我有一个包含 Microsoft 特定管理模板的主域。当我在子域中进行更改时,这些模板不会显示在子域的域控制器上。为什么它们不将这些模板作为复制的一部分传递下去?我应该将管理模板放在子域的哪里,以便我可以编辑这些设置?
我确实尝试将名为 PolicyDefinitions 的文件夹添加到子域 DC 上的 C:\Windows\SYSVOL\SYSVOL\DOMAIN,但当我加载 GPO 时,它看到的包含该文件夹的唯一管理模板是新管理模板,没有任何默认模板。它们是藏在某个地方还是指向顶部?
我想允许标准用户安装需要提升权限的应用程序,例如安装写入 C:\Program Files (x86) 的“每台机器”。
有很多方法可以做到这一点,但最不具侵入性(与广告/出版/ SCCM 相比)似乎是启用组策略“始终以提升的权限安装”。
这显然是一个安全风险,但是可以通过将 AppLocker 配置为仅运行由一个或多个特定发布者签名的 MSI 来适当缓解这一风险吗?或者是否有一些解决方法可以滥用这一点?
我想在 Windows Server 2022 中编辑远程桌面的登录行为。
有人告诉我,建立连接后可以要求输入密码。为了获得这一点,我应该在机器内编辑一个 gpo。
让我解释一下,现在在建立连接之前会询问密码,但我想要实现的是在远程计算机上的登录屏幕上询问密码。
我们有一个工具(便携式 exe),可以从传统域中的本地服务器运行,该工具在用户通过 GP 登录时启动(也可以从登录脚本运行)。它以 \server\folder\app.exe 的传统方式引用域服务器上的位置。
Azure 基本上是不可避免的,而据我所知,微软还没有相应的过渡文档。它内容庞大,编写时假设我们应该知道很多我们不知道的事情。
实现这一目标的途径是什么?是的,花了几天时间阅读大量的在线 MS 文档 - 太多的内容是基于先验知识,而零是“所以,你在这些方面是新手”。
我对政策进行了一些更改,我想将其应用到其他域。我想将此策略复制到这些其他域,这样我就不必为每个 dc 创建它们。
我看到的大部分内容都说右键单击 GPO 和备份,但我没有那个选项。另一种方法是执行以下操作:“在组策略管理控制台树中,单击要在其中管理 GPO 的林和域中的更改控制。”。我找不到更改控制选项所在的位置。
我这样做是错误的方式还是不可能?我只是想节省时间,而不必为每个域重做策略。
有什么建议么?
我们第一次将 Windows 11 机器加入我们的域,但是有些东西没有按预期工作。例如,机器无法被 ping,尽管域 GPO 在防火墙中设置了一个规则来允许这样做。
Computer Configuration
Policies
Administrative Templates
Network/Network Connections/Windows Defender Firewall/Domain Profile
Allow inbound echo request Enabled
上述策略适用于有问题的 Windows 11 机器,如 rsop.msc 所示,并且该服务器已预先使用 Windows 11 October 21 .ADMX 文件进行了更新...
Windows 11 机器的网络配置文件似乎正确设置为域:
PS C:\windows\system32> Get-NetConnectionProfile
Name : ourdoamin.blablabla
InterfaceAlias : WiFi
InterfaceIndex : 10
NetworkCategory : DomainAuthenticated
IPv4Connectivity : Internet
IPv6Connectivity : NoTraffic
我们在测试 GPO 上将“ Microsoft 网络服务器:服务器 SPN 目标名称验证级别”设置为“客户端需要”。
我们的测试系统在它们的主机文件中有一些自定义机器别名,但是一旦打开该选项,我们就不能再使用机器别名访问 SMB 共享。
我一直在努力寻找有关这种互动的信息,所以希望有人能够在这里解释这种互动,是否有办法补救?
图片链接:https ://gcdnb.pbrd.co/images/pwQHQ7qj8ere.png
我正在尝试通过 GPO 部署字体,但它们拒绝安装在 Window 文件夹中。我几乎尝试了所有方法。我还在 C:\Test 做了一个模拟位置,并且字体成功部署。有任何想法吗?
我有一个 GPO 部署问题,我越来越确定它不可行,但由于我不知道如何以任何其他方式解决它,所以我在这里问它。
这是我的设置和我需要的:
- 如果来自安全组 grpA 的用户登录机器,PC 将获得 GPO-A
- 如果来自安全组 grpB 的用户登录机器,PC 将获得 GPO-B
这是我现在尝试推送的单一设置(Windows UI 语言) GPO
但是目前,无论我对安全过滤和/或授权做什么,只有每个人都可以获得 gpo,或者没有人获得,当我激活两个 GPO 时,无论何时他们在 grpA 或 grpB 中,为所有用户赢得胜利都是一样的. 谁说得通,因为它是计算机设置。
但是我们的问题是任何人都可以在任何机器上连接,并且机器必须根据使用的人来更改语言,并且具有随机语言需求的新用户可以每 45 分钟连接一次(我们是一所学校),所以每台机器必须能够动态地切换语言。
用户设置(至少我发现)没有任何东西能够更改 Windows UI 语言,我能得到的最好的结果是键盘会根据谁登录机器而按预期更改。
所以现在微软已经推出了他们的 Windows 11 推送,我们公司的最终用户正在得到提示。进入组策略,我在此处和其他来源进行了描述-> https://www.pdq.com/blog/how-to-block-the-windows-11-upgrade/。这是我做的条目。
更改并重新启动几次并在测试 Windows 10 PC 上发出gpupdate /force命令后,PC 仍会收到 Windows 11 升级提示。查看那台 PC 的注册表,我确实看到了按预期添加的新键/值。有什么建议可以最终解决这个问题吗?我没有 WSUS,通常组策略就足够了。