背景 我有一种情况,开发人员计算机处于IT部门为用户权限分配策略“作为服务login”设置强制组策略的环境中。 策略设置为强制且不可编辑,因此完全replace了本地设置。 由于这是一台安装了SQL Server Developer Edition的开发计算机,并且正在运行的IIS,所以默认的SQL Server帐户以及应用程序池的虚拟帐户都使用此用户权限(这些用户权限是dynamic地添加/删除的当应用程序池添加或删除时用户权限)。 没有SQL Server服务帐户添加到此用户权限,SQL Server甚至不会启动。 就个人而言,我觉得有一个强制GPO禁止本地用户权限的默认行为是很奇怪的。 IT部门添加了一大堆pipe理服务组以及一些特殊的用户组,这些组织似乎已被添加为组织中其他开发人员部门的解决方法。 纯粹的安全方面,我也质疑为什么其他开发部门应该在我们的计算机上访问“login即服务”时,他们真的只需要访问本地计算机。 问题 是否可以部署一个GPO的方式,所以它只会将服务器设置添加到本地设置而不是replace它们? 是可以部署一个GPO,仍然让它可以由本地用户编辑? 是否有可能以任何其他方式部署GPO,所以它不会影响本地设置? 它是否可以在解决方法中将用户组添加到服务器GPO,并且开发人员计算机上的本地pipe理员有权访问pipe理本地服务帐户并将其添加到此组? No 4中的方法是否可以与应用程序池中的虚拟帐户一起工作,还是需要直接访问用户权限,而不是通过用户组隐式地访问? 用户权限“login为服务”的GPO的最佳实践是什么? 自然而然地,用这个IT部门的方式处理用户似乎很奇怪。 环境 开发人员计算机:Windows 8.1企业工程 AD Server:domainControllerFunctionality:5 =(WIN2012); domainFunctionality:4 =(WIN2008R2); 森林function:4 =(WIN2008R2); 不知道这是否表示Win2008R2或Win2012服务器。 如果有关GPO部署的可能性的详细信息以及特定问题的最佳实践和创造性解决scheme,我们将非常感激!
应用的WMI筛选器对组策略被某些客户端忽略。 它可以在其他客户端上正常工作,返回正确的值,但在某些客户端上,它只是没有被应用,并且不会出现在组策略结果中。 组策略: 计算机设置:设置WSUSconfiguration 用户设置:[空] WMI筛选器: “select*从Win32_ComputerSystem其中标题= …” 组策略结果向导: 计算机configuration: 情况1:WMIfilter被某些客户端忽略,不过应用策略 案例2:正确应用WMIfilter,策略将仅适用于正确的客户端(因为它在wmifilter中定义) 用户configuration: 不pipeWMIfilter如何,都应用策略,但由于用户configuration为空,所以这没有问题 确定为什么某些客户忽略WMIfilter的最佳方法是什么? 编辑 Wmi已经过testing,可以在所有机器上工作。 似乎组策略dosn't在远程计算机上启动查询,而不是查询已启动,无法正常工作。
我正在努力解决这个问题。 最近,我在Win2k8 R2域控制器上创build了一个GPO,将屏幕设置为30分钟后locking。 然后将设置应用于包含所有相关用户的安全组。 但是,在某些Windows 7 Pro机器上,超时仅在4分钟后就会触发。 我已经检查了工作站,看到GPO正在被正确拉动(它是)。 我已经检查了registry设置,看看是否应用了GPO(这是),我也检查过,看看电源pipe理是不是干涉与自己的日程安排(事实并非如此)。 我已经在影响机器上运行gpupdate / force,但我仍然没有任何喜悦。 有没有人遇到过这个问题之前,或可能提供一个可能的原因,为什么锁屏早在26分钟之前应该是?
简短的问题:你可以使用组策略来允许用户禁用\启用设备,而不给予他们对机器的全部pipe理权限? 更详细的说明:当使用串口转USB适配器时,我们的机器会在注销\ reboot时崩溃。 串行设备从来没有被devise为突然断开与USB,并导致操作系统挂起。 解决方法是编写一个程序来检测注销\重新启动,阻止它们,禁用串行设备,然后继续注销。 除了我必须授予用户pipe理员权限给Windows机器外,它工作得非常好。
我正在运行一个实验室来testingGPO。 我试图在DFS共享上使用GPO映射networking共享项目。 这是我正在遵循的指南 。 作为testing,我将其更改为映射networking驱动器GPO用户configuration。 然后它工作正常。 为什么我想将其映射为“networking共享项目”并没有任何理由。 我只是testing的东西。 任何想法,为什么它不工作?
Windows Server 2012 R2和GPO。 我想提高安全性,所以我阻止了%AppData%\*.exe和%AppData%\*\*.exe Spotify当然停止工作。 我创build了另一个规则: %AppData%\Roaming\Spotify\Spotify.exe , %AppData%\Roaming\Spotify\SpotifyLauncher.exe并设置为Unrestricted 。 但仍然收到错误: 此程序被组策略阻止。 有关更多信息,请联系您的系统pipe理员。 任何build议如何解锁所选的程序?
我有一个为特定部门的用户devise的组策略对象,应删除所有现有的打印机映射,然后将所有用户映射到9台不同的打印机(全部在同一台服务器上)。 问题是“全部删除”项目似乎不起作用,然后九台打印机中的两台被跳过,最后没有安装到客户端PC上。 我比“全部删除”更关心跳过的打印机,虽然有趣的是它们都被跳过了。 值得注意的是,两台跳过的打印机是九台中唯一的两台佳能打印机(IR-ADV 8295),并共享一个驱动程序。 我在故障排除期间更新了驱动程序,没有任何效果 我目前正在自行解决这个问题。 我将自己添加到目标组,并创build了一个链接到我的OU。 所有客户端PC都是Windows 7 x64,所有打印机都在服务器上安装了关联的x64驱动程序(服务器上没有安装32位驱动程序)。 以下是我尝试过的其他事情: 在客户端计算机上检查了事件查看器,并在“应用程序和服务 – > Microsoft – > Windows – > GroupPolicy – > Operational”或任何Windows日志中发现任何相关内容。 在服务器上检查打印机configuration(例如权限)和所有九台打印机都有统一的configuration。 检查了GPO项目的拼写错误和configuration问题,并且所有九个项目都统一configuration,没有错误。 发现跳过的打印机可以手动映射/安装成功。 启用GPO中的指向和打印策略,并设置为“不显示警告”,这两个下拉菜单都没有区别。 在运行GPO之前安装打印机驱动程序,这没有什么区别。 如果您有任何build议,请通知我!
我有一个混合了物理和虚拟服务器的域。 前一段时间,另一个pipe理员可能已经在客户端执行了一些手动脚本更新,这些更新现在阻止安全设置中的更改到达客户端。 组策略中其他位置所做的更改可以更新。 单域控制器 – 这是由合同政策驱动的,但我把它放在那里,因为我不明白如何复制可能是一个问题,但我打开任何想法。 旧的系统pipe理员正在使用“默认域策略”,而不是用于该站点的自定义命名策略。 我将旧策略复制到一个新名称,并取消了默认策略的链接。 当我在客户端上运行gpupdate / force时,它不会给出任何错误,也不会在日志中出现。 当我运行rsop时,我仍然看到默认域策略作为安全设置的获胜策略,但是在其他地方它是最新命名的策略。 对我来说非常有趣的是,当我右键单击RSOP的属性时,我只能看到它绘制了新的策略名称,而无法find默认的域策略。 RSOP也不会引发错误。 这是我迄今为止没有成功完成的工作:1.备份和删除HKCU \ Software \ Policies 2.备份和删除HKLM \ Software \ Policies 3.备份和删除HKCU \ Software \ Microsoft \ Windows \ Current Version \ Group策略4.备份并删除HKLM \ Software \ Microsoft \ Windows \ Current Version \组策略5.删除c:\ Windows \ System32 \ Group Policy文件夹6.在DC上进行了非授权回滚 我在search过程中find的所有build议。 我有点困惑于什么可能造成这一点。 机器的所有其他行为都与良好的DNS设置一致。 […]
任何人都知道确保closuresbatch file(本地计算机策略 – > Windows设置 – > Scrips – >closures)的方法是在机器closures之前运行的最后一件事情? 在closures脚本在Hyper-V虚拟机暂停之前运行的那一刻,我想要的是在closures脚本运行之前暂停虚拟机。
我想login到Windows Server 2012.它昨天工作,但今天我无法input我当前的密码,因为H和V键不起作用,我的密码包括H 我连接了另一个键盘,但问题没有解决。 我将当前的键盘连接到另一个系统,并正常工作。 此外, On screen keyboard的H和V键不起作用。 我认为这是司机的问题。 我尝试重新启动服务器,但是我无法启动,因为名为“ closures:允许系统closures而无需login”的设置尚未启用。 那么,我在做什么? 任何帮助,赞赏。