策略中填写密码的时候,仍然不解决问题。
Win2012R2上的WSUS没有看到Windows 8.1。 两台机器可以互相ping通。 通过以下方式将计算机分配给WSUS:“在计算机上使用组策略或registry设置” Win8.1上的本地GPO设置如下: configuration自动更新已启用 指定Intranet Microsoft更新服务位置: Set the intranet updates service for detecting updates: *http://10.13.0.214* Set the intranet statistics server: *http://10.13.0.214* 我已经更新了政策,重新开始赢了8,但仍然没有喜悦。
我负责根据最新的CIS基准策略来configurationGPO。 然而,对“身份validation后模拟客户端”的testing总是失败,尽pipe似乎所有东西都configuration正确。 Computer Configuration => Policies => Windows Settings => Security Settings => Local Policies => User Rights Assignment => Impersonate a client after authentication 以上设置包含: pipe理员 本地服务 networking服务 服务 这当然不符合Tripwire使用的正则expression式(根据报告)。 "^\s*BUILTIN\\Administrators,\s+NT\s+AUTHORITY\\LOCAL\s+SERVICE,\s+NT\s+AUTHORITY\\NETWORK\s+SERVCE,\s+NT\s+AUTHORITY\\SERVICE\s*$" 但是,如果将“pipe理员”replace为“BUILTIN \ Administrator”,GPMC控制台会提示以下内容: Administrators and SERVICE must be granted the impersonate client after authentication privileve. 现在的问题是: 我给GPO提供了正确的string还是需要正则expression式更正?
我已经按照以下文章为IE11configuration企业模式gpo: http://msdn.microsoft.com/en-us/library/dn640699.aspx http://msdn.microsoft.com/en-us/library/dn640696.aspx 我有一个文件共享上的网站列表XML文件,但似乎没有阅读它。 当XML文件指定2时,registry显示CurrentVersion为1。 有没有人有configuration此GPO的经验?
我目前有一个用户DOMAINJOINER(位于WIN7Support OU),我用它来部署Windows 7机器。 该用户可以在WIN7Computers OU中创build和删除计算机对象,只要涉及访问,但他也在Domain Users组中。 当新的Windows 7计算机启动(通过自定义映像)时,他们使用DOMAINJOINER凭据join域。 当计算机join域时,它们被添加到WIN7Computers OU(这是在自定义映像中设置的)。 WIN7Computers OU将容纳所有的Windows 7机器。 在我们的一个GPO中,我有一个设置可以执行以下操作: 拒绝作为批处理作业login:domain \ DOMAINJOINER拒绝本地login:domain \ DOMAINJOINER拒绝通过terminal服务login:domain \ DOMAINJOINER 不幸的是,这个GPO只能连接到WIN7Computers Ou,而不是用户DOMAINJOINER所在的WIN7Support OU。 我的问题是,如何拒绝DOMAINJOINER交互式login到域中的任何计算机,但允许自定义图像继续使用DOMAINJOINER凭据,以允许计算机join域?
让我先解释一下我们的设置! Cyberoam CR50ING防火墙有2个站点位置,2个子网间IPSec。 Cyberoam防火墙具有AD身份validation,并将其软件链接到设备,以检测实时和注销用户。 站点A正在工作#1。 网站B位于不同的域名下。 活用户正在工作。 我们将它们全部迁移到与站点A相同的域。它们共享相同的GPO,防火墙closures。 主要的问题是:从那以后,所有WMI对DC和域计算机的请求都是“访问被拒绝”0x80070005。 文件服务器正在工作(唯一的服务器获取WMI请求)。 我不能让活着的用户工作,因为它正在向DC发送WMI请求来获取事件查看器中的信息(安全选项卡,用于login/注销用户)。 我去了dcomcnfg,确保它安装得很好,但这仍然是一个问题。 任何想法是赞赏:) 谢谢 基督!
我们使用两个2008域控制器和一个2012 DC 在gpo中,我们为每个用户设置了IE-11的代理。 例如:X使用代理,服务器:代理服务器,端口:3131这个GPO是不是强制性的,所以用户可以更改代理。 最近我们的代理更改为端口:8080 我遇到一个虚假的行为…一些用户得到旧的设置,一些没有,一些新的设置…似乎旧的设置不断重新出现后,手动更改为新的。 我看到了AD复制中的问题,现在已经解决了。 但我的主要问题是:如果用户可以更改设置,并已更改设置 – 我的新设置(在GPO)将覆盖用户更改设置? 例如:用户已经把端口设置为1234,后来我把应用到他(testing)的gpo设置为8080 ..但是当他login时它们仍然不适用。 手动执行gpupdate的作品。 我应该写login脚本来执行gpudate吗? (我们有1100个用户)