我得到了一个问题,这是我的驾驶室之外,我不知道解决这个问题的最好方法。 我试图解决的问题是双重的: 删除具有无理由的pipe理员权限的帐户。 剥夺用户级帐户的pipe理员权限。 我想在login时运行PowerShell脚本,从pipe理员组中拉取帐户并将其保存到networking驱动器上的csv。 我编写了脚本并在本地进行了testing,工作起来非常完美。 但是,我想写的份额只能由networking安全团队访问。 我相信,如果我运行脚本作为NT AUTHORITY / SYSTEM帐户,我也可以写入networking共享W / O问题。 所以,我的问题是: 我是否需要将此脚本设置为GPO脚本以确保使用正确的帐户? 我是否正确NT AUTHORITY / SYSTEM将能够拉我想要的帐户,并写入networking共享? 有没有另外的方法来做到这一点,我不考虑?
我创build了一个testing域,并创build了一个GPO,它限制了对所有可移动介质的写入权限,并将其应用到我所有用户所在的根OU。 但是我知道,最终会有一些人需要写USB等等(主要是CEO和IT人员) 试图解决如何使用安全组来做到这一点,所以如果用户是特定安全组的一部分,那么该特定的GPO将不会被应用
我有几个在其LOCAL组策略下configuration了IPSec的Server 2008 R2域控制器。 这些条目不存在于Windows防火墙或networkingGPO中。 这些政策陈旧而复杂,阻止我们增加新的区议会。 我正在寻找出口/转储的规则,所以我可以简化和testing在一个单独的环境。 我的首选解决scheme将在CMD / PowerShell中。
如何远程获得在Win2k8环境中应用于计算机的GPO列表? 我宁愿一个PowerShell的解决scheme,但任何事情都会有所帮助。
如何通过使用组策略等方式同时更改一组客户端PC上的boot.ini文件?
问题: 我们有一个网站,其中有Windows 2000和Windows XP机器的混合。 这些帐户目前拥有可以安装授权/未授权软件的具有pipe理权限的用户帐户。 我们想限制这样的活动, 用户可以安装/卸载预先批准的软件列表。 用户可以不受限制地访问所有其他系统资源(除软件安装以外的所有pipe理权限)。 我正在寻找一种方法来实现这个使用任何MS或第三方工具。 所有的build议都欢迎。 编辑:鉴于这些挑战,会有什么build议?
这是我第一次尝试创build组策略来为我们的域中的计算机安装软件产品。 当我尝试添加一个包时,我收到以下错误: 添加操作失败。 无法从软件包中提取部署信息。 在包上运行validation以确保包是正确的。 以下是我已经采取的步骤来达到这一点: 在Active Directory中,右键单击“域”并select“属性” 点击新buildbutton来创build一个新的组策略对象 命名该对象 select新的组策略对象并单击编辑button 在“组策略编辑器”对话框的“计算机”下 软件设置| 软件安装“节点,右键单击并select”新build包“命令。 MSI文件的path是一个有效的UNCpath(MSI文件所在的共享已被共享给我们的域中的用户 – 完全控制)。 点击“打开”selectMSI文件 在“部署软件”对话框下,select“已分配”,然后单击“确定” 稍等片刻(10 – 15秒)后,将显示上述错误信息 疑难解答步骤我试过date: 确保软件没有安装在服务器上 使用MSI文件在另一台机器上安装软件,以确保MSI的工作。 确认服务器上的Windows卷有足够的可用磁盘空间(100 + GB)。
有关组织目前有一个GPO集,主要是在IE6天设置的。 该GPO强制执行公司门户页面的不可更改主页。 由于引入了IE7和标签式浏览function,他们希望将公司门户作为主页,并将第二个标签页设置为search引擎(Google / Bing – Whatever)。 我看不到用组策略设置的方法。 看起来GPO不是tab / IE7意识到的。 或者,那只是我的版本/系统。 任何人都可以提出一个方法来做到这一点
情况: 位于同一地点的DC通过T1连接到客户端工作位置。 T1的平均使用量约为2/3。 全部1个Active Directory。 我试图通过GPO在工作位置为客户部署一个启动脚本。 它似乎在一些电脑上工作,而不是在其他电脑上工作,但始终如一。 例如,它将始终在PC1上工作,并始终不在PC2上工作。 即使在相同的位置。 我打开netlogon日志logging,下面是“不工作”的个人电脑之一报告… 一旦他们login其他GPO的工作。 我知道倾向是说这是一个DNS问题,但logging是好的,其他电脑工作正常。 我也重新将计算机添加到域… 此外,在DC /服务器位置,还有其他服务器报告“RPC服务器没有响应”与Netlogon启动有关,而次DC每隔一段时间都会抛出关于“没有来自终点映射器的端点”的DFS错误另一台服务器… 也许区议会已经过时了? 任何方式家伙认为确认? 只有约2个DC的90个工作站/服务器。 2个工作地点和1个可乐设施。 我做了一些netstat -an看看发生了什么,他们平均15-20“TIME_WAIT” 思考? 15:27:28 [INIT]组策略没有为Netlogon定义 09/16 15:27:28 [INIT]以下是parsing后的有效值 09/16 15:27:28 [INIT] Sysvol = C:\ WINDOWS \ SYSVOL \ SYSVOL 09/16 15:27:28 [INIT] Scripts =(null) 09/16 15:27:28 [INIT] SiteName(0)=默认的第一个站点名称 09/16 15:27:28 [INIT] RpcDacl =(null) 09/16 15:27:28 [INIT]脉冲= […]
我们正在使用以下组策略来控制Internet Explorer安全区域: 用户configuration\pipe理模板\ Windows组件\ Internet Explorer \ Internet控制面板\安全页面 然后使用以下图表将各个值设置为“区域分配列表 ”: 价值设定 —————————— 0我的电脑 1个本地Intranet区域 2可信站点区域 3互联网区 4个受限站点区域 这很好, 但是 ,用户无法编辑(或特别是添加)到他们的区域设置。 有没有办法locking我们的自定义区域设置,同时仍然允许用户将自己的网站添加到安全区域? 是的,我意识到开放这个安全风险很小。