我正在与团体政策(自我教导自己)一起玩耍,并且偶然发现了applocker,我可以肯定地看到某些情况下的好处,但是在我为用户工作过的每个公司中都不会使用特定的程序集,某些项目或某些版本的软件所需的软件属性,这些软件在我的研究中会使Applocker感到痛苦 我的问题是,尝试和configurationapplocker来防止勒索软件是矫枉过正的? 我知道,randsomware感染networking的最简单的方法是通过用户打开电子邮件中的文件,实际上.exe是变相的,所以有一种方法可以阻止.exes从电子邮件只运行或至less需要pipe理员凭据这样做? 我知道没有networking是100%安全的反对randsomware等,但如果我可以防止最常用的漏洞,那么可以帮助
我有一个要求部署一个Samba共享,以方便在DOS 6域的非域计算机和Win 7域的成员Windows 7工作站之间的文件共享。 IT目前不会合作,尽pipe它们并不妨碍我将设备连接到networking。 所以在家里,我在VirtualBox上设置了一个模拟,包括Server 2008和Windows 7客户端,以及一个包含FreeDOS和Debian Jessie的工作组。 我必须在Samba中启用LANMAN身份validation来支持DOS连接。 现在我把E:映射到DOS机器上,在Windows 7机器上,我可以使用浏览器浏览到\\jessie\share 。 所以真的我想知道这是否会在现场实际工作,或该域的组策略阻止我这样做? 更多细节 DOS框控制着一些工业机器,操作员想通过networking将CAD文件加载到它上面。 很显然,IT被要求设置和失败,这就是为什么他们不愿意跟我说话。 看过其他网站,似乎要走的路线是将networking共享映射到本地驱动器号,并将cad文件存放在那里。 DOS机器不能访问现有的networking共享,因为它不是域成员。 我不完全确定DOS 6是否可以joinWindows 2008的域名,但是如果没有得到IT的同意,这肯定是不可能的。 所以我想使用一个中性文件共享,可以从域和非域计算机访问。 我打算使用Raspberry PI作为工作,因为这也解决了一些空间限制,允许我们将PI安装在与DOS框相同的机柜中。 工作站位于/ 29 VLAN段上,因此添加两台计算机可能会造成IP地址短缺。 不过,我在模拟中解决了这个问题,为PI和DOS机器创build了完全不同的范围,因此不会以任何方式干扰现有的IPv4 LAN。 而Windows 7中可以使用IPv6链接本地查找PI。
工作站正在运行Windows 8.1并join到域中。 有几个组策略部署软件。 “始终等待电脑启动和login时的networking”设置被禁用。 按照预期,软件部署已经使用1或2次login来应用更改。 但是发生了一些事情,现在我根本无法使用软件部署来应用这些更改。 rsop.msc说:“软件安装没有完成策略处理,因为要应用的设置需要重新启动系统,组策略将尝试在下次重新启动计算机时应用设置。 重新启动不起作用:组策略仍然以asynchronous模式处理,rsop.msc也是如此。 重新join域名并没有帮助。 事件日志中没有错误。 问题是什么是开关/标志告诉Windows启用组策略的同步处理。
我试图自动login到amazon web services与autoit在相当强化的Windows计算机上。 我可以运行脚本作为pipe理员在框中,它工作得很好,但是当我作为一个用户在“强化”的规则(通过安装Cyberark PSM软件硬化)进入。 我不得不修改组策略,只允许javascript不redirect到默认的AWS登陆页面。 我的自动脚本是把用户名和密码,但它没有成功地点击该用户下的login链接(尽pipe在自动脚本中调用点击的返回值表示它工作)。 这个自动脚本脚本在我的电脑上工作,如果我以pipe理员身份login,那么它就在那台服务器上工作,而不是locking用户。 $uname=$TargetUsername $pwd=$TargetPassword _IEFormElementSetValue ($oQuery1, $uname) _IEFormElementSetValue ($oQuery2, $pwd) _IEAction ($oButton, "click") _IELoadWait($oIE,0) 我已经尝试使用formSubmit,也有相同的结果。 我也试图直接调用oauth javascript方法,但我不确定那是什么,我用autoit尝试的东西没有工作。
我遇到了一个非常令人沮丧的情况。 我们在Windows 7和10上运行的用户正在他们的计算机上使用某些第三方应用程序,如: 松弛 Dropbox的 Spotify的 WhatsApp的 每次用户注销和/或PC重新启动,这些应用程序将显示的行为,让我觉得他们的设置不被记住。 Slack从Appdata中的安装文件夹中删除 Dropbox已经从Dropbox注销用户 Whatsapp也从它的本地Appdata文件夹中消失 我们的用户正在使用漫游configuration文件以及以下组策略: redirect的漫游Appdata文件夹 cachingconfiguration文件的本地副本 不要使用漫游configuration文件漫游本地设置 所以我觉得所有的Appdata设置需要保持这些应用程序工作后重新logging本地caching,因此应该继续工作后重新logging。 谁能解释一下这个问题? 这让我疯狂!
简要 我们已经在新的环境中工作了几个月,一切都很顺利。 唯一的问题是pipe理。 我们有多个部门,多个公司,多个地点/办事处等,并且发现现在pipe理意大利面的挑战性很大。 系统信息 操作系统: Windows Server 2016 以下涉及两台机器(最终以高可用性) 域控制器(GPO,Active Directory) 存储服务器(DFS) 结构体 我们将驱动器映射到连接到DFS的用户。 DFS有一堆子文件夹,而子文件夹又有更多的子文件夹。 结构看起来类似于以下内容: Shares ├── Systems | ├── System1 | ├── System2 ├── Users | ├── Accounting | | ├── Company1 | | | ├── Office1 | | | ├── Office2 | | ├── Company2 | | | ├── Office1 | […]
我是GPO的新手。 我想将策略应用于不同OU中的特定机器,并想知道如何执行此操作。 例如。 机器1,2,3在(安全)组1(M1,M2,M3,G1) 机器4,5,6在(安全)组2(M4,M5,M6,G2) 奇数机器需要应用GPO1,甚至机器需要GPO2 我想如果我把奇数/偶数机器放在不同的安全组(G1,G2)中,我可以指定应该通过安全筛选应用的GPO。 然而,这种情况并非如此。 我怎样才能/应该处理这个问题?
我正在使用一个适用于会话时间限制的组策略设置(附图)。 在testing的时候,我发现在2分钟出现的警告真的很微妙。 如果rdp连接最小化,用户甚至不知道警告是否发生。 第二个缺点是,在空闲时间到期(15分钟)后,它断开了rdp连接,这不是我正在寻找的。 有什么更好的select,以醒目的2分钟提醒用户。 就像在popup之前popuprdp连接一样。
我在Windows Server 2003域中发现了一个正在进行的问题,其中一些客户端无法使用我们的根FQDN访问UNCpath(我们将其称为primary.org)。 这导致了一些有趣的问题: – 我可以通过\ mail而不是通过\ mail.primary.org访问我们的邮件服务器 – login脚本不能运行,因为\ primary.org \ SYSVOL无法访问 – 服务器不会响应如果我尝试通过FQDN访问 – sql.primary.org,web.primary.org等 几个月前,我们得到了一个新的路由器,并改变了我们的IPscheme(认为这是一个我们一直想要做很长时间的项目的好时机)。 一切似乎工作,除了这个DNS问题。 我已经做了相当多的谷歌search,阅读专家交stream和其他技术论坛/资源的几个主题,并阅读eventid.net给我一些想法,所有这些概述如下。 我已经尝试重新创buildprimary.org的反向DNS条目,将primary.org添加到用户的HOSTS文件(让我进入networking浏览器,但SYSVOL仍然locking我),从GC中删除我的ISP的DNS服务器DC服务器,运行dcdiag / fix,ipconfig / registerdns,gpupdate / force并用新的默认组策略对象replace。 任何想法将非常感激。 丹尼尔
我更新了我的域的默认策略,以在Windows防火墙下添加例外 pipe理模板<networking<networking连接<Windows防火墙<域configuration文件 我更改了Windows防火墙:定义程序例外并添加了这两个条目: %system32%\lsass.exe:*:enabled:lsass %system32%\svchost.exe:*:enabled:svchost 但是,当我从我的客户机运行GPupdate /强制运行 netsh firewall show allowedprogram 我没有看到我添加的这些条目都显示在我的例外。 我更新GP对象的时间大概是半个小时,所以我认为它不应该等待足够长的时间才能运行gpupdate。 我错过了什么吗? 我试过运行rsop.msc,但是当我展开pipe理模板在rsop它只是停止响应一段时间,或者只是需要一段时间,我需要离开它独自一人? 编辑:运行GPupdate /强制后,我得到事件信息“组策略对象中的安全策略已成功应用”。 使用RSOP等待更长时间后,我可以查看pipe理模板,显示允许远程pipe理exception和启用远程桌面exception的设置。 但是,当我运行netsh命令时,在防火墙中看不到它们的任何条目。 此外,我仍然遇到安全失败,报告lsass和svchost正在寻找连接,所以它不是只是正常工作,由于某种原因不显示从netsh命令。 我无法打开\\ domain \ sysvol,但是我可以打开\\ DomainControllerName \ sysvol,并看到1个节点。 编辑: 事件查看器安全失败审计 Windows防火墙检测到应用程序正在监听传入的通信。 名称: – path:C:\ WINDOWS \ system32 \ svchost.exe C:\>netsh firewall show config Domain profile configuration (current): ——————————————————————- Operational mode = Enable Exception mode = Enable […]