我的目标是Windows Update每天运行,安装所有可用的更新,并(如有必要)自动重新启动计算机,给用户推迟到最大4小时的机会… 我想我已经差不多在这里为我们的小型基础设施build立了一个WSUS,但是仍然有困扰我的问题。 我应该使用哪种GPO设置来强制客户自动安装各个组的所有可用更新? (“允许自动更新即时安装”不起作用…) 我可以使用哪种GPO来禁用Windows Update客户端应用程序中的“select要安装的更新”? 提前致谢!
我最近接pipe了一个networking,对于AD和团队政策,我仍然很生气。 我一直试图使用组策略来限制CD刻录权限只有3个用户,只有他们的3台电脑。 如果这是不可能的,我会解决限制所有,但这3个用户从燃烧的CD。 我一直在修改“CD / DVD:拒绝写权限”政策,但我一直在遇到同样的问题。 我要么为所有用户和计算机开放它,要么为所有用户和计算机closures它。 是否可以设置这个策略,以便我login时在计算机上拥有光盘刻录权限,而下一个login时不会login?
组策略设置为防止用户使用保存的凭据,在通过IP地址或FQDN连接到RDP时工作正常。 但只通过主机名连接允许用户保存他们的凭证。 我如何解决这个问题,我们不希望任何保存的凭据。
我们试图阻止我们的networking上的普通用户(mmc,cmd,ldp等)执行某些系统相关的可执行文件。 我build议使用软件哈希规则,但是我担心可能会通过GPO实施软件限制而不是通过GPO更改可执行文件的权限,从而产生意想不到的影响。 当我通过GPO从无限制切换到使用软件限制时,networking上会发生什么变化? 我们有一个很小的独立networking,看不到很多stream量。 散列规则应该是有效的,但是我不想通过设置它来引起其他问题。
我刚才发布了一个关于允许特定用户启动/停止Windows服务的问题。 为用户提供服务启动/停止权限 我决定重新审视这个问题。 我不知道这次我做了什么不同,但GPO最终允许我的Backup用户启动/停止相应的服务。 直到我尝试以该用户的身份运行计划的任务。 我有一个batch file,停止服务,备份/validation服务的数据,并重新启动服务。 如果我打开CMD作为备份用户并运行batch file,它工作正常。 如果我创build一个计划任务,请将其设置为以备份用户身份运行,而不pipe用户是否login,并且该任务运行的是同一个batch file,则不能再停止/启动服务(错误5,访问被拒绝)。 我认为这是因为用户没有login,因此GPO不适用于其帐户。 如果是这种情况,我该如何得到这个工作? 我宁愿避免以pipe理员身份运行任务。
最近,我看到一个应用程序无法通过本地化版本的Windows Server 2012 R2(法语,德语)的内置组/本地策略进行某些检查/操作。 在Windows的本地化版本中,组名和策略名被翻译成本地化语言。 这引出了一个问题:Microsoft提供了什么选项来操作/处理这些对象而不依赖于本地化名称? 显然有一些这样做的方式,否则应该有本地化的版本很多问题。 有人可以告诉我什么可以解决这些群体,不论本地化的名字? (RID?一些API函数?) 看看我用本地化版本的Windows看到的特定问题,似乎可能会出现与使用带有变音符号的字母的语言有关的一些问题。
我们公司有一个域名森林,有两个域名(domain.EMEA和domain.GLOBAL) 我们以前收购了一家公司(domain.LOCAL),本网站的所有工作站都是domain.LOCAL的成员,但用户是domain.EMEA的成员 有从domain.LOCAL到domain.EMEA和domain.GLOBAL的单向信任 我正在将用户从domain.EMEA迁移到domain.GLOBAL,为此我需要暂时让用户在工作站的站点pipe理员。 为此,我希望在domain.LOCAL中创build一个安全组,并从该站点添加用户,并将安全组推送到工作站本地pipe理员组。 我发现虽然所有组策略似乎来自用户所属的域,即使工作站是domain.LOCAL的成员。 任何人都可以指出我正确的方向,使domain.LOCAL GPO适用于domain.LOCAL工作站,或者build议另一种方法来完成使这些用户本地pipe理员。 注意:由于母公司的规模,获取在domain.EMEA或domain.GLOBAL中创build和推送的组策略是非常复杂的,可能需要数周时间才能完成。 通过domain.LOCAL工作将是可取的…
我有一个Windows Server 2008域控制器为我们的域运行组策略。 最近我们开始向域中添加一些Windows Server 2012服务器,并且某些组策略设置在DC和2012服务器之间不匹配,主要是将terminal服务重命名为远程桌面连接。 我下载了以下模板: http : //www.microsoft.com/en-us/download/details.aspx?id=36991 这些应该给我的组策略中的Server 2012选项,以便通过我的DC组策略更新这些服务器。 我也阅读了使用.admx模板的说明: http : //technet.microsoft.com/en-us/library/cc748955%28v=ws.10%29.aspx 我迷路了。 说明说创build一个中央商店,并将文件从一个位置移动到另一个位置。 在下载位置下载并运行这些模板的.msi安装程序后,即使这些模板不显示在我的DC上列出的任一位置。 我很困惑如何在组策略中访问这些设置。 我知道安装程序安装的模板,因为如果我再次运行它要求我修复或删除模板,但我没有看到他们在组策略,我没有看到这个模板的任何文件,甚至没有今天的时间戳下sysvol位置在说明中列出。
我需要在校园范围内使用组策略/ SCCM /或任何其他集中pipe理方法来禁用Microsoft LLDP协议驱动程序,因为我已经编写了自己的LLDP广播服务,而不是使用残缺的MS实现。 我尝试了谷歌search,但无法拿出一个工作的解决scheme。 编辑:我拿了两个registry快照,并比较它们时,切换checkbox切换下的三个键位于 HKLM\SYSTEM\CurrentControlSet\Services\MsLldp\Linkage 键是绑定/路由/导出 问题是,当这些键被删除/清空,checkbox打开回来。
我知道使用OU(组织和GPO)的优点,您可以组织您的用户和计算机,为其分配组策略,并且可以控制一组用户和计算机。 但是团队呢? 把组织放在一个组织旁边的好处是什么? GPO是否影响小组? 如果我将一个组从一个OU移到另一个OU,会发生什么变化?