是否可以完全不在 WSUS 服务器上缓存 Windows 更新(因为更新占用了太多磁盘空间)并让客户端从基于 Internet 的更新服务器中检索它们(更新将使用传递优化缓存在客户端上)同时通过批准/拒绝 WSUS 服务器上的更新来指定客户端可以或不能安装哪些更新?如果是这样,必须设置哪些组策略设置才能做到这一点?
您可能知道,现在无法选择特定更新来批准或拒绝旧 Windows 操作系统的 WSUS。对于服务器,一般来说现在只有两种类型:一个月的安全更新汇总,以及包括所有安全和“质量”更新的综合汇总。
对于服务器,我只对评估和批准安全更新感兴趣,我会拒绝所有“质量”更新。但是,质量和安全更新似乎被归为同一类和 MSRC 分类类别。区分两者的唯一方法似乎是更新标题本身(即更新标题是否包含“质量”)。
由于质量更新和安全更新的名称非常相似,而且我无法在 WSUS 视图中看到将它们完全分开的简单方法,我担心最终我或其他人会粗心并批准一个错误地更新质量。缓解该问题的最佳方法是简单地自动拒绝所有质量更新。
有人知道怎么做这个吗?另一种解决方案可能是在 WSUS 中找到一个更容易区分质量和安全更新的视图,或者首先在 WSUS 中不显示服务器质量更新。
WSUS 服务器是 Windows 2008 R2,WSUS 版本是 3.2.7600.226。
最近,一位用户将公司 PC 从网络中拔出,并使用 USB 网络共享与他们的 Android 手机完全绕过公司网络并访问互联网。我认为我不需要解释为什么这很糟糕。从零成本(即开源,使用脚本和组策略等)和技术角度(即已经通知 HR,我不认为这是某种症状)最好的方法是什么更深层次的企业文化问题等),以检测和/或防止此类事情再次发生?拥有一个系统范围的解决方案(例如,通过使用组策略)会很好,但如果这不可能,那么针对这个人的 PC 做一些特定的事情也可能是一个答案。
一些细节:PC 是 Windows 7,加入了 Active Directory 域,用户具有普通用户权限(不是管理员),PC 上没有无线功能,禁用 USB 端口不是一个选项
注意:感谢您的精彩评论。我添加了一些额外的细节。
我认为人们想要禁止网络共享的原因有很多,但对于我的特定环境,我可以想到以下几点:(1)防病毒更新。我们有一个本地防病毒服务器,可以为网络连接的计算机提供更新。如果您未连接到网络,则无法接收更新。(2) 软件更新。我们有一个 WSUS 服务器并审查每个更新以批准/禁止。我们还通过组策略为其他常用软件程序(例如 Adobe Reader 和 Flash)提供更新。如果计算机未连接到本地网络,则计算机无法接收更新(不允许从外部更新服务器进行更新)。(3) 互联网过滤。我们过滤掉恶意网站,呃,淘气(?)网站。
更多背景信息:HR 已收到通知。有问题的人是高水平的人,所以有点棘手。为这名员工“树立榜样”虽然很诱人,但并不是一个好主意。我们的过滤并不严格,我猜这个人可能一直在看顽皮的网站,尽管没有直接的证据(缓存已被清除)。他说他只是在给手机充电,但 PC 已从本地网络中拔出。我不想让这个人陷入困境,只是可能会阻止类似的事情再次发生。
是否可以在 IE 11 中禁用 HTTP 严格传输安全性?
为什么要这样做的示例:特定用户组已通过代理过滤互联网访问,其中仅允许列入白名单的域和 URL。您希望允许访问http://www.xyzzy.com/hi/there但由于该网站使用 HTTP 严格传输安全性,用户被重定向到https://www.xyzzy.com/hi/there。在这种情况下,您将被迫允许访问所有https://www.xyzzy.com。
我只是想知道使用 Office 2010 组策略管理模板文件 ( http://www.microsoft.com/en-us/download/confirmation.aspx?id=18968 ) 配置的组策略设置是否适用于更高版本的 Office,例如 Office 2013,或者如果我需要下载新的全新模板文件(即 Office 2013)并使用新模板重新配置 2010 年的旧设置。如果是这种情况,有没有办法复制设置,这样我就不必再次手动配置它们了?
默认情况下,Squid 记录所有访问信息,包括“成功”和“失败”。我对只记录“失败”感兴趣。换句话说,我想做一些事情,比如只记录 Squid DENIED 结果代码,或者,不记录成功的 HTTP 事务。不管我如何定义“成功”和“失败”,我都需要能够更具体地定义 Squid 将写入日志文件的访问信息类型。有人知道怎么做这个吗?
我想使用组策略在计算机/位置/OU 基础上应用 Windows 代理设置(IE 版本目前为 8,但迟早会升级)。目前,我在我的 Active Directory 树中的不同 OU 中分离了用户对象和计算机对象,这些 OU 按类别进一步细分(例如,计算机/PhysicalLocation1、计算机/PhysicalLocation2、用户/BusinessUnit1、用户/BusinessUnit2 等)。
我认为上述问题的典型解决方案是使用 GPO 安全过滤器的组策略环回处理。但是,问题是我想拥有它,以便只有当用户从特定计算机/位置访问网络时,无论用户如何,每个人都通过代理。当相同的用户从不同的位置/OU 访问网络时,他们不会通过代理。
如果我使用 GPO 安全过滤器来确定要应用组策略环回处理的位置,似乎我需要指定用户对象(即与使用代理设置登录 PC 的人相关联的对象)以及计算机对象(即应用代理设置的计算机)。这样做的问题是,当用户在我不希望应用代理设置的位置使用不同的 PC 时,因为用户在 GPO 安全过滤器中,最终会应用代理设置。
有没有简单的方法来查明每台计算机的代理设置?
我正在使用域加入脚本/程序(也进行配置文件映射)进行一些测试,这意味着我一直在反复将此测试服务器加入/取消加入域(并且在将本地配置文件映射到域帐户的过程中) .
问题:我刚刚从域中取消了服务器(再次)。服务器在工作组中。除了本地管理员帐户之外,没有其他本地帐户。我想使用本地管理员帐户登录,但本地管理员帐户未显示在登录屏幕上。具体来说,只有一个登录名显示,并且由于某种原因它位于我的域帐户的显示名下(例如“Smith John”)。由于服务器未加入域,因此这没有意义。
我突然想到,由于我正在进行一些配置文件映射测试,可能我的域帐户中的显示名称已映射到本地管理员帐户。但是,如果是这种情况,我应该可以使用本地管理员密码使用此帐户登录,但我不能。作为记录,我也无法使用域帐户的密码登录。
我在想,如果可以使用键盘手动指定/键入管理员登录名(即 MACHINENAME\ADMINISTRATOR),我应该能够登录。但我看到明显的选择来做到这一点。
所以我想这里有两个问题。1)这里发生了什么?2) 当没有明显的方法来手动指定/键入登录名时,是否有“技巧”(例如,按一些组合键强制出现允许您输入登录名的文本字段)?
另外,一个侧面的想法,是否有可能本地管理员帐户已被禁用?这会导致不正确/奇怪的登录显示名称吗?
以下是一些屏幕截图,可让您更好地了解正在发生的事情:
这是我第一次访问本地控制台时看到的屏幕。它提示我按 Ctl+Alt+Del 登录。
这是我按 Ctl+Alt+Del 后看到的屏幕。有一个密码输入框。输入框上方是我在执行域加入后登录的域帐户的显示名称(不是 netbios 名称) 。服务器当前在工作组中(即不在域中)。如您所见,没有可见的选项可以使用任何其他帐户登录(与下面发布的屏幕截图不同)。没有可手动指定/键入登录名的可见选项。
我希望能够从我的 Win 7 客户端配置 IE 11 组策略设置。我在这个客户端上安装了 IE 11。客户端已加入混合 Windows Server 2003/2008R2 域。当我从 Win 7 客户端打开策略对象并导航到“用户配置”->“基本设置”->“控制面板”并右键单击“Internet 设置”时,我只能看到添加组策略设置的选项即 5、6、7 和 8。
我尝试下载 IE 11 ( https://msdn.microsoft.com/en-us/library/bb530196.aspx ) 的 ADMX 模板并将它们安装在客户端的 %systemroot%\policyDefinitions 中,但似乎没有任何改变。
我在另一个线程(缺少 Internet Explorer 9 和 10 组策略首选项)中读到我需要 Windows 8 或 Server 2012 来完成我想做的事情,但这对我来说似乎很奇怪。我的域中没有 Windows 8 或 Server 2012 机器,现在购买/获取一台机器是不可能的。另外,顺便说一句,我所有的服务器都安装了 IE 8,包括域控制器,现在升级到 IE 11 是不可能的(我不知道这是否重要)。
必须有一种方法来完成我想做的事情。有人可以帮忙吗?