Perguntas[group-policy](server)

Gostaria de permitir que usuários padrão instalem meu aplicativo que requer permissões elevadas, por exemplo, instalando "Por máquina" que grava em C:\Arquivos de Programas.

Há várias maneiras de fazer isso, mas a menos intrusiva (comparada à publicidade/publicação/SCCM) parece ser habilitar a política de grupo "Sempre instalar com privilégios elevados".

Isso obviamente é um risco de segurança, mas pode ser adequadamente mitigado configurando o AppLocker para executar apenas MSIs assinados por um ou mais editores específicos ou há alguma solução alternativa para abusar disso?

Gostaria que em um servidor Windows 2022 editasse o comportamento de login da área de trabalho remota.

Disseram-me que é possível solicitar a senha APÓS a conexão ter sido estabelecida. Para conseguir isso devo editar um gpo dentro da máquina.

Deixe-me explicar, neste momento a senha é solicitada antes de a conexão ser estabelecida, mas o que eu quero é que a senha seja solicitada em uma tela de login na máquina remota.

Temos uma ferramenta (exe portátil) que é executada a partir de um servidor local em um domínio tradicional que é iniciado no login do usuário via GP (e também pode ser executado a partir do script de logon). Ele faz referência a um local no servidor de domínio da maneira tradicional de \server\folder\app.exe.

O Azure é basicamente inevitável e a Microsoft, até onde pude determinar, não tem nenhum documento de transição para isso. É vasto e escrito para assumir que deveríamos saber muito que não sabemos.

Qual é o caminho para isso? E sim, passei dias lendo os vastos documentos do MS online - muito voltado para o conhecimento prévio e zero para "Então, você é novo nessas partes".

Tenho algumas alterações em uma política que gostaria de aplicar a outros domínios. Estou querendo copiar esta política para esses outros domínios para não ter que criá-los para cada dc.

A maior parte do que vi disse para clicar com o botão direito do mouse no GPO e fazer backup, mas não tenho essa opção. A outra maneira era fazer o seguinte: "Na árvore do Console de Gerenciamento de Diretiva de Grupo, clique em Alterar Controle na floresta e no domínio em que você deseja gerenciar os GPOs.". Não consigo encontrar onde a opção Change Control está localizada.

Estou indo pelo caminho errado ou isso não é possível? Estou apenas tentando economizar tempo e não ter que refazer a política para cada domínio.

Alguma sugestão?

juntamos uma máquina Windows 11 pela primeira vez ao nosso domínio, mas algo não está funcionando como esperado. Por exemplo, a máquina não pode receber ping, embora o GPO do domínio defina uma regra no firewall para permitir isso.

Computer Configuration 
 Policies 
  Administrative Templates  
   Network/Network Connections/Windows Defender Firewall/Domain Profile 
    Allow inbound echo request Enabled

A política acima é aplicada à máquina Windows 11 ofensiva, conforme mostrado em rsop.msc, e o servidor foi atualizado com arquivos .ADMX do Windows 11 de 21 de outubro previamente ...

O perfil de rede da máquina Windows 11 parece estar definido corretamente como domínio:

PS C:\windows\system32> Get-NetConnectionProfile                                                                        

Name             : ourdoamin.blablabla
InterfaceAlias   : WiFi
InterfaceIndex   : 10
NetworkCategory  : DomainAuthenticated
IPv4Connectivity : Internet
IPv6Connectivity : NoTraffic

Definimos " Servidor de rede Microsoft: nível de validação de nome de destino SPN do servidor " como "Obrigatório do cliente" em nosso GPO de teste.

Nossos sistemas de teste têm alguns aliases de máquina personalizados em seus arquivos de hosts, mas uma vez que a opção é ativada, não podemos mais acessar compartilhamentos SMB usando o alias de máquina.

Eu lutei para encontrar informações sobre essa interação, então esperava que alguém pudesse explicar a interação aqui e se há uma maneira de remediar isso?

Link para a imagem: https://gcdnb.pbrd.co/images/pwQHQ7qj8ere.png

Estou tentando implantar fontes via GPO, mas elas se recusam a ser instaladas dentro da pasta Window. Eu tentei quase todos os métodos. Eu também fiz um local simulado em C:\Test e as fontes foram implantadas com sucesso. Alguma ideia?

Eu tenho um problema de implantação de GPO que tenho cada vez mais certeza de que não é factível, mas como não vejo como resolvê-lo de outra maneira, pergunto aqui.

Aqui está minha configuração e o que eu preciso:

• se um usuário do grupo de segurança grpA fizer logon na máquina, o PC obterá o GPO-A
• se um usuário do grupo de segurança grpB logar na máquina, o PC obterá o GPO-B

Aqui a configuração única que estou tentando enviar agora (linguagem da interface do usuário do Windows) GPO

Mas no momento, o que eu faço com a filtragem de segurança e/ou as delegações, só todos pegam o gpo, ou ninguém, e quando ativo os dois GPOs, é o mesmo quem ganha para todos os usuários sempre que estiverem em grpA ou grpB . Quem faz sentido, já que é uma configuração de computador.

Mas nosso problema é que qualquer um pode se conectar em qualquer máquina, e a máquina tem que mudar de idioma dependendo de quem está nela, e um novo usuário com uma necessidade de linguagem aleatória pode se conectar a cada 45 minutos (somos uma escola), então cada máquina tem que ser capaz de dinamicamente capaz de mudar de idioma.

E nada nas configurações do usuário (que encontrei pelo menos), é capaz de alterar o idioma da interface do Windows, o melhor que consegui é que o teclado muda conforme o esperado dependendo de quem loga na máquina.

Portanto, agora que a Microsoft lançou o push do Windows 11, os usuários finais da nossa empresa estão recebendo os avisos. Entrando na Diretiva de Grupo, fiz uma alteração descrita aqui e em outras fontes --> https://www.pdq.com/blog/how-to-block-the-windows-11-upgrade/ . Aqui está a entrada que fiz.

Após a alteração e algumas reinicializações e a emissão do comando gpupdate /force em um PC de teste com Windows 10, o PC ainda está recebendo o prompt de atualização do Windows 11. Olhando no registro desse PC, vejo as novas chaves/valores adicionados conforme o esperado. Alguma sugestão de como finalmente colocar essa coisa na cama? Não tenho o WSUS e, normalmente, a Diretiva de Grupo é suficiente.

Meu objetivo seria dividir nossa enorme UO "Usuário" (não a padrão!) em diferentes sub-OUs do respectivo departamento. Então, quero vincular os GPOs aos diferentes departamentos, mas de alguma forma "restringir" a aplicação deles ao Host de Sessão RD. Eu queria saber se existe uma maneira de fazer isso sem ter cerca de 15 GPOs vinculados apenas à UO "Host de Sessão RD" e nenhum às UOs do departamento. Além disso, seria bom poder ter o mínimo possível de segmentação no nível do item.

As razões são: Parece mais agradável, administração mais rápida, melhor visão geral.

Eu gostaria de conseguir isso sem software de terceiros, ou seja:

https://www.policypak.com/resources/pp-blog/group-policy-loopback/

Você também poderia comentar se você também se deparou com o mesmo problema?

Diga-me se você sabe que não é possível.