คำถามติดแท็ก group-policy

นโยบายกลุ่มเป็นคุณสมบัติในตัวของระบบปฏิบัติการ Microsoft Windows นโยบายกลุ่มช่วยให้ผู้ดูแลระบบสามารถกำหนดค่าตัวเลือกมากมายในระบบปฏิบัติการโดยอัตโนมัติ นโยบายเหล่านี้สามารถกำหนดค่าและนำไปใช้ภายในเครื่องกับคอมพิวเตอร์ผ่าน Local Group Policy หรือจากระยะไกลภายในสภาพแวดล้อม Active Directory

4
ฉันจะให้สิทธิ์เริ่มต้น / หยุด / รีสตาร์ทบนบริการแก่ผู้ใช้หรือกลุ่มบนเซิร์ฟเวอร์ที่ไม่ใช่โดเมนสมาชิกได้อย่างไร
เรามีชุดบริการ Windows ที่ทำงานบนเซิร์ฟเวอร์ของเราซึ่งทำงานหลายอย่างอัตโนมัติโดยไม่ขึ้นอยู่กับข้อยกเว้นของบริการหนึ่งที่ดูแลบริการอื่น ๆ ในกรณีที่หนึ่งในบริการไม่สามารถตอบสนองหรือหยุดบริการนี้พยายามเริ่มบริการใหม่และหากมีข้อผิดพลาดเกิดขึ้นระหว่างการพยายามส่งอีเมลถึงทีมสนับสนุนแทนเพื่อให้สามารถเริ่มบริการได้เอง หลังจากทำวิจัยเล็กน้อยฉันได้พบ 'โซลูชัน' ไม่กี่อันที่มีตั้งแต่วิธีแก้ปัญหาที่กล่าวถึงในKB907460ไปจนถึงการให้บัญชีภายใต้บริการที่ใช้สิทธิ์ของผู้ดูแลระบบ ฉันไม่พอใจกับวิธีการเหล่านี้อย่างใดอย่างหนึ่ง - ฉันไม่เข้าใจผลที่ตามมาของวิธีแรกตามที่อธิบายไว้ในบทความฐานความรู้ของ Microsoft แต่ฉันไม่ต้องการให้สิทธิ์ผู้ดูแลระบบในการเข้าใช้งานบัญชีซึ่งบริการกำลังทำงานอยู่ . ฉันได้ดูอย่างรวดเร็วผ่านนโยบายความปลอดภัยในพื้นที่และนอกเหนือจากนโยบายที่กำหนดว่าบัญชีสามารถเข้าสู่ระบบเป็นบริการได้หรือไม่ฉันไม่เห็นสิ่งอื่นซึ่งดูเหมือนว่าหมายถึงบริการ เรากำลังใช้งานบน Server 2003 และ Server 2008 ดังนั้นความคิดหรือตัวชี้จะได้รับอย่างสง่างาม! ชี้แจง:ฉันไม่ต้องการที่จะให้ความสามารถในการเริ่ม / หยุด / เริ่มต้นบริการทั้งหมดให้กับผู้ใช้หรือกลุ่ม - ฉันต้องการที่จะสามารถที่จะให้สิทธิ์ในการทำเช่นนั้นในที่เฉพาะเจาะจงเฉพาะบริการเพื่อผู้ใช้หรือกลุ่ม คำชี้แจงเพิ่มเติม:เซิร์ฟเวอร์ที่ฉันต้องให้การอนุญาตเหล่านี้ไม่ได้อยู่ในโดเมน - เป็นเซิร์ฟเวอร์ที่เชื่อมต่ออินเทอร์เน็ตสองเครื่องที่รับไฟล์ประมวลผลและส่งไปยังบุคคลที่สามรวมถึงการให้บริการเว็บไซต์สองแห่งดังนั้น นโยบายกลุ่ม Active Directory เป็นไปไม่ได้ ขออภัยที่ฉันไม่ได้ทำให้ชัดเจน

7
ปิดใช้งานกฎความซับซ้อนของรหัสผ่านใน Active Directory
ฉันจะไปปิดการใช้งานนโยบายความซับซ้อนของรหัสผ่านสำหรับโดเมนได้ที่ไหน ฉันเข้าสู่ตัวควบคุมโดเมน (Windows Server 2008) และพบตัวเลือกในนโยบายท้องถิ่นซึ่งแน่นอนว่าถูกล็อคจากการเปลี่ยนแปลงใด ๆ อย่างไรก็ตามฉันไม่พบนโยบายประเภทเดียวกันในตัวจัดการนโยบายกลุ่ม โหนดใดที่ฉันต้องขยายเพื่อค้นหามัน

12
การติดตั้งนโยบายกลุ่มล้มเหลวข้อผิดพลาด 1274
ฉันกำลังพยายามปรับใช้ MSI ผ่านนโยบายกลุ่มใน Active Directory แต่นี่เป็นข้อผิดพลาดที่ฉันได้รับในบันทึกเหตุการณ์ของระบบหลังจากลงชื่อเข้าใช้: การกำหนดแอปพลิเคชัน XStandard จากการติดตั้งนโยบายล้มเหลว ข้อผิดพลาดคือ: %% 1274 การลบการกำหนดแอปพลิเคชัน XStandard ออกจากการติดตั้งนโยบายล้มเหลว ข้อผิดพลาดคือ: %% 2 ไม่สามารถใช้การเปลี่ยนแปลงการตั้งค่าการติดตั้งซอฟต์แวร์ การติดตั้งซอฟต์แวร์ที่ปรับใช้ผ่านนโยบายกลุ่มสำหรับผู้ใช้รายนี้ล่าช้าจนกว่าการเข้าสู่ระบบครั้งต่อไปเนื่องจากต้องทำการเปลี่ยนแปลงก่อนที่จะเข้าสู่ระบบของผู้ใช้ ข้อผิดพลาดคือ: %% 1274 การติดตั้งซอฟต์แวร์การขยายด้านไคลเอ็นต์นโยบายกลุ่มไม่สามารถใช้การตั้งค่าอย่างน้อยหนึ่งรายการเนื่องจากการเปลี่ยนแปลงต้องดำเนินการก่อนที่จะเริ่มต้นระบบหรือเข้าสู่ระบบของผู้ใช้ ระบบจะรอการประมวลผลนโยบายกลุ่มให้เสร็จสมบูรณ์ก่อนที่จะเริ่มต้นหรือเข้าสู่ระบบครั้งต่อไปสำหรับผู้ใช้รายนี้และอาจส่งผลให้เกิดการเริ่มต้นช้าและประสิทธิภาพการบูต เมื่อฉันรีบูตและเข้าสู่ระบบอีกครั้งฉันก็จะได้รับข้อความเดียวกันเกี่ยวกับความจำเป็นในการดำเนินการปรับปรุงก่อนที่จะเข้าสู่ระบบต่อไป ฉันใช้แล็ปท็อป Windows Vista รุ่น 32 บิต ฉันค่อนข้างใหม่ในการปรับใช้ผ่านนโยบายกลุ่มดังนั้นข้อมูลอื่นใดที่จะเป็นประโยชน์ในการพิจารณาปัญหา ฉันลอง MSI ตัวอื่นด้วยผลลัพธ์เดียวกัน ฉันสามารถติดตั้ง MSI โดยใช้บรรทัดคำสั่งและ msiexec เมื่อลงชื่อเข้าใช้คอมพิวเตอร์ดังนั้นฉันรู้ว่า MSI ทำงานได้อย่างน้อย

5
เหตุใดผู้ดูแลระบบจำนวนมากที่ใช้นโยบาย 'ปิดการปรับปรุงใบรับรองรูตอัตโนมัติ'
บริษัท ของฉันกระจาย Windows Installer สำหรับผลิตภัณฑ์ที่ใช้เซิร์ฟเวอร์ ตามแนวทางปฏิบัติที่ดีที่สุดจะมีการลงชื่อโดยใช้ใบรับรอง ตามคำแนะนำของ Microsoftเราใช้ใบรับรองการลงนามรหัส GlobalSignซึ่ง Microsoft อ้างว่าเป็นที่รู้จักโดยค่าเริ่มต้นโดย Windows Server ทุกรุ่น ตอนนี้ทุกคนทำงานได้ดียกเว้นในกรณีที่เซิร์ฟเวอร์ได้รับการกำหนดค่าด้วยนโยบายกลุ่ม: การตั้งค่าการกำหนดค่าคอมพิวเตอร์ / Administrative Templates / ระบบ Internet / การจัดการการสื่อสาร / อินเทอร์เน็ตการสื่อสาร / ปิดอัตโนมัติรากใบรับรองการปรับปรุงเป็นที่เปิดใช้งาน เราพบว่าหนึ่งในผู้ทดสอบเบต้ารุ่นแรกของเรากำลังทำงานกับการกำหนดค่านี้ทำให้เกิดข้อผิดพลาดต่อไปนี้ระหว่างการติดตั้ง ไฟล์ที่ต้องการไม่สามารถติดตั้งได้เนื่องจากไฟล์ cabinet [พา ธ ยาวไปยังไฟล์ cab] มีลายเซ็นดิจิทัลที่ไม่ถูกต้อง นี่อาจบ่งบอกว่าไฟล์ cabinet เสียหาย เราเขียนสิ่งนี้เป็นเรื่องแปลกเพราะไม่มีใครสามารถอธิบายได้ว่าทำไมระบบจึงถูกกำหนดค่าเช่นนี้ อย่างไรก็ตามในขณะนี้ซอฟต์แวร์นั้นมีให้สำหรับการใช้งานทั่วไปปรากฏว่าลูกค้าของเราได้รับการกำหนดค่าสองหลัก (เปอร์เซ็นต์) ด้วยการตั้งค่านี้และไม่มีใครรู้ว่าทำไม หลายคนลังเลที่จะเปลี่ยนการตั้งค่า เราได้เขียนบทความ KBสำหรับลูกค้าของเรา แต่เราไม่ต้องการให้ปัญหาเกิดขึ้นจริงๆเพราะเราให้ความสำคัญกับประสบการณ์ของลูกค้า บางสิ่งที่เราสังเกตเห็นในขณะที่ตรวจสอบสิ่งนี้: การติดตั้ง Windows …

3
นโยบายกลุ่มคืออะไรและทำงานอย่างไร
นี่เป็นคำถามที่ยอมรับได้เกี่ยวกับพื้นฐานนโยบายกลุ่มของ Active Directory นโยบายกลุ่มคืออะไร มันทำงานอย่างไรและทำไมฉันจึงควรใช้ หมายเหตุ: นี่เป็นคำถามและคำตอบสำหรับผู้ดูแลระบบใหม่ที่อาจไม่คุ้นเคยกับการทำงานและประสิทธิภาพของมัน

7
ทำไมสิ่งนี้ทำให้ฉันติดตั้ง MSI: ผู้ดูแลระบบได้กำหนดนโยบายเพื่อป้องกันการติดตั้งนี้
ฉันพยายามติดตั้ง MSI บนเครื่อง Windows Server 2012 ซึ่งเป็นส่วนหนึ่งของโดเมนแล็บของฉัน ฉันเป็นผู้ดูแลระบบในพื้นที่และโดเมน แต่ดูเหมือนว่าจะป้องกันไม่ให้ติดตั้ง MSI นี้ เพื่อความกระจ่างแจ้งเมื่อพยายามติดตั้งส่วนขยาย git สำหรับ visual studio (อยู่ที่นี่ ) เข้าสู่ระบบในฐานะผู้ใช้โดเมนที่เป็นส่วนหนึ่งของกลุ่มผู้ดูแลระบบฉันได้รับข้อผิดพลาดดังต่อไปนี้ เครื่องรายงานข้อผิดพลาดคือ Windows Server 2012 ฉันเกือบจะแน่ใจว่ามันจะต้องมีข้อ จำกัด นโยบายกลุ่มบางอย่าง? จะไม่มีการตั้งค่าเว้นแต่จะเป็นระดับความปลอดภัยเริ่มต้นหรือไม่ เพื่อความกระจ่างแจ้งฉันต้องการทราบว่าเหตุใด MSI จึงถูกติดตั้งโดยผู้ดูแลระบบโดเมนนี้

4
ฉันสามารถแทนที่นโยบายกลุ่มโดเมนด้วยนโยบายกลุ่มโลคัลในฐานะผู้ดูแลท้องถิ่นได้หรือไม่
ฉันกำลังพยายามจัดเตรียมแล็ปท็อปกรณีพิเศษบางอย่าง ฉันต้องการสร้างบัญชีผู้เยี่ยมชมท้องถิ่น ไม่เป็นไร แต่เมื่อฉันพยายามสร้างมันขึ้นมาฉันได้รับแจ้งว่ารหัสผ่านของผู้เยี่ยมชมไม่ตรงตามข้อกำหนดความซับซ้อน ฉันพยายามแก้ไขนโยบายความปลอดภัยท้องถิ่นเพื่อเปลี่ยนความซับซ้อน แต่เป็นสีเทา เป็นไปได้หรือไม่ที่จะแทนที่นโยบายโดเมนด้วย Local ใช่ฉันรู้ว่าฉันสามารถเลือกรหัสผ่านที่ยาวกว่าได้ แต่นั่นไม่ใช่ประเด็น ฉันต้องการทราบวิธีการแทนที่นโยบายโดเมนในกรณีที่ฉันต้องการในอนาคต

1
จะระเบิด GPO ได้อย่างไร
ฉันทำงานหนักมากในการศึกษาระดับอุดมศึกษาซึ่งเป็นข้อกำหนดที่ค่อนข้างบ่อยในการกำหนดค่าสมาชิกโดเมน Windows จำนวนมาก (เช่นพีซีในห้องเรียน) ในช่วงระยะเวลาของหลักสูตรหรือเหตุการณ์ที่เฉพาะเจาะจงและยกเลิกการกำหนดค่านี้ในภายหลัง เนื่องจากการเปลี่ยนแปลงการกำหนดค่าส่วนใหญ่ที่เราได้รับการร้องขอสามารถทำได้ผ่าน Group Policy Objects และการเปลี่ยนแปลงเหล่านั้นจะถูกย้อนกลับโดยอัตโนมัติเมื่อ GPO ไม่ได้เชื่อมโยงหรือปิดการใช้งานในระดับ OU นี่เป็นเส้นทางที่สะดวกสบายมาก ข้อเสียเพียงอย่างเดียวคือการเชื่อมโยงด้วยตนเองซ้ำ ๆ และยกเลิกการเชื่อมโยง GPOs บน OUs ต้องการการเตือนและเจ้าหน้าที่ด้านไอทีจำนวนมากก่อนที่หลักสูตรจะเริ่มต้นและหลังจากจบหลักสูตร - สิ่งที่ทีมปฏิบัติการไม่สามารถรับประกันได้ตลอดเวลา มีวิธีการระบุกรอบเวลาสำหรับความถูกต้องของ GPO ที่เฉพาะเจาะจงหรือไม่

3
คีย์รีจิสทรี / GPO เพื่อปิดและปิดกั้นการอัพเกรด Windows 10
หนึ่งในผู้ใช้ Windows 7 Professional ระยะไกลของเราเพิ่งรายงานว่าเขาได้รับข้อเสนอการอัปเกรดการจองสำหรับ Windows 10 ดูเหมือนว่าการรับ"แอพ"ของWindows 10 ที่ทำงานในซิสเต็มเทรย์ของเขานั้นถูกต้อง จนถึงตอนนี้ดูเหมือนว่าจะมีการกดปุ่มอุปกรณ์ที่ไม่ได้เข้าร่วมโดเมนเท่านั้น ขาดการถอนการติดตั้ง / ซ่อน Windows Update ที่เปิดใช้งานการอัปเกรดมีวิธีใดที่จะปิดการใช้งานแอพอัปเกรด (และแน่นอนว่าการอัปเกรดเอง)

1
GPO ไม่สามารถใช้งานได้ เหตุผล: ไม่สามารถเข้าถึงได้ว่างเปล่าหรือปิดใช้งาน เซิร์ฟเวอร์ 2012 R2 และ Windows 10
ฉันมีโดเมน Windows Server 2012 R2 เมื่อวานนี้ไดรฟ์เครือข่าย (ใช้งาน Windows 10 Pro) ของคอมพิวเตอร์หยุดทำงาน หลังจากการตรวจสอบต่อไป ( gpresult /h) Inaccessible, Empty, or Disabledจะปรากฏวัตถุนโยบายกลุ่มทั้งหมดมีความล้มเหลวด้วยเหตุผล ฉันยืนยันว่า GPO ทั้งหมดยังคงมีอยู่และเปิดใช้งานบนตัวควบคุมโดเมน (ซ้ำซ้อนและท้องถิ่น) นอกจากนี้ยังมีอีก 20 เครื่องในโดเมนเดียวกันและ LAN โดยไม่มีปัญหา อย่างไรก็ตามมีคอมพิวเตอร์อีกเครื่องหนึ่งที่ฉันทดสอบซึ่งนำเสนอด้วยปัญหาเดียวกัน! นั่นหมายความว่าปัญหาเกิดขึ้นกับเซิร์ฟเวอร์หรือไม่ gpresult /rรายงานว่าไคลเอนต์รายหนึ่งได้รับ GPO จาก Local DC1 และอีกอันจาก DC2 ดังนั้นจึงไม่ใช่ปัญหาที่เกี่ยวข้องกับ DC เฉพาะ gpupdate /force แก้ไขอะไร (แม้ว่าจะอ้างว่ามีการนำนโยบายไปใช้) ฉันพยายามลบรายการรีจิสตรีสำหรับนโยบายท้องถิ่น (ทำตามคำแนะนำนี้/superuser/379908/how-to-clear-or-remove-domain-applied-group-policy-settings-after-leaving-the) - ทำ ) …


9
คุณควรบังคับให้บูตเครื่องใหม่หลังจากออกการปรับปรุง Windows หรือไม่
ฉันพบว่าผู้ใช้ส่วนใหญ่ไม่สนใจข้อความ "มีอัปเดตที่พร้อมติดตั้งคลิกที่นี่เพื่อติดตั้ง" ที่ WSUS ส่งออกมา จนถึงตอนนี้เรายังไม่ได้บังคับให้ติดตั้ง แต่ฉันกำลังคิดที่จะเปลี่ยนนโยบายกลุ่มเพื่อบังคับใช้การอัปเดตทุกคืน บางครั้งจะต้องมีการรีบูตซึ่งฉันต้องการบังคับใช้ผ่าน GP เช่นกัน ฉันรู้ว่าจะมีการผลักดันกลับจากผู้ใช้ แต่ฉันสงสัยว่านี่เป็นการปฏิบัติที่ดีที่สุดที่สามารถป้องกันได้หรือไม่ ดูเหมือนว่าสิ่งที่ถูกต้องที่ต้องทำเพื่อให้แน่ใจว่าพีซีมีความทันสมัยและปลอดภัย

3
คุณจัดการ Java ในสภาพแวดล้อม Windows / Active Directory ได้อย่างไร
เช่นฉันคิดว่าผู้คนจำนวนมากเรามีสภาพแวดล้อม Windows / Active Directory และแอพทางธุรกิจภายในจำนวนมากที่ต้องการ Java ประสบการณ์ของเราคือ Java ไม่เล่นได้ดีในสภาพแวดล้อมเครือข่ายขององค์กร การติดตั้งครั้งแรกนั้นใช้ได้ (อย่างน้อยวันนี้มี MSI) แต่การรักษาสิ่งต่าง ๆ ให้กลายเป็นเรื่องที่ท้าทาย ปัญหาเฉพาะที่เราพบ ได้แก่ : Java มีตัวอัปเดตของตัวเองและดังนั้นจึงไม่ได้ผูกเข้ากับระบบการจัดการแพทช์ภายในของเรา ไม่มีเครื่องมือใด ๆ สำหรับการจัดการการตั้งค่า Java ผ่าน GPO ข้อกำหนดสำหรับผู้ใช้เพื่อกำหนดการตั้งค่าบางอย่างด้วยตนเอง รันไทม์ Java หลายรายการในแต่ละเครื่อง (Oracle Jinitiator เป็นตัวการเฉพาะที่นี่) ไฟล์การตั้งค่าที่สำคัญที่จัดเก็บอยู่ภายใต้โฟลเดอร์ Program Files กับเราส่วนใหญ่เป็นชุดของสคริปต์การเข้าสู่ระบบและการแก้ไขปัญหาการแฮ็ก แต่ฉันสนใจที่จะได้ยินว่าคนอื่นจัดการรายการเหล่านี้อย่างไรและหากมีสิ่งอื่นใดที่เราต้องระวังที่นี่

5
ปิดใช้งานตำแหน่งเครือข่ายเซิร์ฟเวอร์ Windows
ฉันไม่แน่ใจว่าคุณลักษณะนี้เรียกว่าอะไร แต่ใน Windows Server 2008 มีตำแหน่ง Vista สาธารณะ / ส่วนตัว / โดเมน สิ่งนี้เหมาะสมสำหรับแล็ปท็อปและไม่มีเลยสำหรับเซิร์ฟเวอร์ ปัญหาของฉันคือบางครั้งอะแดปเตอร์เครือข่ายบางคนตัดสินใจว่าตอนนี้พวกเขาอยู่ในเครือข่ายสาธารณะ สิ่งนี้จะเปิดใช้งานไฟร์วอลล์อย่างสมบูรณ์แม้สำหรับเครือข่าย "โดเมน" ดังนั้นผลกระทบสุทธิคือฉันรีบูตเครื่องบางเครื่องแล้วพวกเขาจะไม่กลับมาบนเครือข่ายจนกว่าเราจะได้ KVM และบอกว่าเครือข่ายนั้นเป็นส่วนตัว คุณสมบัตินี้มีชื่อว่าอะไร? มีการตั้งค่า GP ที่ฉันสามารถใช้เพื่อปิดและทำให้เครือข่ายทั้งหมดเป็น "โดเมน" หรือไม่ แก้ไข: ขอบคุณนั่นคือ NLA ฉันพยายามปิดการใช้งานบริการบนเครื่องที่ไม่ใช่โดเมนและมันก็พลิกทุกอย่างสาธารณะ บนเครื่องโดเมนบริการรายการเครือข่ายปฏิเสธที่จะหยุด - ฉันจะลองใช้นโยบายกลุ่ม

4
Windows 10 - ปิดใช้งานการแจ้งเตือนคำเตือนเกี่ยวกับไฟร์วอลล์ที่ปิดใช้งานผ่าน GPO
มีวิธีปิดการใช้งานคำเตือนที่แสดงในพื้นที่แจ้งเตือนโดยบอกว่าไฟร์วอลล์ Windows ถูกปิดใช้งานหรือไม่ แก้ไข: เราต้องการทำสิ่งนี้ผ่านนโยบายกลุ่มโดยเฉพาะไม่ใช่กระบวนการที่ดำเนินการด้วยตนเอง เราปิดการใช้งานโปรไฟล์ไฟร์วอลล์ของโดเมนผ่าน GPO ซึ่งหมายความว่าเครื่อง Windows 10 จะทำการแจ้งเตือนอย่างต่อเนื่องในพื้นที่แจ้งเตือนเกี่ยวกับเรื่องนี้ สิ่งนี้จะสร้างการโทรของผู้ใช้เพื่อถามว่าคำเตือนนั้นเกี่ยวกับอะไร เรารู้ว่ามันถูกปิดใช้งานดังนั้นต้องการระงับคำเตือน

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.