タグ付けされた質問 「group-policy」

サーバー上で実行されている一連のWindowsサービスは、他のサービスを管理する1つのサービスを除いて、互いに独立した一連の自動化されたタスクを実行します。 サービスの1つが応答またはハングに失敗した場合、このサービスはサービスの再起動を試み、試行中に例外がスローされた場合、代わりにサポートチームにメールを送信して、サービスを自分で再起動できるようにします。 少し調べてみると、KB907460に記載されている回避策から、サービスが管理者権限を実行しているアカウントを与えるまで、いくつかの「解決策」に出会いました。 これらの方法のいずれにも慣れていません-Microsoftのナレッジベースの記事に記載されている最初の方法の結果を理解していませんが、サービスが実行されているアカウントへの管理者アクセスを絶対に与えたくありません。 ローカルセキュリティポリシーをざっと見てみましたが、アカウントがサービスとしてログオンできるかどうかを定義するポリシー以外は、サービスを参照しているように見えるものは他にありません。 これをServer 2003とServer 2008で実行しているので、アイデアや指針は喜んで受け取られます！ 明確化：特定のユーザーまたはグループにすべてのサービスを開始/停止/再起動する権限を付与したくありません-特定のユーザーまたはグループに特定のサービスのみでこれを実行する権限を付与できるようにします。 さらなる明確化：これらのアクセス許可を付与する必要があるサーバーはドメインに属していません-それらはファイルを受信し、それらを処理し、サードパーティに送信する2つのインターネット接続サーバーであり、いくつかのWebサイトを提供しています。 Active Directoryグループポリシーは使用できません。申し訳ありませんが、私はこれを明確にしませんでした。

61 windows  permissions  group-policy  security  windows-service 

ドメインのパスワードの複雑さのポリシーを無効にするにはどうすればよいですか？ ドメインコントローラー（Windows Server 2008）にログオンしましたが、ローカルポリシーで、もちろん変更によってロックされているオプションを見つけました。ただし、グループポリシーマネージャーに同じ種類のポリシーが見つかりません。どのノードを展開する必要がありますか？

46 windows-server-2008  active-directory  group-policy  password 

Active Directoryのグループポリシーを介してMSIを展開しようとしています。しかし、これらはログイン後にシステムイベントログに表示されるエラーです。 ポリシーインストールからのアプリケーションXStandardの割り当てに失敗しました。 エラー：%% 1274 ポリシーのインストールからアプリケーションXStandardの割り当てを削除できませんでした。エラー：%% 2 ソフトウェアインストール設定への変更の適用に失敗しました。このユーザーのグループポリシーを介して展開されたソフトウェアのインストールは、ユーザーログオンの前に変更を適用する必要があるため、次のログオンまで延期されました。エラー：%% 1274 システムスタートアップまたはユーザーログオンの前に変更を処理する必要があるため、グループポリシークライアント側拡張ソフトウェアのインストールでは、1つ以上の設定を適用できませんでした。システムは、このユーザーの次回の起動またはログオンの前に、グループポリシーの処理が完全に完了するまで待機します。これにより、起動と起動のパフォーマンスが低下する可能性があります。 再起動して再度ログインすると、次のログオンの前に更新を実行する必要があるという同じメッセージが表示されます。Windows Vista 32ビットラップトップを使用しています。グループポリシーを使用して展開するのはかなり新しいので、問題を特定するのに役立つ他の情報は何ですか？同じ結果の異なるMSIを試しました。コンピューターにログインしたときにコマンドラインとmsiexecを使用してMSIをインストールできるため、少なくともMSIが正常に機能していることがわかります。

40 active-directory  group-policy  msi 

私の会社は、サーバーベースの製品用のWindowsインストーラーを配布しています。ベストプラクティスに従って、証明書を使用して署名されます。伴い、マイクロソフトのアドバイス、我々は使用したGlobalSignコード署名証明書のMicrosoftの主張は、すべてのWindows Serverのバージョンによって、デフォルトでは認識されています、。 サーバーは、で構成されていない限りさて、これはすべてうまく機能コンピュータの構成/管理用テンプレート/システム/インターネット通信の管理/インターネット通信の設定は、/自動ルート証明書の更新をオフにする：グループポリシーとして有効。 初期のベータテスターの1つがこの構成で実行されていたため、インストール中に次のエラーが発生しました。 キャビネットファイル[cabファイルへの長いパス]に無効なデジタル署名があるため、必要なファイルをインストールできません。これは、キャビネットファイルが破損していることを示している可能性があります。 システムがこのように構成された理由を誰も説明できなかったため、これを奇妙なものとして書き留めました。ただし、ソフトウェアが一般的に使用できるようになったため、顧客の2桁（パーセント）がこの設定で構成されているように見え、誰もその理由を知りません。多くの人は設定を変更したがりません。 お客様向けにKB記事を作成しましたが、実際にカスタマーエクスペリエンスを重視しているため、問題がまったく発生することは望ましくありません。 これを調査中に気づいたいくつかのこと： Windows Serverの新規インストールでは、信頼されたルート証明機関のリストにGlobalsign証明書が表示されません。 インターネットに接続されていないWindows Serverでは、ソフトウェアのインストールは正常に機能します。インストールの最後に、Globalsign証明書が存在します（弊社がインポートしたものではありません）。バックグラウンドでは、Windowsは最初の使用時に透過的にインストールするように見えます。 だから、ここに再び私の質問があります。ルート証明書の更新を無効にするのはなぜ一般的なのですか？更新を再度有効にすると、潜在的な副作用は何ですか？お客様に適切なガイダンスを提供できるようにしたいと思います。

40 windows  group-policy  certificate 

これは、Active Directoryグループポリシーの基本に関する標準的な質問です グループポリシーとは何ですか？どのように機能し、なぜ使用する必要がありますか？ 注：これは、新しい管理者への質問と回答であり、その機能とその強力さに慣れていない可能性があります。

31 windows  active-directory  group-policy 

ラボドメインの一部であるWindows Server 2012マシンにMSIをインストールしようとしています。私はローカルおよびドメイン管理者ですが、このMSIをインストールできないようです。 明確にするために、管理者グループの一部であるドメインユーザーとしてログインしているVisual Studio（ここにある）のgit拡張機能をインストールしようとすると、次のエラーが表示されます。 エラーを報告しているマシンはWindows Server 2012です。 私はそれが何らかのグループポリシー制限でなければならないことをほぼ確信していますか？デフォルトのセキュリティレベルでない限り、何も設定されていませんか？ 明確にするために、ドメイン管理者によるこのMSIのインストールを妨げているものを知りたいのですが？

28 windows  group-policy  windows-server-2012 

いくつかの特別なケースのラップトップをプロビジョニングしようとしています。ローカルゲストアカウントを作成したいと思います。それは問題ありませんが、作成しようとすると、ゲストパスワードが複雑さの要件を満たしていないことを促しました。 ローカルセキュリティポリシーを編集して複雑さを変更しようとしましたが、これはグレー表示されています。ローカルでドメインポリシーをオーバーライドすることは可能ですか？ はい、長いパスワードを選択できることは知っていますが、それはポイントではありません。将来必要になる場合に備えて、ドメインポリシーをオーバーライドする方法を知りたいです。

24 windows  active-directory  group-policy 

リモートWindows 7 Professionalユーザーの1人が、Windows 10のアップグレード予約のオファーを受け取ったと報告しました。システムトレイで実行されているGet Windows 10 "App"は合法であるようです。これまでのところ、これはドメインに参加していないデバイスにヒットしているようです。 アップグレードを有効にしたWindows Updateをアンインストール/非表示にする以外に、アップグレードアプリ（およびもちろんアップグレード自体）を無効にする方法はありますか？

22 windows  windows-7  group-policy  windows-10 

私は高等教育で多くの仕事をしており、特定のコースやイベントの期間中に多数のWindowsドメインメンバー（教室内のPCなど）を再構成し、その後この構成を取り消すことがかなり一般的な要件です。 ほとんどの構成変更はグループポリシーオブジェクトを通じて行うことができ、GPOがOUレベルでリンク解除または非アクティブ化されると、これらの変更は自動的に元に戻ります。これは非常に快適な方法です。 唯一の欠点は、OUでGPOを手動でリンクおよびリンク解除を繰り返すと、コースの開始前と終了後、多くのリマインダーとITスタッフが必要になることです。運用チームは常に保証できません。 特定のGPOの有効期間を指定する方法はありますか？

22 active-directory  group-policy 

Windows Server 2012 R2ドメインがあります。 昨日、コンピューターの（Windows 10 Proを実行している）ネットワークドライブの動作が停止しました。 さらなる調査（gpresult /h）の後、すべてのグループポリシーオブジェクトが理由で失敗しているようInaccessible, Empty, or Disabledです。 すべてのGPOがまだ存在し、両方の（冗長およびローカル）ドメインコントローラーで有効になっていることを確認しました。さらに、同じドメインとLANには20台の他のマシンがあり、まったく問題はありません。 ただし、同じ問題を示した別のコンピューターが1つあります。それは問題がサーバーにあるということですか？ gpresult /r一方のクライアントがローカルDC1からGPOを取得し、もう一方がDC2からGPOを取得していることを報告します。したがって、特定のDCに関連する問題ではありません。 gpupdate /force 何も修正しませんでした（ただし、ポリシーが適用されたと主張していました）。 ローカルポリシーのレジストリエントリを削除してみました（このガイドに従って/superuser/379908/how-to-clear-or-remove-domain-applied-group-policy-settings-after-leaving-the -do）と再起動-同じ問題。 Microsoftからこのサポートページ（https://support.microsoft.com/en-us/kb/2976965）を見つけましたが、Windows 7以前のクライアントにのみ適用されると主張しています。 すべてのマシン（サーバーとクライアントの両方）は64ビットバージョンを実行しており、完全に更新されています。念のため、すべてを再起動しました。

16 active-directory  group-policy  windows-server-2012-r2  windows-10 

GPOを介してドメイン全体のデフォルトのホームページを設定する必要があります。IEホームページポリシーはどこにありますか？

16 group-policy  internet-explorer 

ほとんどのユーザーは、WSUSがプッシュする「インストールする準備ができている更新プログラムがあります。ここをクリックしてインストールしてください」というメッセージを無視していることがわかりました。今まではインストールを強制していませんが、グループポリシーを変更して更新を毎晩強制することを考えています。これには、再起動が必要な場合がありますが、これもGPで強制する必要があります。 ユーザーからの反論があることは知っていますが、これが防御可能なベストプラクティスかどうか疑問に思っています。PCが最新かつ安全であることを保証するために行うべき正しいことのように思えます。

16 group-policy  windows-update  wsus 

多くの人が思うように、Windows / Active Directory環境と、Javaを必要とする多くの内部ビジネスアプリがあります。私たちの経験では、このような企業ネットワーク環境ではJavaはうまく機能しません。最初のインストールは問題ありません（少なくとも最近ではMSIがあります）が、物事を刻み続けることは非常に難しい場合があります。 発生する特定の問題は次のとおりです。 Javaには独自のアップデーターがあるため、内部のパッチ管理システムとは連携しません。 GPOを介したJava設定の管理用のツールの欠如。 ユーザーが特定の設定を手動で構成するための要件。 各マシン上の複数のJavaランタイム（ここではOracle Jinitiatorが特定の犯人です）。 Program Filesフォルダーに保存されている重要な設定ファイル。 私たちにとっては、ほとんどがログオンスクリプトとハッキングの回避策のバッチですが、他の人がこれらのアイテムをどのように処理しているか、そしてここで注意する必要があるものがあるかどうかを聞いてみたいです。

16 windows  active-directory  java  group-policy 

この機能の正確な名前はわかりません。しかし、Windows Server 2008では、Vista Public / Private / Domainの場所があります。これはラップトップでは意味があり、サーバーではまったく意味がありません。 私の問題は、ネットワークアダプターによっては、現在パブリックネットワーク上にあると判断する場合があることです。これにより、「ドメイン」ネットワークであっても、ファイアウォールが完全にアクティブになります。そのため、最終的な効果として、一部のマシンをリブートします。その後、KVMでネットワークがプライベートであると通知するまで、それらのマシンがネットワークに戻らないということです。 この機能の名前は何ですか？GPをオフにしてすべてのネットワークを「ドメイン」にするために使用できるGP設定はありますか？ 編集：ありがとう、それはNLAです。非ドメインマシンでサービスを無効にしようとしましたが、すべてが公開されています。ドメインマシンでは、ネットワークリストサービスは停止を拒否します。グループポリシーを試します。

16 windows  windows-server-2008  networking  firewall  group-policy 

通知領域に表示される警告を無効にして、Windowsファイアウォールが無効になっていることを通知する方法はありますか？ 編集：これは、手動のプロセスではなく、グループポリシーで具体的に達成したいと考えています。 GPOを介してドメインファイアウォールプロファイルを無効にします。つまり、Windows 10マシンはこのことについて通知領域に常に警告通知を出します。これにより、警告の内容を尋ねるユーザー呼び出しが生成されます。無効になっていることがわかっているため、警告を抑制したいです。

16 group-policy  windows-10  windows-firewall  notification