Articles of 组策略

防止来自特定机器的身份validation

我有两个主域和DEV域。 这两个都包含各种应用程序的匹配服务帐户。 PRIMARY也包含用户帐户我们有单向信任关系,使得DEV信任PRIMARY,以便用户不需要匹配的帐户login到DEV机器。 但是,我们希望阻止DEV服务帐户尝试在PRIMARY中打资源(并且由于密码不同,导致PRIMARY中的服务帐户被locking)。

在辅助域控制器上启用Windows时间服务

我在工作场所有一个有趣的场景。 我们的主域控制器开始失败,所以我们安装了一个辅助域控制器,以便在主服务器失败时允许用户login。 最终主要死亡(主板)。 我用相同的型号replace了主板,操作系统工作99%。 但是,当我将原来的主域控制器重新插入networking时,一些用户会遇到奇怪的行为,比如随机没有域权限等。 无论如何,我们目前的主要域控制器都离开了networking,大部分的备份工作正常。 我一直注意到时间不同步。 现在,当我试图通过从客户机运行强制它: >w32tm /resync 我收到以下消息: Sending resync command to local computer The computer did not resync because no time data was available. 从我所读到的,似乎默认情况下,在域configuration中,时间服务器被设置为主域控制器。 有没有一种方法可以将辅助/备份域控制器设置为时间服务器,以便客户端计算机能够与域同步? 如果这是不可能的,是否有一种简单的方法(通过命令行或通过GPO)将客户端configuration为仅使用全局时间服务器(如time.windows.com)进行同步?

移除由gpo给出的驱动器

我有几个GPO通过安全组来提供映射的驱动器。 但是,当我从组中移除某个人时,驱动器仍然显示。 用户没有访问权限,但仍然显示。 有没有办法从用户中删除映射的驱动器,而不会影响具有相同映射的其他用户?

完成将驱动器映射到login的用户的任务

我已经search了这个,发现了一些小块,但我认为这个问题将是足够具体的,我想确保我得到它是正确的。 所以我想要我们统一我们所有不同的部门映射驱动器号,所以每个用户使用相同的驱动器号为他们自己的个人驱动器,我们如何有相应的服务器与驱动器设置是“\ Server \ Division \ USR \用户“,我想创build一个login脚本,将该path映射到特定的员工,所以当我们获得新员工时,它会映射到他们自己的用户文件夹。 问题是所有的文件夹与我们目前的“First.Last”结构不一致,在这种情况下,我可以根据//Server/Division/Usr/First来做一些事情。最后,旧的结构是First,然后是他们最后的第一个字母。 所以我的问题是什么是完成这个的理想方式,我是相当入门级的脚本,但我已经学会了足够做一个pipe理员必要的PowerShell任务,但我真的潜入它最近,而不是确定如何最好地做到这一点,所以我想我会问在这里看看可以提供什么input。 我还要说,每个员工拥有的windowslogin名都是“first.last”,所以这就是我们要移动到的文件夹结构,但并不是所有的东西都完美排列,所以我不确定我可以使用哪种解决方法通配符或类似的声明基于当前的Windowslogin..

禁用所选网站的IE兼容模式

我知道有一些支持特定域和地址的兼容模式的支持方法,但反过来呢? 在我的情况下,我想将设置保持为对用户开放,但是默认情况下会有一小部分网站在启用“兼容模式”的情况下无法呈现。 似乎应该有一个简单的方法来做到这一点,通过GP,我只是失踪或不理解。 其他人从这个angular度来看待IE兼容性模式策略?

域控制器命名组策略

我有两个域控制器设置一个192.168.1.10 companyname.local和192.168.1.20 companyname.local作为备份。 我是重build备份的任务,并使其成为主要的域控制器。 我离线备份,并重build它应该我从公司名称。本地更名为ad.companyname.com。 这是与服务器2012这只是托pipeDNS活动目录没有DHCP。 小组10个用户。 我也在testing组策略添加networking驱动器。 它工作的用户login添加驱动器B:但是当用户注销和新用户login与不同的驱动器F:它会删除其他用户驱动器B:显示两个驱动器。 这个testing是在不同用户login的同一台计算机上完成的。

安全筛选在GPO中不起作用

不知道这是否是正确的地方问这个问题。 在我的域控制器上,我创build了一个OU中的所有用户和计算机。 我有一个名为Support的组,位于用户计算机上的本地pipe理员组中。 经过身份validation的用户被设置为不能访问控制面板,也无法读取或写入CD / DVD驱动器。 另一个政策我有另一个政策题为“用户支持”,它允许访问的CD / DVD驱动器和控制面板的范围,支持组,而我的基本用户策略的范围为authentication用户组。 我认为,启用策略拒绝用户在CD / DVD驱动器上访问已authentication的用户可能会与此支持组禁用的相同选项冲突,但现在即使不在支持组中的用户也可以访问CD / DVD驱动器。 我需要做些什么来解决这个问题

为什么我的PolicyDefintions文件夹被重命名?

我试图用Windows 10的新策略更新我们的中央商店。最初,我在同一位置复制了一个商店,并将其命名为.bak以防万一。 我将本地定义文件夹成功复制到存储中。 不过,我现在看,看到文件夹名称: PolicyDefinitions_NTFRS_45859c8a PolicyDefinitions_NTFRS_49198af0 毫不奇怪,当我重命名其中一个放弃新的后缀时,它很快就被重新绑定了。 我正在其中一个域控制器上进行这些更改。 我们有4个广告网站和6个DC。 所以这与FRS有关,但是在日志中我看不到与此有关的错误。 我不确定这是什么问题。 复制似乎仍在工作,因为新的名字在我所有的其他DC上都能看到。 然而,组策略不会从中央存储中提取模板; 只是我的本地电脑。

组策略设置,以防止询问用户在哪里存储恢复密钥

Win10电脑,2012R2域名 我正在推出BitLocker客户端,我试图尽可能限制bitlocker向导中的选项。 我需要用户运行向导,以便他们可以设置一个引脚,但我不希望用户被提示在何处/如何存储他们的恢复密钥。 我已经设置备份到AD的密钥以及“需要bitlocker备份到AD”,所以我知道他们是安全的。 我不希望他们跟踪他们的密钥副本,这也是一个可能的安全风险。 是否有一个策略阻止位锁设置向导中的此提示?

服务器pipe理共享打开为本地pipe理员?

这是一个新的域控制器。 我创build了用户并创build了一个名为Local Admin的安全组。 用户是这个组的成员。 我创build了域组策略,并使用受限制的组策略将本地pipe理员组添加到客户端的pipe理员组(计算机configuration>策略>安全设置>受限制的组>新build>本地pipe理员>成员>pipe理员) 奇怪的是,当这些用户login到客户端时,他们有权访问\ server_name \ c $(admin shares)。 从本地pipe理员组中删除用户时,访问被拒绝。 为什么客户pipe理员可以访问这些共享? 还是我在做一些非常错误的事情?