Perguntas[group-policy](server)

Tenho um domínio principal com modelos de administração específicos da Microsoft. Quando vou fazer alterações no meu domínio filho, esses modelos não aparecem no controlador de domínio do domínio filho. Por que eles não passam esses modelos como parte da replicação e onde coloco os modelos de administração no domínio filho para que eu possa editar essas configurações?

Eu tentei adicionar uma pasta chamada PolicyDefinitions a C:\Windows\SYSVOL\SYSVOL\DOMAIN no DC do domínio filho, mas quando eu carrego o GPO, os únicos modelos de administração que ele vê com essa pasta são os novos modelos de administração e nenhum dos padrões. Eles estão escondidos em algum lugar ou se referem ao topo?

Gostaria de permitir que usuários padrão instalem meu aplicativo que requer permissões elevadas, por exemplo, instalando "Por máquina" que grava em C:\Arquivos de Programas.

Há várias maneiras de fazer isso, mas a menos intrusiva (comparada à publicidade/publicação/SCCM) parece ser habilitar a política de grupo "Sempre instalar com privilégios elevados".

Isso obviamente é um risco de segurança, mas pode ser adequadamente mitigado configurando o AppLocker para executar apenas MSIs assinados por um ou mais editores específicos ou há alguma solução alternativa para abusar disso?

Gostaria que em um servidor Windows 2022 editasse o comportamento de login da área de trabalho remota.

Disseram-me que é possível solicitar a senha APÓS a conexão ter sido estabelecida. Para conseguir isso devo editar um gpo dentro da máquina.

Deixe-me explicar, neste momento a senha é solicitada antes de a conexão ser estabelecida, mas o que eu quero é que a senha seja solicitada em uma tela de login na máquina remota.

Temos uma ferramenta (exe portátil) que é executada a partir de um servidor local em um domínio tradicional que é iniciado no login do usuário via GP (e também pode ser executado a partir do script de logon). Ele faz referência a um local no servidor de domínio da maneira tradicional de \server\folder\app.exe.

O Azure é basicamente inevitável e a Microsoft, até onde pude determinar, não tem nenhum documento de transição para isso. É vasto e escrito para assumir que deveríamos saber muito que não sabemos.

Qual é o caminho para isso? E sim, passei dias lendo os vastos documentos do MS online - muito voltado para o conhecimento prévio e zero para "Então, você é novo nessas partes".

Tenho algumas alterações em uma política que gostaria de aplicar a outros domínios. Estou querendo copiar esta política para esses outros domínios para não ter que criá-los para cada dc.

A maior parte do que vi disse para clicar com o botão direito do mouse no GPO e fazer backup, mas não tenho essa opção. A outra maneira era fazer o seguinte: "Na árvore do Console de Gerenciamento de Diretiva de Grupo, clique em Alterar Controle na floresta e no domínio em que você deseja gerenciar os GPOs.". Não consigo encontrar onde a opção Change Control está localizada.

Estou indo pelo caminho errado ou isso não é possível? Estou apenas tentando economizar tempo e não ter que refazer a política para cada domínio.

Alguma sugestão?

juntamos uma máquina Windows 11 pela primeira vez ao nosso domínio, mas algo não está funcionando como esperado. Por exemplo, a máquina não pode receber ping, embora o GPO do domínio defina uma regra no firewall para permitir isso.

Computer Configuration 
 Policies 
  Administrative Templates  
   Network/Network Connections/Windows Defender Firewall/Domain Profile 
    Allow inbound echo request Enabled

A política acima é aplicada à máquina Windows 11 ofensiva, conforme mostrado em rsop.msc, e o servidor foi atualizado com arquivos .ADMX do Windows 11 de 21 de outubro previamente ...

O perfil de rede da máquina Windows 11 parece estar definido corretamente como domínio:

PS C:\windows\system32> Get-NetConnectionProfile                                                                        

Name             : ourdoamin.blablabla
InterfaceAlias   : WiFi
InterfaceIndex   : 10
NetworkCategory  : DomainAuthenticated
IPv4Connectivity : Internet
IPv6Connectivity : NoTraffic

Definimos " Servidor de rede Microsoft: nível de validação de nome de destino SPN do servidor " como "Obrigatório do cliente" em nosso GPO de teste.

Nossos sistemas de teste têm alguns aliases de máquina personalizados em seus arquivos de hosts, mas uma vez que a opção é ativada, não podemos mais acessar compartilhamentos SMB usando o alias de máquina.

Eu lutei para encontrar informações sobre essa interação, então esperava que alguém pudesse explicar a interação aqui e se há uma maneira de remediar isso?

Link para a imagem: https://gcdnb.pbrd.co/images/pwQHQ7qj8ere.png

Estou tentando implantar fontes via GPO, mas elas se recusam a ser instaladas dentro da pasta Window. Eu tentei quase todos os métodos. Eu também fiz um local simulado em C:\Test e as fontes foram implantadas com sucesso. Alguma ideia?

Eu tenho um problema de implantação de GPO que tenho cada vez mais certeza de que não é factível, mas como não vejo como resolvê-lo de outra maneira, pergunto aqui.

Aqui está minha configuração e o que eu preciso:

• se um usuário do grupo de segurança grpA fizer logon na máquina, o PC obterá o GPO-A
• se um usuário do grupo de segurança grpB logar na máquina, o PC obterá o GPO-B

Aqui a configuração única que estou tentando enviar agora (linguagem da interface do usuário do Windows) GPO

Mas no momento, o que eu faço com a filtragem de segurança e/ou as delegações, só todos pegam o gpo, ou ninguém, e quando ativo os dois GPOs, é o mesmo quem ganha para todos os usuários sempre que estiverem em grpA ou grpB . Quem faz sentido, já que é uma configuração de computador.

Mas nosso problema é que qualquer um pode se conectar em qualquer máquina, e a máquina tem que mudar de idioma dependendo de quem está nela, e um novo usuário com uma necessidade de linguagem aleatória pode se conectar a cada 45 minutos (somos uma escola), então cada máquina tem que ser capaz de dinamicamente capaz de mudar de idioma.

E nada nas configurações do usuário (que encontrei pelo menos), é capaz de alterar o idioma da interface do Windows, o melhor que consegui é que o teclado muda conforme o esperado dependendo de quem loga na máquina.

Portanto, agora que a Microsoft lançou o push do Windows 11, os usuários finais da nossa empresa estão recebendo os avisos. Entrando na Diretiva de Grupo, fiz uma alteração descrita aqui e em outras fontes --> https://www.pdq.com/blog/how-to-block-the-windows-11-upgrade/ . Aqui está a entrada que fiz.

Após a alteração e algumas reinicializações e a emissão do comando gpupdate /force em um PC de teste com Windows 10, o PC ainda está recebendo o prompt de atualização do Windows 11. Olhando no registro desse PC, vejo as novas chaves/valores adicionados conforme o esperado. Alguma sugestão de como finalmente colocar essa coisa na cama? Não tenho o WSUS e, normalmente, a Diretiva de Grupo é suficiente.