看起来好像我们networking上的一些工作站没有与映射的驱动器同步,非常随机,例如,同一台计算机上的不同用户会在映射的驱动器上看到不同的文件,导致混淆和文件一旦映射的驱动器被同步。 映射的驱动器通过GPO和主文件夹进行configuration。 工作站都是Windows 7专业版 考虑以下因素,通过GPO解决此问题的最佳方法是什么? 用户没有“同步文件夹”button(我不知道为什么) 不需要本地的“离线caching”,所以最好只是取消它 如果在取消脱机caching之前要同步任何内容,则应在实际的networking驱动器上丢失文件但不能删除
我正试图自动将启动和closures脚本添加到本地组策略(gpedit.msc)。 一个解决scheme是直接写入registry,正如http://ccm.net/faq/3358-execute-a-script-a-startup-and-shutdown中指出的那样。 我正在寻找一种方法,通过使用GroupPolicy模块的PowerShell脚本。 我想知道这是否可能/任何人已经成功做到这一点? 更新:读完msdn文章后,我发现我们可以访问域组策略对象,但本地组策略对象(包含启动和closures脚本)存储在registry中。 我试图find一种方法来访问和编辑通过PowerShell的本地GPO。
我正在pipe理一个Windows 7(现在是Windows 10)的机器,这个机器有一个账号被locking。 用户只能启动特定的程序(通过组策略中的白名单),不能访问Internet Explorer,没有资源pipe理器等。基本上,他们所能做的(或者应该能够做的)就是从桌面启动应用程序。 现在,在更新到Windows 10后,我的证券措施可以轻松绕过:主要问题是开始菜单或集成search。 用户可以search“边缘”,并启动它,虽然它不在我的白名单,他们也可以在search中input“C:\”,并打开与此path的资源pipe理器,以及执行Windows应用程序,我不允许。 我只能find一个组策略来禁用networking和文件search,但它仍然允许用户执行或多或less的任意应用程序以及Edge(除了我,pipe理员之外,任何人都不应该被允许访问)。 我怎样才能避免这个问题? 在Windows 7中,可以恢复到旧的开始菜单,并完全禁止用户的search,但似乎不可能了。 此外,开始菜单的布局似乎是固定的,我不能更改或禁用我不想拥有的应用程序。 根据technet,可以从预定义的XML文件加载开始菜单布局。 我试过这个,但布局没有变化,没有任何错误消息。 我也禁用了我能find的大多数Cortana选项,但组策略中并不多。 谢谢你的帮助!
我试图find一种方法,我可以远程编辑本地组策略下的“可信主机”列表。 本地组策略中的path为:\本地计算机策略\计算机configuration\pipe理模板\ windows组件\ windows远程pipe理(WindRM)\ WinRM客户端\可信主机 我可以这样做打开本地组策略编辑器:gpedit.msc / gpcomputer:[远程机器的IP]从那里我可以添加额外的可信任的主机,但我正在寻找一种方法,我可以使用Powershell或批处理自动完成100台服务器来做到这一点。 我连接的服务器已经在所有客户端服务器的可信主机列表中 – 我需要添加第二个。 到目前为止,我已经尝试了一些方法:set-item wsman:[client-IP] \ Client \ TrustedHosts -value [trusted-IP] set-item wsman:\ [client-IP] \ Client \ TrustedHosts -value [trusted-IP] set-item \ [client-IP] \ wsman \ Client \ TrustedHosts -value [trusted-IP] 这两者都不起作用 – 我实际上找不到任何关于远程使用“wsman”的文档,因此我甚至不知道我的path是否正确。 如果远程执行此操作不可能有人知道如何使用batch file编辑本地组策略(上述受信任主机的path),因为我可以将batch file推送到所有服务器,并让计划任务执行它。 感谢您提供任何帮助。 编辑:我发现,由于这是以前在本地组策略而不是通过WINRM设置,我无法使用WSMAN编辑此列表 – 即使是本地。 我需要能够远程编辑本地组策略,目前我唯一能想到的就是写一个batch file,这个batch file可以为我更新本地组策略,把它推送到所有的客户端服务器,并将一个预定的任务设置为运行batch file。 然而,我不知道如何从批处理编辑本地组策略 – […]
我无法应用GPO来限制Server 2003上的控制面板项目。我的DC是2008 R2,我使用的策略是:用户configuration>pipe理模板>控制面板>仅显示指定的控制面板项目 事情是,所有我的服务器2008年和2012年应用策略没有问题。 我只显示控制面板上的pipe理工具图标。 但在2003服务器上,用户看不到任何东西,甚至没有控制面板图标。 我在MSDN上读到,我不应该使用规范名称,但模块名称:@%SystemRoot%\ system32 \ shell32.dll,-22982 我尝试了他们两个,但没有一个在2003年工作。 有任何想法吗? 其实我只需要允许访问服务控制台,而不是所有的pipe理工具,但我还没有find办法。 非常感谢。
我们有许多属于域contoso.com的Windows 7和Windows Vista客户端。 客户端在DNS中注册到client.contoso.com 。 我们已经通过GPO从client.contoso.com更改了DNS后缀到contoso.com 。 这对大多数客户端运行正常 – servicePrincipalNames得到了自动更新,包括计算机对象的dNSHostName属性。 但是,有些客户端仍然无法更新属性,导致以下错误消息: 日志名称:系统 来源:NETLOGON 事件ID:5789 级别:错误 计算机:someClient 尝试更新Active Directory中的计算机对象的DNS主机名失败。 更新的值是“someClient.contoso.com”。 发生以下错误:请求的资源正在使用中。 到目前为止,解决这个问题的唯一办法是将客户端从域中删除,并将其放回,这是一种蛮力方法来解决这个问题。 AD对象似乎必须更正权限才能更新提到的属性。 Set-ADComputer -Identity someClient -DNSHostName someClient.contoso.com Set-ADComputer : While processing a change to the DNS Host Name for an object, the Service Principal Name values could not be kept in sync At line:1 char:1 […]
我有三台服务器。 服务器1 – 打印服务器,Windows Server 2008 Standard 服务器2 – 域控制器,Windows Server 2008 R2 Standard 服务器3 – terminal服务服务器,Windows Server 2008 R2 Standard 在服务器1上,我安装了5台打印机。 所有的打印机都是TCP / IP打印机。 应限制一台打印机,以便只有指定AD组的成员才能打印到该打印机。 因此,在“打印pipe理”中,受限打印机的“安全”选项卡中,“AD安全组限制打印机 – 授权域用户”被授予“打印允许”权限。 具有“允许打印”权限的默认Everyone组已被删除。 限制打印机 – 授权域用户的唯一成员是Domain \ TestAllowed。 所有5台打印机通过服务器2上的GPO安装在服务器3上,服务器2自动添加打印机。 这工作正常。 然后我login到服务器3作为Domain \ TestProhibited并尝试打印到受限制的打印机和页面打印。 为什么页面打印以及我需要做什么才能确保只有受限域打印机的成员才能够打印到受限制的打印机? 我已经阅读(并确认我正确configuration了ACL)Microsoft的TechNet页面上设置打印服务器的权限 。 我甚至明确地拒绝在服务器1上受限制的打印机上的Domain \ TestProhibited的打印权限。我退出了服务器3,重新login,Domain \ TestProhibited仍然能够打印到受限制的打印机。
我试图阻止用户在他们的帐户login到我们的域时(即,当系统正在创build用户简档,应用组策略等时)按下CTRL + ALT + DEL 。 由于login时间过长,我们的用户通过在login时按下CTRL + ALT + DEL ,find了一种减less这种时间的方法。虽然通过允许他们直接进入系统来减lesslogin时间,不适用。 我想知道是否有其他人在他们pipe理的网站上遇到过这个问题,或者他们是否find了“补丁”。
正如标题所说,是否有一个(后台)刷新本地组策略的intervall? 它多久应用一次? 一旦在启动/login? 在Technet上找不到任何东西…
我正在按照我在这里推荐的一个指南来build立用户的家庭文件夹和驱动器映射,而且我遇到了一个问题,尽pipe我完全按照以下说明设置它: Using Group Policy Preferences (GPP) to map user home drive 我在初始login过程中检查了事件查看器,即使在服务器上创build了文件夹,也看到了错误4098(组策略失败,错误代码为0x80070037,指定的networking资源或设备不再可用)。 第三次login后,驱动器正确显示。 看看博客上的评论,它显示了一些用户有相同的问题,而另一些则没有。 我无法弄清楚为什么。 我希望通过组策略创build主文件夹,而不是通过ADconfiguration文件选项卡,这样帮助台更容易设置新用户。