คำถามติดแท็ก group-policy

เนื่องจากปริมาณงานที่สร้างโดยการระบาดของ ransomware เมื่อเร็ว ๆ นี้ (Cryptolocker / Cryptowall / ฯลฯ ) ฉันเพิ่งได้รับมอบหมายให้ดำเนินการตามนโยบายการ จำกัด ซอฟต์แวร์เพื่อบล็อกการดำเนินการของโปรแกรมจากไดเรกทอรีชั่วคราว โดยทั่วไปจะทำงานได้ดีพอ แต่เรามีปัญหาเมื่อเราต้องติดตั้งซอฟต์แวร์เนื่องจากนโยบายการ จำกัด ซอฟต์แวร์เหล่านี้ทำให้ผู้ติดตั้งไม่สามารถเข้าถึงไดเรกทอรีชั่วคราวของเครื่อง ลำดับชั้นของ Active Directory ของเรานั้นได้รับการจัดระเบียบตามบรรทัดของไซต์ทางกายภาพของเราและวัตถุโฆษณาของเรานั้นสืบทอดมาจาก GPO สองสิบตัวแต่ละตัวจากรูทโดเมนและ OU ของไซต์นั้น ๆ ด้วยเหตุนี้ฉันจึงไม่มีตัวเลือกในการสร้างนโยบายที่ถูกบล็อก OU ออกจากรูทโดเมน (เนื่องจากไม่สืบทอดการตั้งค่านโยบายกลุ่มเฉพาะไซต์ทำให้เกิดปัญหาใหญ่กับเครื่องและผู้ใช้ระยะไกลไม่ชำนาญพอที่จะแก้ไขปัญหาได้ ) หรือเชื่อมโยงวัตถุนโยบายกลุ่มอีกครั้งใกล้กับ OU ลูก (ซึ่งอาจเกี่ยวข้องกับการดำเนินการและการเชื่อมโยงซ้ำอีกหลายร้อยครั้งซึ่งฉันไม่ต้องการทำ) หรือสร้าง OU ย่อยที่แต่ละรายการโดยมีการบล็อกการสืบทอด (เพราะฉันมี การเชื่อมโยงหลายร้อยการเชื่อมโยงที่ต้องทำในกรณีนั้น) ที่กล่าวว่าฉันต้องการวิธีหยุด GPO นโยบายการ จำกัด ซอฟต์แวร์ชั่วคราวจากการใช้เพื่อให้เราสามารถติดตั้งซอฟต์แวร์เป็นครั้งคราว ฉันพยายามที่จะแก้ปัญหานี้ในขั้นต้นโดยการสร้าง OU ลูกในแต่ละไซต์และเชื่อมโยงนโยบายการ จำกัด …

9 windows  active-directory  group-policy 

ฉันได้พยายามมาสักพักแล้วเพื่อจะทำสิ่งนี้ให้สำเร็จโดยไม่ประสบความสำเร็จ ดูเหมือนว่าการตั้งค่านโยบายกลุ่มของฉันจะถูกนำไปใช้เมื่อฉันเรียกใช้ตัวช่วยสร้างผลลัพธ์นโยบายกลุ่ม นี่คือสิ่งที่ฉันกำลังทำเพื่อตั้งค่าโซนอินเทอร์เน็ตเป็นสื่อ 1. เครื่องมือแก้ไขการจัดการนโยบายกลุ่ม> การกำหนดค่าผู้ใช้> นโยบาย> เทมเพลตการดูแล> ส่วนประกอบของ windows> internet explorer> แผงควบคุมอินเทอร์เน็ต> หน้าความปลอดภัย ฉันเข้าสู่ระบบเดสก์ทอป xennapp ของฉันเปิด IE และฉันเห็น: ฉันรันวิซาร์ดผลลัพธ์แล้วเห็น: ดูเหมือนว่าฉันจะทำงานได้ แต่ไม่ใช่ คนที่ทำงานกับฉันจะช่วยฉันค้นหาสิ่งที่ขาดหายไปไหม สิ่งที่ควรทราบคือคอมพิวเตอร์ที่มีการจัดการคือเซิร์ฟเวอร์ 2008 และคอมพิวเตอร์ที่มีการตั้งค่านโยบายกลุ่ม (ตัวควบคุมโดเมน) คือเซิร์ฟเวอร์ 2003 ฉันรู้ว่าเราต้องเปลี่ยนจากปี 2003 แต่นั่นเป็นโครงการที่อยู่ในจานของเรา สำหรับปีหน้า

9 windows-server-2008  windows-server-2003  group-policy  internet-explorer 

ฉันสร้างเซิร์ฟเวอร์ Windows 2008 R2 เมื่อปีที่แล้วและนับตั้งแต่บัญชีที่ยกระดับของฉันล็อค 10-12 ครั้งต่อวัน หลังจากการวิจัยและทดสอบมากมายฉันพบว่าเซิร์ฟเวอร์กำลังล็อคบัญชีของฉันในแต่ละครั้งที่พยายามอัปเดตนโยบายกลุ่ม (ล้มเหลวทุก 90 นาที) ฉันไม่พบข้อมูลในเว็บที่ระบุว่ามีบุคคลอื่นเห็นสิ่งนี้และฉันพบว่ามันไม่น่าเชื่อเลย แต่ละครั้งที่ 3 เหตุการณ์ของระบบถูกบันทึกไว้บนเซิร์ฟเวอร์: รหัสเหตุการณ์ 14: รหัสผ่านที่เก็บไว้ในตัวจัดการข้อมูลประจำตัวไม่ถูกต้อง อาจเกิดจากผู้ใช้เปลี่ยนรหัสผ่านจากคอมพิวเตอร์เครื่องนี้หรือคอมพิวเตอร์เครื่องอื่น เมื่อต้องการแก้ไขข้อผิดพลาดนี้ให้เปิดตัวจัดการข้อมูลประจำตัวในแผงควบคุมแล้วป้อนรหัสผ่านอีกครั้งสำหรับข้อมูลประจำตัว ไม่มีรายการใน Credential Manager สิ่งนี้เกิดขึ้นไม่ว่าฉันจะปิดใช้งานบริการ Credential Manager หรือไม่ก็ตามฉันเข้าสู่ระบบหรือไม่ว่าฉันจะออกจากระบบและใช้บัญชีผู้ดูแลระบบท้องถิ่นเพื่อลบโปรไฟล์ของฉัน รหัสเหตุการณ์ 40960: ระบบความปลอดภัยตรวจพบข้อผิดพลาดการรับรองความถูกต้องสำหรับเซิร์ฟเวอร์ cifs / ContosoDC.contoso.com รหัสความล้มเหลวจากโปรโตคอลการตรวจสอบความถูกต้อง Kerberos คือ "บัญชีผู้ใช้ถูกล็อคโดยอัตโนมัติเพราะมีการพยายามเข้าสู่ระบบที่ไม่ถูกต้องมากเกินไปหรือมีการร้องขอความพยายามเปลี่ยนรหัสผ่าน (0xc0000234)" - รหัสเหตุการณ์ 1058: การประมวลผลนโยบายกลุ่มล้มเหลว Windows พยายามอ่านไฟล์ \ contoso.com \ SysVol \ contoso.com …

9 windows-server-2008-r2  group-policy  active-directory 

ฉันต้องการติดตั้งชุด AV ล่าสุดของเราผ่านนโยบายการติดตั้งซอฟต์แวร์ GPO (ดังใน screenclip ด้านล่าง) น่าเสียดายที่คำขอของฉันที่จะใช้ DFS ถูกปฏิเสธและฉันจะต้องสร้าง GPO สำหรับแต่ละไซต์ในสภาพแวดล้อมของเรา (แต่ละไซต์เป็นซับเน็ตของตนเอง) ปัญหาที่ฉันมีคือมีผู้ใช้จำนวนมากเดินทางระหว่างไซต์ดังนั้นเมื่อพวกเขาย้ายไปยังไซต์อื่นพวกเขาจะได้รับ GPO ใหม่และไม่อยู่ในขอบเขตของ GPO ก่อนหน้า ฉันไม่พบเอกสารที่เป็นรูปธรรมว่าการติดตั้งซอฟต์แวร์ GPO จะติดตั้งแอปพลิเคชันอีกครั้งหรือไม่หากมีอยู่ในพีซีปัจจุบันแล้ว ฉันจะใช้ตัวเลือกในการออกจากแอพเมื่อคอมพิวเตอร์อยู่นอกขอบเขต จากการวิจัยของฉันฉันพบว่า GPO จะใช้เฉพาะถ้ารุ่นของ GPO มีการเปลี่ยนแปลงซึ่งใช้ได้ แต่ MSI จริง ๆ แล้วล่ะ ฉันพบสองสถานการณ์ที่ผู้คนหยิบยก แต่ไม่สามารถสำรองข้อมูลได้: GPO เรียกใช้บริการ Windows Installer ที่ตรวจสอบรายการโปรแกรมที่ติดตั้งและจะติดตั้งเฉพาะในกรณีที่ไม่มี MSI เวอร์ชันปัจจุบัน การติดตั้ง GPO เก็บแคชของแอพด้วยรายการซอฟต์แวร์ของตัวเองและจะติดตั้งแอพหากไม่ได้อยู่ในรายการนั้นแม้ว่าจะติดตั้งแล้วก็ตาม ทุกคนสามารถยืนยันข้อมูลที่ถูกต้องสำหรับฉันได้หรือไม่? แก้ไข: ขอบคุณสำหรับคำตอบพวกฉันรู้วิธีอื่น ๆ ในการปรับใช้ซอฟต์แวร์ แต่สิ่งที่ฉันหลังจากนั้นเป็นคำตอบที่เป็นรูปธรรมว่าการปรับใช้ …

9 windows  active-directory  group-policy 

เรากำลังเรียกใช้ฟาร์มเทอร์มินัลเซิร์ฟเวอร์ในโดเมน Windows 2003 และฉันพบปัญหากับการตั้งค่า GPO ของซอฟต์แวร์ที่ จำกัด ที่ใช้กับเซิร์ฟเวอร์ TS ของเรา นี่คือรายละเอียดของการกำหนดค่าของเราและปัญหา: เซิร์ฟเวอร์ทั้งหมดของเรา (ตัวควบคุมโดเมนและเซิร์ฟเวอร์เทอร์มินัล) กำลังเรียกใช้ Windows Server 2003 SP2 และทั้งโดเมนและฟอเรสต์อยู่ในระดับ Windows 2003 เซิร์ฟเวอร์ TS ของเราอยู่ใน OU ที่เรามีการเชื่อมโยง GPO เฉพาะและมีการบล็อกการสืบทอดดังนั้นเฉพาะ GPO เฉพาะของ TS จะถูกนำไปใช้กับเซิร์ฟเวอร์ TS เหล่านี้ ผู้ใช้ของเราอยู่ห่างไกลและไม่ได้เข้าร่วมเวิร์กสเตชันกับโดเมนของเราดังนั้นเราจึงไม่ใช้การประมวลผลนโยบายย้อนกลับ เราใช้วิธี "รายการที่อนุญาต" เพื่ออนุญาตให้ผู้ใช้เรียกใช้แอปพลิเคชันดังนั้นเฉพาะแอปพลิเคชันที่เราอนุมัติและเพิ่มเป็นเส้นทางหรือกฎแฮชเท่านั้นที่สามารถเรียกใช้ เรามีระดับความปลอดภัยในข้อ จำกัด ซอฟต์แวร์ที่ตั้งค่าเป็นไม่อนุญาตและการบังคับใช้ถูกตั้งค่าเป็น "ไฟล์ซอฟต์แวร์ทั้งหมดยกเว้นไลบรารี" สิ่งที่ฉันพบคือถ้าฉันให้ทางลัดแก่ผู้ใช้แอปพลิเคชันพวกเขาสามารถเปิดแอปพลิเคชันได้แม้ว่าจะไม่ได้อยู่ในรายการกฎเพิ่มเติมของแอปพลิเคชัน "รายการที่อนุญาต" ถ้าฉันให้สำเนาของไฟล์ปฏิบัติการหลักแก่ผู้ใช้และพวกเขาพยายามที่จะเปิดมันพวกเขาจะได้รับข้อความ "โปรแกรมนี้ถูก จำกัด ... " ดูเหมือนว่าข้อ …

9 windows  windows-server-2003  group-policy 

ปิด. คำถามนี้เป็นคำถามปิดหัวข้อ ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้เป็นไปตามหัวข้อสำหรับข้อบกพร่องของเซิร์ฟเวอร์ ปิดให้บริการใน4 ปีที่แล้ว ฉันจัดการเครือข่ายโรงเรียนขนาดเล็กที่มีเครื่องจักรประมาณ 150 เครื่อง ฉันกำลังมองหาวิธีที่ง่ายในการปรับใช้ซอฟต์แวร์กับเครื่องทั้งหมดโดยไม่ต้องไปเยี่ยมชมแต่ละเครื่อง ฉันใช้ Symantec Ghost ในการติดตั้งเครื่องทั้งหมดเหมือนกัน แต่สำหรับแอปพลิเคชั่นเดียวการปรับเปลี่ยนเครือข่ายทั้งหมดดูเหมือนจะเป็นขั้นตอนที่ไกลเกินไป ในอดีตฉันใช้ ZenWorks ของ Novell ซึ่งทำสิ่งนี้กับตัวติดตั้ง MSI หรือโดยการถ่ายภาพของเครื่องก่อนและหลังการติดตั้งจากนั้นผลักดันการเปลี่ยนแปลงไปยังเครื่องที่กำหนดบนเครือข่าย อย่างไรก็ตามในครั้งนี้ฉันใช้ Windows 2003 และมีงบประมาณ จำกัด (เช่นไม่มี) ฉันไม่สามารถไปรอบ ๆ ตัวติดตั้งนโยบายกลุ่มได้ดังนั้นถ้าใครสามารถชี้ให้ฉันเห็นวิธีการที่ดี ความช่วยเหลือของคุณได้รับการชื่นชม!

9 windows  windows-server-2003  group-policy  deployment  application 

ฉันกำลังปรับใช้บางไฟล์ผ่าน GPP ไปยังโฟลเดอร์ภายใต้ไฟล์โปรแกรม ตอนนี้ฉันต้องแตกต่างระหว่างระบบปฏิบัติการ 64 บิตและ 32 บิต วิธีง่ายๆในการกรองคอมพิวเตอร์ที่จะกำหนดเป้าหมายด้วยเครื่องมือแก้ไขการกำหนดเป้าหมายคืออะไร Wmi: SELECT * จาก Win32_Processor WHERE AddressWidth = 32 สภาพแวดล้อม: programfilesx86 รีจิสตรี: ??? การเลือกระบบปฏิบัติการในเครื่องมือแก้ไขการกำหนดเป้าหมาย ตอนนี้ฉันกำลังมองหาที่ใช้ตัวเลือก WMI แต่ดูเหมือนว่าจะเป็น แต่ดูเหมือน overkill วิธีใดดีที่สุด

9 group-policy