我有一个带有通过用户首选项映射的打印机的 GPO。每台打印机都需要仅针对特定 IP 范围内的计算机进行项目级定位。我有一个大约 92 个范围的列表,需要添加到十几台左右的打印机中。
我知道添加 IP 范围的唯一方法是通过 GUI 通过单击新建项目 -> IP 地址范围,然后键入范围的每个开始和结束地址,然后点击项目选项 -> 或(默认是 AND),然后点击 OK... 一次 1 个范围... 用于 12 台打印机。
地狱里没有办法我用手做这个!
有没有办法编写这个脚本?或者至少批量添加范围?
通过组策略实施文件夹重定向时,设置选项卡上有一个复选框,显示“还将重定向策略应用于 Windows 2000、Windows 2000 Server、Windows XP 和 Windows Server 2003 操作系统。 ”
当我在谷歌上搜索这个复选框时,我发现的只是关于文件夹重定向的一般方法文章,支持文章说一件坏事或另一件事正在发生,因为它被检查或未被检查,或者论坛充满了人们的建议显然不知道他们在做什么。
我知道文件夹重定向是如何工作的。我也知道如何阅读。我想知道的是,从技术角度来看,这个设置实际上做了什么?
我们的环境中没有任何 XP 或 Server 2003 机器,所以这个复选框与我无关。但是今天我发现一个流氓组策略正在破坏文件服务器上的权限,这是因为它启用了“授予用户独占权限... ”复选框。我需要禁用它,但该策略也设置了此选项,我想知道这将如何/是否会影响它所应用的终端服务器。
我正在使用 SCCM 1607(又名 SCCM 2016)中的任务序列安装一个相当复杂的软件。在任务序列中,我有一个 try/catch 块,因此如果 TS 失败,我可以将计算机恢复到工作状态。
像这样:
这里的问题是,当任务序列中出现实际故障时,错误处理例程会完成它的工作,并且任务序列会优雅地退出。我在序列中捕获自己的日志以反映错误,但就 SCCM 而言,安装是成功的。用户不会收到任何类型的通知,并且应用程序在软件中心中显示为已安装,即使它不是。我必须查看自己的日志才能获得任何类型的错误报告,SCCM 永远不会自行重试安装。
作为错误处理块的最后一步,如何强制任务序列失败?我希望用户看到错误并致电服务台。我还希望能够在 SCCM 控制台中看到故障,并且我希望 TS 自行重试(旧版本在使用中无法卸载并且我在测试中看到的几乎所有故障都是因为用户在 TS 有机会删除它之前登录并启动它)。
我最近使用 Adobe 自定义向导为最新版本的 Acrobat Reader DC 创建了自定义转换 (.mst) 文件并将其部署到我们的网络。今天我发现自定义设置阻止了我们自己的 Intranet 上的 Sharepoint 文档打开。这是我误点击的一个复选框。我已更正错误并更新了分发点。
我遇到的问题是 Windows Installer 不允许您.mst事后应用文件。您必须完全卸载/重新安装应用程序才能应用一组不同的转换。SCCM 无法执行此操作。如果我更新或创建新的应用程序,SCCM 只会检测到它已经安装并且不会应用修复,因为它是同一应用程序的相同版本。
此时我唯一能想到的就是用.txt文件或其他东西“标记”每台计算机,并将其用作检测方法的一部分。但当然,我必须使用脚本来进行卸载/重新安装并标记机器,这将花费一整天的时间。
有没有更简单的解决方案?
我正在使用 SCCM 1607,顺便说一句。这些工作站混合了 32 位和 64 位 Win7 和 Win10 计算机。
考虑以下场景:
- 我之前已将应用程序 Foo v1.0 部署到我的所有工作站。
- Foo 2.0 的新版本出来了,我需要升级每个人。
在这种情况下,我必须为 Foo 2.0 创建一个新的应用程序包并进行部署。
假设安装程序自己负责升级和新安装,那么让 Foo 2.0 取代 Foo 1.0 而不是仅仅忽略该功能并删除 Foo 1.0 的部署有什么好处?
这对我有什么好处?
如果有区别,我正在使用 SCCM 2012 R2。
我正在与一家非营利组织合作,该组织刚刚向他们捐赠了一堆计算机。计算机的硬盘驱动器已被擦除,因此没有安装操作系统。他们是一家小型机构,没有 IT 部门,所以我自愿将它们全部设置好。由于新计算机将替换他们现有的设备,我的计划是在我的实验室中预先准备它们,然后在我部署它们后转移激活密钥(顺便说一句,这是完全合法的)。
所有旧电脑都安装了 Windows 7 Pro。问题是他们不知道他们是如何获得许可证的。Windows 7 Pro 同时具有零售渠道(仅接受零售密钥)和批量许可渠道(仅接受 KMS/MAK 密钥)。我可以访问两者的安装媒体,但如果我用错误的计算机暂存这些计算机,当我将许可证转移过来并且密钥不起作用时,我会大惊失色
有没有办法知道使用哪种密钥来激活 Windows 7 许可证?
注意:这不是关于适当许可或一般产品许可的问题。这是与产品激活相关的技术问题。
我设置了一个 Windows Server 2008 R2 终端服务器,其唯一目的是运行一个基于 Web 的应用程序,该应用程序具有完全荒谬的系统要求(IE7、Java 6 update 3、Acrobat 9.5)。这是一个糟糕的软件,但我们坚持使用它。
由于运行此类过时软件的安全隐患,终端服务器与网络的其余部分隔离,并对其应用了完全锁定的组策略,因此它只能运行 Internet Explorer,并且只能浏览到那个 URL。此服务器不会收到任何 Windows 更新。服务器还会在夜间自行重启并清除所有用户配置文件。
为了方便我们的用户,我将其设置为将 IE 作为 RemoteApp 运行,这样用户在他们的桌面上双击它就只是一个普通的应用程序。这曾经工作得很好,直到有一天它无缘无故地停止了。
以下是症状:
- 如果用户从他们的桌面双击 RemoteApp 图标,IE 会打开一个空白页面,地址栏中的 URL 是正确的。刷新页面不会做任何事情,也不会将 URL 复制/粘贴到地址栏中。
- 如果用户使用完全交互式桌面会话(而不是通过 RemoteApp)登录到终端服务器,则该页面可以正常工作。
- 在完整桌面模式下成功导航到该页面后,用户可以注销并在一天的剩余时间里正常使用 RemoteApp 版本。
这显然与用户配置文件有关。我可以通过手动清除配置文件按需再次打破它。问题是我不想删除每晚的配置文件清除,因为我们稍后会开始遇到缓存问题(这就是首先实施配置文件清除的原因)。
该应用程序不使用任何自定义 ActiveX 控件。供应商说在终端服务器环境中运行它是一种不受支持的配置(因为他们当然会这么说),所以他们没有帮助。
有任何想法吗?
我们正在设置的新系统的供应商向我们发送了他们推荐的 A/V 排除项的规格。他们建议我们从实时扫描中排除 .PDF、.JAR、.BIN 和 .DAT 文件(以及其他文件)。这些排除对应用程序正在执行的操作很有意义。他们还表示,在下班时间对这些文件进行全面扫描是可以的,但出于性能原因,他们建议将这些文件排除在实时扫描之外。已知病毒会感染这些文件类型,因此我仍然希望在定期安排的完整系统扫描期间对其进行扫描。
我们正在使用通过 SCCM 2012 R2 管理的 System Center Endpoint Protection,并且文档在这一点上非常不清楚:
如果我将供应商推荐的文件类型添加到排除列表中,是否会阻止它们被扫描?还是只会将它们排除在实时保护之外?在设置页面中,配置实时保护的设置并不多。
我们正在探索将 DirectAccess 部署到我们校外笔记本电脑的可行性,作为我们 TS-Gateway 服务器的更无缝替代方案,我想知道这些类似技术之间的好处和关系。
DirectAccess 和 Web 应用程序代理是您可以在 Server 2012 上安装的角色,但 UAG 是完全许可的产品。我了解 DirectAccess 和 Web 应用程序代理的作用,但 Forefront UAG 带来了什么?这些产品如何相互重叠?它们之间有什么区别?在什么情况下我会使用其中一种?
与 Microsoft 的典型情况一样,他们的网站只是提供大量营销演讲,并没有真正详细解释事情。UAG 的维基百科页面只是重申了我已经知道的内容。
当您单击已在 WSUS 中取代的更新时,您会收到一条警告,指出您应该在拒绝之前验证不再需要该更新。根据微软的说法,您应该首先批准取代更新,等待计算机接收它们,验证客户端不再需要旧的更新,然后您可以安全地拒绝被取代的更新。是的,嗯......这不是很实用,微软。
多年来,我只是一概拒绝被取代的更新,但我最近看到一篇文章说你不应该这样做。
所以我的问题是:为什么不呢?
是否存在特定更新不适用于客户端但它取代的更新适用于客户端的情况?谁能给我一个令人信服的理由,为什么盲目拒绝被取代的更新不是一个好主意?
当用户在我的终端服务器上打开 IE 时,他们看到的是 IE ESC 警告而不是他们的主页:
以下是一些相关事实:
- 操作系统是 Windows Server 2008 R2
- 主页在 GPO 中指定
(http://intranet) - 如果用户点击主页按钮,它确实会将他们带到 Intranet 页面,所以我知道 GPO 正在工作
- 在替换模式下启用环回处理(用户的 OU 没有配置文件泄漏)
- 该消息仅在他们的用户配置文件建立后第一次使用 IE 时出现。随后的登录将他们直接带到主页。
- RDS 是一个包含六台服务器的场,他们会为每台服务器看到一次消息。因此,从用户的角度来看,它似乎是随机发生的。
如何为用户禁止此警告?
我正在尝试在运行 Server 2012 R2 的全新 Cisco UCS 刀片上将 Server 2008 R2 终端服务器设置为 Hyper-V VM。
我需要终端服务器支持 32 位颜色的现代显示分辨率,因为它将用于显示医学图像。不幸的是,这款刀片仅包含一个 Matrox G200e 视频芯片组和高达 8MB 的视频内存。
是否存在可以用来模拟更好的图形硬件的纯基于软件的视频驱动程序?它不必支持 DirectX、Aero Glass、视频游戏或类似的东西。它只需要能够支持 1920x1200 的 32 位颜色。刀片本身有 16 个 CPU 内核和 256GB 的 RAM,所以性能不是问题。
我们正在部署连接到终端服务器场的瘦客户端。这些计算机对公众有很高的知名度,我希望它们至少看起来像样,而不是像 1995 年的东西。所以我安装了桌面体验功能并启用了主题服务。
服务器将不支持 Aero,因为它没有 3D 图形,但我们可以启用 Windows 7 Basic 主题,它具有 Aero 外观,没有 3D 效果。这个主题的问题是你可以选择任何你想要的窗口颜色,只要它是男婴蓝色。
有没有办法让这些窗户变成另一种颜色?窗口颜色控件什么都不做。
因此,我们遇到了这样一种情况,承包商部署了大约 200 台不正确克隆的 Windows 7 计算机。SCCM 证书在被 sysprep 之前没有从参考机器上清除。现在由于重复的证书,SCCM 控制台到处都是无效的设备记录。
我需要编写脚本删除所有这些机器上的坏证书,但我不知道如何从命令行执行此操作。我假设我会使用 Certutil.exe,但我不知道要传递哪些参数。我也熟悉 WMI 和 VBScript,所以如果有一个我可以使用的证书类也可以。
我感谢任何人可以提供的任何帮助。
最近对考勤卡系统的升级迫使我们将所有工作站升级到 Java 7u51(我们使用的是 6u45)。我们有另一个基于 Java 的应用程序,它对我们的业务至关重要,现在不断发出安全警告。每个用户每天必须至少点击“运行”十次(供应商的代码未签名,没有发布者信息)。这是无法接受的
据我所知,解决此问题的唯一方法是使用部署规则集。我在谷歌上搜索了大量解释如何做到这一点的文章。它们都有点不同,它们都不起作用。我创建了 XML 文件,Jar'ed,使用自签名证书对其进行签名,然后将该证书导入到几台测试机器上的受信任 CA 中。无论我做什么,在我访问的每个启用 Java 的站点(包括我特别列入白名单的站点)上都会看到以下错误:
“应用程序被部署规则集阻止”
无法验证自签名部署规则集 jar。
我对甲骨文近年来对 Java 的错误处理感到非常愤怒。我已经在这次部署中投入了 200 多个小时,因为我被一个接一个的障碍所束缚。用户沮丧地打电话给服务台,不断的安全警告正在花费组织的时间和金钱。
无论如何,足够的咆哮。如果有人能告诉我我做错了什么,将不胜感激。
以下是我采取的具体步骤:
1) 下载并安装了 JDK 7u51(keytool.exe 和 jarsigner.exe 需要)
2) 创建以下规则集.xml 文件:
<ruleset version="1.0+">
<rule>
<id location="*.ourdomain.com" />
<action permission="run" />
</rule>
<rule>
<id />
<action permission="default" />
</rule>
</ruleset>
3) 使用以下命令打包 XML 文件:
jar.exe -cvf DeploymentRuleSet.jar ruleset.xml
4) 使用 keytool.exe 命令创建了一个 50 年、2048 位 RSA 自签名证书,如下所示:(我让它提示输入 DN 信息;证书密码与密钥库密码相同)
keytool.exe -genkey -alias SelfSigned -keystore "SelfSigned.jks" -keyalg RSA -keysize 2048 -startdate "2000/01/01 00:00:00" -validity 18262
5)导出我刚刚使用以下命令制作的证书:
keytool.exe -export -file "SelfSigned.cer" -alias SelfSigned -keystore "SelfSigned.jks"
6) 使用以下命令对我在步骤 3 中创建的 JAR 文件进行签名:
jarsigner.exe -keystore "SelfSigned.jks" -signedjar "DeploymentRuleSet.jar" DeploymentRuleSet.jar SelfSigned
7) 创建 C:\Windows\Sun\Java\Deployment 文件夹并将 DeploymentRuleSet.jar 文件复制到其中。我通过 Java 控制面板验证正在应用规则集并且证书有效。
8) 导入了我在步骤 5 中导出的证书。这是我偏离说明的地方。我无法使用 keytool.exe 导入证书。该页面提示用户trusted.certs store 没有密码,系统cacerts 密码为“changeit”。两者都不起作用,所以我使用 Java 控制面板的 GUI 将其导入到用户的受信任证书存储中。