タグ付けされた質問 「group-policy」

背景調査 私は正直、このような質問を信じています：Active DirectoryドメインでGPOを使用して、ワークステーションのWindowsファイアウォールを強制的に無効にします-方法は？一般的にWindows管理者が次のことを教えられたために存在していました。 「ドメインコンピュータを扱う場合に最も簡単なことは、ドメインにGPOを配置してWindowsファイアウォールを無効にすることです。これにより、最終的には心痛がはるかに少なくなります。」-過去のランダムなITインストラクター/メンター また、MOST企業でこれについて副次的な作業を行った場合、GPOがドメインプロファイルのWindowsファイアウォールを少なくとも無効にし、最悪の場合パブリックプロファイルでも無効にしたということがあります。 さらに、サーバー自体に対して無効にするユーザーもいます。WindowsServer 2008 R2上のすべてのネットワークプロファイルのファイアウォールをGPO経由で無効にします Windowsファイアウォールに関するMicrosoft Technetの記事では、Windowsファイアウォールを無効にしないことを推奨しています。 セキュリティが強化されたWindowsファイアウォールは、コンピューターをセキュリティの脅威から保護する上で重要な役割を果たすため、同等のレベルの保護を提供する信頼できるベンダーの別のファイアウォールをインストールしない限り、コンピューターを無効にしないことをお勧めします。 このServerFaultの質問は本当の質問です。グループポリシーを使用してLAN内のファイアウォールをオフにしても大丈夫ですか？-そして、ここの専門家は彼らの見解でさえ混同しています。 また、サービスの無効化/有効化について言及していないことを理解してください。Windowsファイアウォールサービスを無効にしないように推奨事項をバックアップするにはどうすればよいですか？-これは、ファイアウォールサービスがファイアウォールを有効にするか無効にするかに関することであることを明確にするためです。 手元の質問 だから私はこの質問のタイトルに戻ります... ドメインのWindowsファイアウォールを適切に再度有効にするために何ができますか？ 特にクライアントワークステーションとそのドメインプロファイル用。 GPOを単に無効から有効に切り替える前に、スイッチを切り替えても重要なクライアント/サーバーアプリケーション、許容トラフィックなどが突然失敗しないようにするために、どのような計画手順を実行する必要がありますか？ ほとんどの場所では、ここで「変更してヘルプデスクに電話をかける」という考え方を容認しません。 このような状況を処理するために、Microsoftから利用可能なチェックリスト/ユーティリティ/手順はありますか？あなたは自分でこの状況にあり、どのように対処しましたか？

15 group-policy  windows-firewall 

IE10は、インターネット一時ファイルを実行する新しい方法であると思われるWebCacheを実装しました。 この場所はC：\ Users \\ AppData \ Local \ Microsoft \ Windows \ WebCacheです。 私の状況では、ユーザープロファイルが15MBのディスクスペースに制限されているターミナルサーバーがあります。これは、IE10をインストールする前は常に十分でした。新しいWebCacheフォルダーにより、必要なディスク容量がほぼ500％増加しました。容量は安価ですが、クォータを低く設定する必要がある技術的な制限があります。 グループポリシーの設定を調査しましたが、IE10に固有の行項目がたくさんあります。注意すべき2つの項目は、「Webサイトがクライアントコンピューターにインデックス付きデータベースを保存できるようにする」と「Webサイトがクライアントコンピューターにアプリケーションキャッシュを保存できるようにする」です。ただし、WebCacheファイルは引き続き再作成されるため、これらの項目は別のものを参照しているようです。 この問題については、インターネット上であまり話題にされていないようですが、私が読んだいくつかのインシデントでは、このWebCacheフォルダーのサイズで同様の問題が発生しました。 これまでのところ、機能していると思われる唯一のことは、WebCacheフォルダーにアクセスするためのユーザー許可を取り消すことです。これは機能しますが、私が推奨するソリューションと考えるものとはほど遠いです。 WebCacheのファイルサイズを制限する方法、またはGPOを介してWebCacheが一緒に存在するのを防ぐ方法について、誰かが洞察を持っていますか？

15 group-policy  internet-explorer 

コンピューターのネットワークを実行していて、事前定義されたアイドル時間の後に画面をロックするGPOを実施したいと思います。この設定が見つかりません。スクリーンセーバーのアイドル時間の設定しかありません。ログアウト画面を取得するにはどうすればよいですか？ ありがとう。

15 windows  group-policy 

Windows 8 / 8.1 / 10には、「高速起動」（または「高速起動」、「ハイブリッドスタット」、「ハイブリッドシャットダウン」など）と呼ばれるこの機能があり、実際にコンピューターをシャットダウンすることはありません。起動時間を短縮するために、代わりに一種の休止状態にします。 これは一見するといいように思えるかもしれませんが、既知のandい副作用がいくつかあります。 一部のシステムで深刻に台無しになる可能性があり（おそらく古い/互換性のないドライバーまたはBIOSを使用している場合）、ブート時にシステムがクラッシュし、その後強制的にフルブートします（これはいくつかの異なるシステムで個人的に目撃しました...ミラー化されたダイナミックディスクも使用しているため、システムクラッシュ後は常に完全な再同期が行われます）。 それはありません地獄を適用するために、実際のシステムの再起動を必要とするいくつかのグループポリシーの処理に。 最後になりましたが、Wake-On-Lanを使用できなくすることが知られています。これは、WOLを使用していたいくつかのWindows 7 PCのWindows 10へのアップグレード後に現在直面している問題であり、現在はもう問題はありません。 これらおよびその他の理由により、グループポリシーを使用して高速起動を管理できるようにしたいと考えています。ただし、これについて見つけることができる唯一のポリシー（Computer Configuration\Policies\Administrative Templates\System\Shutdown\Require use of fast startup）は、高速スタートアップの使用を強制するためだけに使用できますが、無効にすることはできませんif you disable or do not configure this policy setting, the local setting is used。 したがって、私の質問：グループポリシーを使用して高速起動を無効にするにはどうすればよいですか？

14 group-policy  windows-10  windows-8.1  windows-8  wake-on-lan 

グループポリシーを介していくつかのInternet Explorer設定を適用しました。特に、「サイトからゾーンへの割り当て」設定のURLの長いリスト。ただし、「信頼ゾーン」に割り当てられた場合でも、1つのURLが「インターネットゾーン」に分類されるようです。 Internet Explorerの以前のバージョンでは、URLがどのゾーンに入るのかをステータスバーから簡単に判断できました。IE11経由でこれを行うにはどうすればよいですか？明らかな何かを見落としていますか？

14 group-policy  internet-explorer 

たび私は実行し、グループポリシーの結果ウィザードをターゲットコンピュータ、概要が示すようにドメインコントローラを選択BUILTIN\Administrators下に示すように、コンピュータの構成の下で、「グループポリシーが適用されたセキュリティグループのメンバーシップ」のリストに： （ドメイン、ユーザー、およびコンピューター名は省略されています） ドメインコントローラーは管理者のメンバーではないので（少なくともADUCで確認できるものからではありません）、私の質問は単に、なぜですか？ ドメインコントローラーは実際にはAdministratorsグループのメンバーですか、それともGPResultsが間違っていますか（およびその理由）？

14 windows-server-2008  active-directory  group-policy  domain-controller 

私が持っている基本的な問題は、100,000を超える役に立たないマシン証明書がCAに散らばっていることです。そこ。 これは、エンタープライズルートCA（2008 R2）でいくつかのデフォルトを受け入れ、GPO証明書を使用してクライアントマシンを自動登録802.1xして企業のワイヤレスネットワークへの認証を許可した結果として生じました。 デフォルトでComputer (Machine) Certificate Templateは、マシンがすでに持っている証明書を使用するように指示するのではなく、マシンが再登録できるようになります。これは、ワークステーションがリブートされるたびにログとしてではなく、認証局を使用することを望んでいた男（私）に多くの問題を引き起こしています。 （横のスクロールバーは横になっています。下にドラッグすると、画面が一時停止し、次の数十の証明書が読み込まれます。） Windows Server 2008R2 CAから100,000程度の有効な既存の証明書を削除する方法を知っている人はいますか？ 今すぐ証明書を削除しようとすると、有効なため削除できないというエラーが表示されます。したがって、理想的には、一時的にそのエラーを回避する何らかの方法があります。MarkHendersonが、ハードルが解消されたらスクリプトで証明書を削除する方法を提供したからです。 （それらRevoked Certificatesを表示する必要があるだけで、取り消された「フォルダ」からも削除できないため、それらを取り消すことはオプションではありません。） 更新： @MarkHenderson linkedのサイトを試してみました。これは有望であり、証明書の管理性がはるかに優れていますが、まだ十分ではありません。私の場合の摩擦は、証明書がまだ「有効期限が切れている」（まだ期限切れではない）ようであるため、CAは証明書を存在から削除したくないため、これは失効した証明書にも適用されるため、失効しますそれらをすべて削除してから削除することもできません。 また、Google-Fuでこのtechnetブログを見つけましたが、残念なことに、実際の証明書ではなく、非常に多くの証明書要求のみを削除する必要があるように見えました。 最後に、今のところ、CAを前方にジャンプして、削除する証明書の有効期限が切れているため、サイトのツールを使用してマークリンクを削除することはできません。手動で発行する必要があります。したがって、CAを再構築するよりも優れたオプションですが、優れたオプションではありません。

14 windows  active-directory  windows-server-2008-r2  group-policy  certificate-authority 

GPSIを介していくつかのソフトウェアを展開しようとしていますが、現在のバージョンのソフトウェアは.exeとして配布されているため、MSIファイルに変換する必要があります。 さらに、MSがソフトウェア（WMIツール）の一部を.exeとしてまだ配布している理由

14 windows  group-policy  wmi  msi  application-packaging 

3つの使用可能なオプションがあるように見えますが、そのうちの1つは実際には安全ですが、変更時に電源が入っていないマシンまたはネットワーク上にないモバイルに影響を与える可能性があるのは、2つの使用可能な選択肢があるようです変更時。どちらも安全なオプションではないようです。私が知っている3つのオプションは次のとおりです。 .vbsを使用した起動スクリプト グループポリシー設定を使用したGPO スケジュールされたタスクとしてのPowerShellスクリプト。 Powershellオプションを無効にします。これは、おそらく最良のソリューションであるにもかかわらず、ネットワーク上のすべてのマシン、および不要なネットワークオーバーヘッドに与える影響を既に変更したマシンを効果的にターゲット/反復する方法がわからないためですパスワード自体はCipherSafe.NET（サードパーティソリューション）コンテナに保存でき、パスワードはターゲットマシンのスクリプトに渡されるためです。Powershellがスクリプトで使用するローカルWindowsマシンの資格情報マネージャーからパスワードを取得できるかどうか、またはスクリプトで使用するためにパスワードをそこに保存できるかどうかを確認していません。 パスワードはネットワーク上の任意のドメインマシンで使用可能なSYSVOL共有にクリアテキストで保存されるため、.vbsスクリプトオプションは安全ではありません。バックドアを見つけようとしていて、少しのグーグルを持っている人なら誰でも、そのドアが十分に持続すれば見つけるでしょう。 GPOオプションも、このMSDNノートで説明されているように安全ではありません：http : //code.msdn.microsoft.com/Solution-for-management-of-ae44e789 私は、適切な知識やガイダンスがあれば社内で開発できる、または開発できるはずのサードパーティ以外のソリューションを探しています。

13 active-directory  group-policy  scripting  powershell  password-management 

ユーザーのワークステーションに更新をプッシュするWSUSがありますが、1つ厄介な警告があり、事態は比較的順調に進んでいます。分、彼らはそれについて言うことは何もありません： これは、彼らが前夜にログアウトしなかったためかもしれません。それにもかかわらず、これは少し多すぎて、ユーザーにとって非常に非生産的です。 ここに私たちの環境について少し説明します：私たちのユーザーは実行してWindows XP Proおり、の一部ですActive Directory Domain。WSUSはを介して適用されていGroup Policyます。WSUSルールを適用しているGPOのスナップショットは次のとおりです。 WSUSを機能させる方法を次に示します（理想的には、私が身近にできるものなら何でも取ります）。 アップデートを毎晩自動的にダウンロードしてインストールしたい。ユーザーがログインしていない場合、マシンを再起動してください。ユーザーがログインしている場合、マシンを再起動せずに、他の必要なインストールを実行できる次の「インストール期間」まで待機してから再起動します（ユーザーアカウントがまだログインしていない場合）。ユーザーに再起動のプロンプトが表示される場合、それは1日に1回（可能であれば）発生しますが、プロンプトが表示されるたびに、再起動を延期する方法が必要です。 更新プログラムのインストール後であって、ログインしているユーザーがいない場合を除いて、コンピューターで発生する可能性があると思われるたびにユーザーにコンピューターの再起動を強制することは望ましくありません。それは、人の仕事の最中にシステムを強制的に再起動するのに生産的ではないようです。 GSUSでWSUSの邪魔にならないようにできることはありますか？ 後で再起動するオプションをユーザーに与えたとしても、それは現在起こっていることよりも良いでしょう。 編集する 目標は、更新プログラムを毎晩自動的にダウンロードしてインストールし、マシンを再起動するときにログオンしているユーザーがいない場合にのみマシンを再起動できるようにすることです。Windowsが再起動についてユーザーに苦情を言わなければならない場合、これはまったく問題ありません-その再起動を延期するオプションがある限りです。 編集する いくつかの更新（SP3、クライアント側の拡張など）にいくつかの期限が設定されており、以下の記事で状況が明らかになりました。 http://forums.techarena.in/server-update-service/255722.htm

13 windows-server-2008  active-directory  group-policy  wsus 

そのため、「グループポリシーの処理と優先順位」というドキュメントを読んでいます。ポリシーは、ローカル、サイト、ドメイン、組織単位、子組織単位の順に適用されます。この記事では、ソフトウェアのインストール、スクリプト、新しいグループポリシー設定など、コンピューターに適用される順序については明確ではありません。 環境設定では不可能と思われるコンピューター上のいくつかの調整を行うスクリプトを作成しようとしていますが、ソフトウェアのインストールが完了し、一部の環境設定が最初に適用されていることを確認する必要があります。 更新： 以下に背景情報を示します。ウィジェットAのソフトウェアがインストールされているグループポリシーがあります（コンピューターの構成\ポリシー\ソフトウェアの設定\割り当てられたアプリケーション）。ウィジェットAは、迷惑な場所全体にショートカットを配置するので、設定機能（コンピューターの構成\設定\ Windowsの設定\ショートカット）を使用して、不要なショートカットを削除しようとしています。このプログラムにはわずかなバグがあり、修正する必要がありますが、パブリッシャーは更新されたmsiではなく、更新を適用するexeのみを提供しています。そのため、プログラムにパッチを適用することになっているEXEを実行するには、起動スクリプトが必要です。 ファイルの削除は数回再起動するまで有効にならないため、ソフトウェアのインストール前に「コンピューターの構成\設定」が適用されているようです。このソフトウェアパッケージについては、パッチを適用するはずの起動スクリプトが再起動するまでエラーになるため、再起動が必要なようです。 Googleでの検索では、注文が具体的に記載されているドキュメントを見つけることができませんでした。また、利用可能なさまざまな設定の順序がどうなっているのか興味があります。たとえば、環境設定を介して環境変数を設定できます。ファイル、フォルダー、またはショートカットの設定でこれらの変数を使用できますか？ プロセスを詳細に説明したドキュメントがどこかにあることを願っています。

13 windows  group-policy 

現在、Windows Server 2012 R2を実行しています。 コンピューターをWindows 10にアップグレードしました。Openfile explorerの設定をGPO から構成します。ファイルエクスプローラーをこのPCに開いて、クイックアクセスを使用してください。この画像で設定を見ることができます：（一般タブの最初の設定） http://cdn2.tekrevue.com/wp-content/uploads/2015/07/folder-options-windows-10-file-explorer.png GPOからこの設定を構成するにはどうすればよいですか？ 編集： ここでは、グループポリシーエディターを使用してレジストリの変更を適用します。しかし、可能であれば、実際のGPOまたはGPPの方が優れています。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced LaunchTo DWORD 1 = This PC 2 = Quick access

12 group-policy  windows-server-2012-r2 

通信網： マルチサイトドメイン。 各サイトには、2つのローカル（オンサイト、同じサブネット）Windows Server 2012 R2ドメインコントローラーがあります。 サイトは、Windowsサイトとサービスで正しく定義されています。 各サイトのDNSレコードには、2つのローカルDNSサーバーのみが定義されています。 すべてのクライアントは、すべての更新が適用されたWindows 10 Pro 64ビットです。 どちらのネットワークも、認定されたCAT6ケーブルでCiscoスイッチ上で完全にギガビットで実行されています。 各サイトにはローカル（オンサイト、同じサブネット）Synologyストレージサーバーがあります。 グループポリシーの一部として、2つのネットワークドライブがSynologyサーバーの共有にマップされます。 接続性診断： dcdiag /test:dns /v /c /ePASSすべてのサーバーとすべてのテストのレポート echo %logonserver% 常にローカルDCを返します nltest /dsgetdc 常にローカルDCと正しいローカルIPを表示します サイトAでは、両方のネットワークドライブが表示され、0.5％の確率で失敗します（ドライブが正しく表示されないブートをいくつか経験しました）。 問題： サイトBでは、ネットワークドライブがおそらく30％の時間で表示されません。両方のドライブである場合もあれば、どちらか一方である場合もあります。問題はほとんどランダムであり、特定のユーザーまたはワークステーションをフォローしていないようです。 症状： 問題が発生する時間の30％のうち： 時間aの5％gpupdateかは、gpupdate /force問題を解決し、ドライブがすぐに表示されます。gpupdateが最初の試行で動作しない場合、その後はほとんど動作しません（そのブートの場合） 5％の時間で、gpupdateまたはgpupdate /force1つのドライブのみが表示されます 20％の時間、a gpupdateは問題を修正しませんが、次のブートは問題ありません 50％の時間、a gpupdateは問題を修正しませんが、1回の起動と別の 起動後gpupdateにドライブが表示されます 20％の時間、ドライブが表示されるまでに（ブートごとに）複数回リブートする必要がありますgpupdate。2回ブートすることもありますが、ドライブが表示されるまで6〜7回コンピューターを再起動することはほとんどありませんでした。 この最後の20％の間、gpupdateプロセスでエラーが発生することがあります。 The processing of Group Policy failed. Windows …

12 group-policy  windows-server-2012-r2  mappeddrive  windows-10 

私はWindows Server 2012を使用していますが、Active Directoryはオンで動作しています。私たちが管理するすべてのプロジェクトには2つの専用グループがあり、1つは関連するすべてのファイル（請求書、時刻表、プロジェクトの管理に必要なものなど）にアクセスできるマネージャー用です。少なくとも、私はすべてのそして、プロジェクト自体のファイルにのみアクセスできるプロジェクトで実際に作業する人向けです。 プロジェクトへのファイルアクセスを許可するグループのメンバーシップをプロジェクトマネージャーに制御させる必要があります。グループの他の側面を編集することはできません。そして、理想的には、ある種のGUIを使用する必要があります。そのように説明するのは十分に難しいので、最悪のシナリオではスクリプトを作成できます。 管理グループを管理グループの[管理者]タブに追加し、[管理者がメンバーシップリストを更新できる]を有効にすると、これは十分簡単に​​見えました。だが.. 管理グループにユーザーリスト全体を表示させる必要がありますか？もしそうなら、どのように？ グループメンバーシップを編集するには、管理グループメンバーがどのように、どこでログインする必要がありますか？

12 active-directory  group-policy  windows-server-2012-r2  groups 

グループポリシーによってインストールされたMSIファイルを使用してフラッシュを更新します。ただし、更新するたびに、ワークステーションの約3分の1が更新に失敗します（Windows VistaおよびWindows 7 32/64ビット版）。イベントログに次のメッセージが表示されます。 「Adobe Flash Player 11 ActiveX-エラー1714。古いバージョンのAdobe Flash Player 11 ActiveXは削除できません。テクニカルサポートグループにお問い合わせください。システムエラー1612。」 この問題に対処できた唯一の方法は、Microsoft Fit Itツールを使用することです。ただし、これは非常に時間のかかるプロセスであり、各ワークステーションで手動で実行するのに約15分かかるため、フラッシュアップデートがリリースされるたびに1日を効果的に終了します。 失敗したフラッシュのアンインストールを削除するMSIZAPを含むこのスクリプトに出会いました。だから、私の質問は次のとおりです。MSIZAPユーティリティは、フラッシュをプログラムで削除するための最良のアプローチですか、それともこの時点で廃止されていますか？私が尋ねる理由は、私がこのテーマで見つけたほとんどの資料は2009年または2010年のものだからです。 @echo off SET MSIZAP=\\my.domain.com\netlogon\bin\msizap.exe SET DFSPATH=\\my.domain.com\dfsroot\Packages\Adobe SET UNINSTALL=%DFSPATH%\uninstall_flash_player_x86.exe SET INSTALL=%DFSPATH%\install_flash_player_11.4.402.278_active_x.exe rem Detect 64-bit Windows IF NOT "%ProgramFiles(x86)%"=="" SET WOW6432NODE=WOW6432NODE\ SET VER_FLAG_KEY=HKEY_LOCAL_MACHINE\SOFTWARE\%WOW6432NODE%Macromedia\FlashPlayer SET VER_FLAG_VALUE=11,4,402,278 REG QUERY "%VER_FLAG_KEY%" /v CurrentVersion | find /i "%VER_FLAG_VALUE%" > …

12 windows-server-2008  group-policy  batch-file  uninstall