有没有一种方法可以使用组策略(或其他内置机制)来应用防火墙规则,使得一部分规则被locking,不能被更改或覆盖,但另一个子集可以? 例如,我想locking核心networking规则和/或文件共享规则,以便本地pipe理员不能改变它们,但是,他们可以添加规则来打开SQL,IIS等端口… 我知道与组策略,你可以让它不合并规则,但这更像是一种像锤子一样的方法。 我会需要更细粒度的东西。 这可以使用内置的工具来完成吗? 或者我们需要某种第三方pipe理的防火墙应用程序?
我有一个在networking上运行的应用程序,它使用需要应用CASPOL策略的.net组件。 客户机被locking,本地用户不是pipe理员。 通过组策略部署caspol的最佳方法是什么(避免手动configuration多台机器)
我将如何部署连接到Office 365的outlook 2016的邮件服务器设置? 这可以通过gpo完成吗?
我有一些包含固态驱动器的新电脑出现问题,在启动时不会应用组策略。 所有其他PC都适用GPO没有问题。 手动运行gpupdate / force成功应用GPO。 我已经设置了以下策略:在计算机启动和login时始终等待networking:已启用启动策略处理等待时间:60秒。 事件查看器有以下错误: The system calls to access specified file completed. …Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini The call failed after 1141 milliseconds. 我可以从客户端访问gpt.ini文件和策略文件夹。 <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> – <System> <Provider Name="Microsoft-Windows-GroupPolicy" Guid="{AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9}" /> <EventID>7017</EventID> <Version>0</Version> <Level>2</Level> <Task>0</Task> <Opcode>0</Opcode> <Keywords>0x4000000000000000</Keywords> <TimeCreated SystemTime="2016-04-02T21:37:13.149910400Z" /> <EventRecordID>3244</EventRecordID> <Correlation ActivityID="{DCF633C7-4000-4643-83C6-ED71691672ED}" /> <Execution ProcessID="896" ThreadID="340" /> <Channel>Microsoft-Windows-GroupPolicy/Operational</Channel> <Computer>…</Computer> <Security UserID="S-1-5-18" /> </System> – […]
当我在计算机上安装特定程序时,会创build一个过于宽松的本地防火墙规则,允许从任何子网入站连接到端口1234。 我想使用组策略创build一个更严格的防火墙规则集,只允许来自特定IP地址的端口1234的stream量入站连接。 但是,目前在我的环境中,通过域组策略设置的Windows防火墙规则configuration为与本地设置的Windows防火墙规则合并。 结果是,更宽松的本地防火墙规则似乎优先于使用域策略的防火墙规则集。 如果可能,我想使用组策略防火墙设置来更改,删除或取消本地防火墙设置(并且不要使用启动脚本来删除不需要的防火墙规则)。 我认为这样做最简单的方法我认为是指定某种防火墙规则的优先级,其中本地规则被域指定的更具体的更高优先级的规则呈现为惰性。 但我不确定这是可能的。 有什么build议么?
我们有一个“演示”机器,我们用它作为本地用户提供远程访问演示软件。 有没有办法隐藏和拒绝访问除了用户文件夹使用GPO的一切?
我需要这样做,最好使用PowerShell /批处理,但search后,只有一些说明创buildadm / admx文件。 有没有更简单的方法来做到这一点? 我还发现了HKLM \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ Terminal Services设置的registry项!fDisableCdm 但它看起来只反映了GUI中的变化。 registry中的手动更改不起作用,从安全的angular度来看是有意义的。 谢谢
我正在规划一个安全的terminal架构,只能访问DC。 所以我有2台电脑是安全的,如果我想连接到DC的,我将不得不login到这些电脑 所以我所做的是部署GPO的阻止工作站和soforth ADM用户的login,我不在这里详细,因为我已经configuration好了。 我需要知道的是阻止ADM用户从任何不安全的工作站进行RDP连接到DC的能力 我的意思是说,域pipe理员可以使用我们域中的任何工作站上的凭据来将rdp连接变为dc。 我想知道是否可以通过gpo而不是阻止networkingstream量
我们在我们的Windows域中分发无线configuration文件(AD服务器是2012年,域级别是2008年,各种客户端Windows版本 – 主要是Win7和Win10)。 但是,我们似乎无法达到我们想要达到的保存凭证的目标。 在“计算机configuration” – “策略” – “Windows设置” – “安全设置” – “无线networking策略(IEEE 802.11)”下,我们创build了具有一个configuration文件的“Vista及更高版本”策略, (似乎只适用)设置“caching后续连接到此networking的用户信息”。 如果我们取消选中此选项,则每次连接到WLAN时都要求用户input用户名和密码。 这个问题是,我们宁愿如果凭据不必经常input。 如果我们检查这个选项,用户只被询问一次, 永远不会 。 这样做的问题是,如果在此期间密码已经被改变,那么用户甚至没有被要求提供凭证,因此保存的密码已经失效。 在这种情况下,用户似乎没有办法重新获得WLAN连接。 问题: 有没有办法让用户更新上面的第二种情况的login凭据? 最好有没有办法configuration这个configuration文件,使得由于login失败导致的连接失败会popup用户名/密码对话框,从而允许用户存储改变的凭证?
我在两个站点有类似的问题:从头开始configurationW10p桌面,从本地SAMBA服务器提取安装(MSI)二进制文件。 我已经创build了一个专用共享(\ nas \ provisioning),并且尽我所能地尽可能地放行(chmod和NT ACL) – 对于所有人和每个人都是只读的 – 但是我仍然可以得到我认为基本上是权限问题。 创build了GPO,这样系统本身就可以完成设置,而不需要有一个(特权)用户帐户需要先login才能触发安装。 从我所能收集的信息(以及我在这方面知识的边缘)看来,客户端/客户端连接到networking(OK),然后触发GPO,通过UNC调用服务器,本质上是(本地)“NT AUTHOROTY \ SYSTEM”(IINM)帐户拉二进制(例如\ nas \ provisioning \ 7zip.msi),但被服务器拒绝,因为它本质上是未经身份validation的连接,比“已知”用户,如Guest或Anonymous。 SAMBA日志告诉我: smbd / service.c:627(create_connection_session_info)用户'MYDOMAIN \ GUESTHOSTNAME $'(来自会话设置)不允许访问此共享(configuration) smbd / service.c:805(make_connection_snum)create_connection_session_info失败:NT_STATUS_ACCESS_DENIED smbd / smb2_server.c:2918(smbd_smb2_request_incoming)smbd_smb2_request_incoming:客户端读取错误NT_STATUS_CONNECTION_RESET 与Windows日志给我%% 1612错误: 从策略安装 – 7zip安装应用程序7-Zip 16.02(x64版本)失败。 错误是:%% 1612 这意味着它无法find所引用的资源(因为服务器拒绝它!) 我甚至尝试调整smb.conf以包含通配符: 有效用户=“root”,“nobody”,“admin”,“guest”,@“everyone”,@“MYDOMAIN \ Domain Admins”,@“MYDOMAIN \ Domain Users”,@“MYDOMAIN \ Domain Guests” MYDOMAIN \ […]