我在公司的AD里有一大堆电脑,我想给那些使用一台PC的人最多的时间去访问本地的pipe理员组。 我知道,不是最好的主意,但有时候我还需要我的员工自己安装一些东西…最简单的方法是什么?最好使用组策略,以便从一个地方进行pipe理。 我已经做了几个电脑已经只是手动添加域用户到本地pipe理员组。 这有用,但是,呃,我想要更全球化的东西。 我想,ADUC中有一台PC的“Managed by”属性,所以可能使用这个或某个东西。 无论你在想什么,它都是一个很酷且漂亮的解决scheme。
我注意到一些(不是全部)我的工作站,对GPO的更改没有被应用。 我login到一对夫妇,并运行gpupdate / force。 我得到了“组策略失败的处理”,Windows试图从域控制器读取文件\\(domain.local)\ sysvol \(domain.local)\ policies \(guid)\ gpt.ini并且没有成功。 ..“。 我开始追踪它,这是我发现的。 从DC1,我可以浏览到\\(domain.local)\ sysvol \(domain.local)\ policies \(guid)\,没有问题。 从DC2,我可以浏览到\\(domain.local)\ sysvol \(domain.local)\ policies \(guid)\,没有问题。 从有问题的计算机上,我无法浏览到\\(domain.local)\ sysvol \(domain.local)\ policies \(guid)\。 该文件夹不存在。 从一台有问题的机器上运行ipconfig / flushdns和ipconfig / registerdns。 之后,我做了一个nslookup(domain.local),它返回了两个DC的正确IP。 我也试过运行ipconfig / release && ipconfig / renew来试试,结果也一样。 另外需要注意的是,当我浏览到数据中心的SYSVOL文件夹时,会看到创build/复制策略的date。 但是当我从工作站浏览到SYSVOL时,所有date都是3天前。 这恰好是我们添加DC2(它取代了旧的DC)。 所以我相信这跟它有关系。 只是不知道是什么。 GUID标识的策略是在更改之前创build的。 任何input赞赏。
我在Windows Server 2008 Active Directory环境中运行。 我被要求拒绝打开某些文件名和文件types的文件。 例如,系统或用户不得以任何方式打开或保存文件Read.docx和Apple.apt。 在实施组策略软件限制时,我将文件types添加为指定的文件types属性,并按照不允许执行的path规则设置文件名。 到目前为止,可执行(.exe)文件被阻止。 但是,其他types的文件(如TXT或DOCX)并未被组策略应用。 怎么可能阻止某个文件,我们知道它是在我们的环境中运行或创build的名称和扩展? 这样做的目的是为了避免已知的恶意软件执行。
我们有一个环境,多个普通用户通过RDP共享一台Windows 2012 R2服务器作为他们的“工作站”。 我想让他们不时地使用附带的CD刻录机。 我已经按照这里的说明: https : //technet.microsoft.com/en-us/library/cc731422(v= ws.10).aspx启用所有可移动存储:允许在远程会话直接访问 ,但它似乎没有工作。 用户甚至pipe理员组中的用户的光盘驱动器显示出来,但不显示驱动器下的进度条图标,表示它是可写的。 如果通过KVM或通过RDP在本地login,这并没有什么不同。 当他们双击驱动器图标时,显示: Windows无法读取驱动器E盘中的光盘:确保光盘使用Windows可识别的格式… 如果我以“pipe理员”(本地或域)的身份login,或者如果我终止了所有的explorer.exe进程,并从提升的命令提示符下启动一个新的驱动器,则显示为预期的驱动器。 这可以通过KVM或通过RDP在本地工作。 当我作为pipe理用户通过RDPlogin,甚至在KVM上本地login时,我可以看到CD刻录机对话的唯一方法是如果我是“pipe理员”用户,或者如果我终止了我自己的所有explorer.exe进程并开始新的一个来自高架提示。 从域控制器设置组策略,在DC上取消设置并将其设置在本地服务器上,在每次更改之间重新启动,并且仍然是普通用户无法刻录光盘! 我知道必须有一种方式,因为它在我们使用的另一个networking上的工作方式是如何工作的,但是我所期望的所有可移动存储的组策略设置:允许在远程会话中直接访问,并且没有为“拒绝…”设备选项。 任何提示在这里将不胜感激,因为它使我疯狂,它在我们的networking之一,而不是其他工作!
我支持的应用程序(Windows)将日志文件和其他数据写入用户主文件夹%UserDocuments%。 新客户具有GPO文件夹redirectfunction,可将上述文件夹映射到服务器驱动器。 我们在应用程序运行时看到的是一段时间后崩溃。 在查找日志文件时,我使用Windows资源pipe理器进行search,发现在资源pipe理器中,该文件夹在一秒钟左右后似乎从视图中消失。 我之前没有见过这个,但后来向我透露,这实际上是文件夹redirect。 所以,应用程序启动并打开与文件夹的文件句柄,然后当文件夹redirect断言其工作,文件消失,文件句柄变得无效,导致崩溃(我认为)。 现在,我们可以看看应用程序,看看我们是否可以迎合这个问题,但是如果保存一个大的应用程序数据文档,这会造成问题。 但是有没有什么文件夹redirect设置,我们可以调整,以阻止这种情况发生?
目前我有一个服务“WINRM”(另一种称为Windows远程pipe理),默认情况下设置为正常的启动types。 我在服务器上创build了一个组策略对象来更改所有机器,以将此服务的启动types更改为自动。 我在计算机 – >首选项和计算机 – >策略方式中执行了这两种方法。 当我在testing计算机上运行GPUpdate / force然后重新启动时,我看到服务没有启动,服务没有设置为自动启动types,我有其他GPO正在工作,所以我知道我有它分配到正确的组,任何帮助表示赞赏,谢谢! 我的设置:服务器是Windows 2012服务器,testingPC是Windows 7。
我想用Powershell在GPO的计算机configuration中设置本地用户和组。 目标是创build和更新以下结构。 目前,我在Windows Server 2012 R2上使用PowerShell版本4。 Technet的组策略Cmdlet文档不是很有帮助。 https://technet.microsoft.com/en-us/library/ee461027.aspx 有什么办法可以用Powershell来实现吗?
我遇到了server 2012的问题,并为一部分用户设置了默认文件types。 我目前有一个文件types关联XML文件放置到我的域控制器的sysvol中,并由计算机GPO调用以使用Adobe Acrobat DC打开PDF( 计算机configuration\pipe理模板\ Windows组件\文件资源pipe理器\设置默认关联configuration文件 ) 。 问题是,我需要将访问Adobe Acrobat DC的权限限制在less数用户的身上,并且Adobe Reader是公司其余部分的默认设置。 这对于服务器2008年GPO来说更容易处理,但是我没有看到将这台计算机的GPO范围限定到一部分用户的方法。 我想这是服务器2012年的常见问题,并想知道其他pipe理员如何处理这种情况?
我有一个特定的OU,其中有几台机器。 我只是创build了一个域用户,这个用户在所有机器上都具有普通的本地用户的标准权限 – 他需要做的唯一的事情就是安装他想要的任何一种软件,但是没有同时是域名pipe理员或本地pipe理员。 我想也许我可以意识到这一点,使用该用户的GPO,但我还没有走得很远。 有没有办法给新创build的用户在特定的OU中的机器上安装东西的权限,而不给他所有的其他pipe理员权限?
我们的托pipe服务提供商之一已将“closures自动根证书更新”作为其默认的Windows安装的一部分。 服务器join我们的域后,我们希望允许服务器运行自动根证书更新。 但是,简单地创buildGPO并将“closures自动根证书更新”设置为“禁用”并不实际将其反转回来。 有一些GPO的方式来做到这一点? 或者我必须推一个实际上翻转HKLM:\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate的脚本HKLM:\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate设置? 如果有问题,我们正在运行2012R2和2016。 域function级别是2012年,虽然(为晦涩的兼容性的原因,感叹)。