タグ付けされた質問 「group-policy」

ユーザーが何らかの理由でアカウントのパスワードを変更した場合（読み取り：期限切れ）、古いパスワードはEASを介して接続されたモバイルデバイスに保存されます。これにより、ADで定義されたロックアウトポリシーに従って、彼のアカウントはほぼ即座にロックアウトされます。その部分を理解するのは簡単でした。難しいのは、それが起こらないようにすることです。私はいたるところを見ました。なし。基本的に、パズルには4つの部分があります。EASデバイス、TMG（ISA）サーバー、EASプロトコル、そして最後にADです。EASデバイスが認証に失敗するのを防ぐ方法はありません。だから、私は賢い回避策を考え出さなければならないと思った。そして、私が思いつく唯一のことは、すべてのEASユーザーのグループを作成し、それらをロックアウトポリシーから除外することです。これは明らかにポリシーの目的全体を無効にします。 質問：EASがアカウントをロックアウトするのを防ぐ他の方法はありますか？ 環境：ほとんどすべてEASを介したiOSデバイス。TMG2010。Exchange2007。AD2008 R2。

12 active-directory  exchange  group-policy  activesync  microsoft-ftmg-2010 

私のデスクトップには、ツールバー、「ブラウザヘルパー」、またはそのような他のくだらないものは何もないということを知って安心したいと思います。 誰かがグループポリシーでこれを成功させましたか？ この記事を見つけましたが、それほど明確ではありません。 http://support.microsoft.com/kb/883256 XPのGoogleツールバー、Flash、Windows Update以外のすべてのプラグインを禁止したい場合、その方法についての明確な説明はありません。私が許可したいすべてのツールバーのClassIDを知る必要があるようです。 この記事では、管理者がこれらのClassIDをどのように見つけるかについては詳しく説明していません。Flashにはバージョンごとに異なるClassIDがありますか？OSによって異なりますか？XPボックスでのWindows Updateはどうですか-明示的に有効にする必要があるプラグインが必要です。 これは非常に一般的な問題であるため、簡単な解決策が必要です。一般的なプラグインのチェックボックスリストがあるだけでいいので、すべての人にFlashを、開発者にGoogleツールバーを、XPにWindows Updateなどを有効にできます。

12 group-policy  internet-explorer 

ウェブサイトを構築したクライアントの1人は、超高性能自転車のメーカーです。彼らは、キオスク（基本的には、DellのロックダウンされたWindows XPボックス）を、有名なディーラーのいくつかに配布したいと考えています。キオスクはメーカーのWebサイトの閲覧に限定されます。私はここで自分の要素の外にいます、そしていくつかの助けおよび/または良い読み物（および/またはステップバイステップの指示;-]）に感謝します： 偶然の愚かさからデスクトップを保護します。キオスクはハイエンドのサイクリングブティックに展開されているため、顧客を考えると悪意のある攻撃は非常にまれです。 特定のWebアドレスへのアクセスのみを許可します。 キオスクをリモートで復元します。理想的には、このソリューションは、自転車の営業担当者が電話で最小限の手で持つだけで十分に簡単であることが理想です。 最後に、「あなたはここをはるかに超えています。専門家に相談してください」という回答に完全にオープンです。そもそも仕事が提案されたときも議論しましたが、より広範なシステム管理の経験を持つ人を見つける前に、自分でこれを試してみると確信していました。

12 windows-xp  group-policy 

Windows 10で「ポリシーベースのQoS」を設定しても、DSCP値は発信トラフィックに適用されません。特定のプロセスのDSCPトラフィックの値を設定できるようにします。 gpedit.mscグループポリシーエディターを使用して、[コンピューターの構成]> [Windowsの設定]> [ポリシーベースのQoS]でポリシーを作成し、DSCP値を「10」に設定しました。実行可能ファイル名を使用して、または使用せずに試しました。NetMonのトラフィックを見ると、DSCP値0が表示されます。 これは、「NLAを使用しない」レジストリキーhttps://support.microsoft.com/en-gb/kb/2733528を適用した後、Windows 7で機能しました。 ただし、これを追加しても、DSCPは常に0です。

11 windows  group-policy  qos  windows-10  dscp 

単一のドメインコントローラーネットワーク（Windows Server 2008 R2、2003フォレスト/ドメインレベルで実行）があり、クライアントは現在WinXP ProからWin7 Proに移行しています。 Internet Explorerのプロキシ設定を制御する必要がある：Windows XP + Internet Explorer 7および8で正常に動作するが、Windows 7 + Internet Explorer 10および11では動作しないポリシーを構築しました 管理テンプレートの代わりにポリシー設定を使用してプロキシを設定する必要があるため、これは理にかなっています ただし、[設定]に移動して[新規]を選択しようとすると、選択できるのは5と6、7、および8のみです。 IE 5-8 http://blogs.technet.com/resized-image.ashx/__size/550x0/__key/CommunityServer-Blogs-Components-WeblogFiles/00-00-00-52-58/7558.gpp1.jpg IE9とIE10もあると期待しています（IE11はIE10設定を使用することを知っています） IE8ポリシーを使用してプロキシ設定を適用しようとしましたが、これはXPクライアントでは正常に動作しますが、7クライアントでは動作しません。プロキシ設定は空です。 作業中の中央ADMXストア（\ [FQDN] \ SYSVOL [FQDN] \ Policies \ PolicyDefinitions）があり、最初にWindows 2008 R2 + IE 10ポリシーのセットをコピーし、次にWindows 2012 R2 +のセットをコピーしましたIE 11ポリシー。 ローカルサーバーの問題である場合に備えて、バックアップしてから2012 R2ポリシーをローカルサーバーのc：\ Windows \ PolicyDefinitionsにコピーし、gpupdate / forceを実行します。 …

11 windows-server-2008-r2  proxy  internet-explorer  group-policy 

2つ以上のGPOが同じ OUに適用されている場合（および矛盾するポリシーがある場合）、どちらが適用されますか？ たとえば、あるGPOで「すべてのドライブで自動再生を有効にする」というコンピューターポリシーを持つGPOがあり、別のGPOで「無効」に設定され、両方が同じコンピューターOUに適用される場合...優先されますか？

11 group-policy 

目標は、ユーザーがターミナルサーバーで不要なプログラムを実行できないようにすることです。 私は、新しいApplocker機能が古いソフトウェア制限ポリシーよりも100％優れており、後者の代替として推奨されると言っているマイクロソフトなどからの多くの記事を読みました。 カーネルモードの実行以外に、Applockerの真の利点を理解できるかどうかはわかりません。その機能のほとんどは、ソフトウェア制限ポリシーで再現できます。 同時に、それは非常に役に立たない1つの大きな欠点があります：それは拡張可能ではなく、制限したいカスタムファイル拡張子を追加することはできません。 SRPに対するApplockerの利点は何ですか？また、ソフトウェア制御には何をお勧めしますか？

11 windows-server-2008  security  group-policy 

私はあなたの助けと援助を大いに必要としています。 Windows 7 Enterpriseシステムへのログオンと起動に問題があります。キャンパス周辺の約20以上の建物に3000以上のWindowsデスクトップがあります。キャンパスのほぼすべてのコンピューターには、これから説明する問題があります。Windows Performance Analyzer（優れた製品）からのetlファイルと数十万のイベントログを1か月以上ピアリングしました。今日、私はこれを理解することができなかったことに謙虚にあなたに来ます。 ログオン時間を簡単に言えば問題は非常に長いです。平均的な初回ログオンは、インストールされているソフトウェアに応じて約2〜10分です。すべてのコンピューターはWindows 7であり、最も古いコンピューターは5歳です。さまざまなコンピューターでの起動時間は、良好（1〜2分）から非常に悪い（5〜60）の範囲です。2回目のログオンの範囲は30秒から4分です。 ネットワーク上の各コンピューター間にギガビット接続があります。DNSサーバーとしても機能する5つのドメインコントローラーがあります。 最初のテストでは、これがソフトウェアの問題であると考えました。そのため、xperfviewのetlファイルから一貫性のない結果を見つけるためだけに、マシンを数日間テストしました。キャンパス内のコンピューターの各サブセットには、ソフトウェアの問題の異なるサブセットがあり、起動時のログオンを妨げるものはありませんでした。 そこで、グループポリシーを調べ始め、非常に興味深いイベントIDを見つけました。 グループポリシー1129：ドメインコントローラーへのネットワーク接続がないため、グループポリシーの処理に失敗しました。 グループポリシー1055：グループポリシーの処理に失敗しました。Windowsはコンピューター名を解決できませんでした。これは、次のうちの1つ以上が原因である可能性があります。a）現在のドメインコントローラーでの名前解決の失敗。b）Active Directory Replication Latency（別のドメインコントローラーで作成されたアカウントが現在のドメインコントローラーにレプリケートされていません）。 NETLOGON 5719：このコンピューターは、次の理由により、ドメインOURDOMAINのドメインコントローラーとの安全なセッションを設定できませんでした。現在、ログオン要求を処理できるログオンサーバーがありません。これにより、認証の問題が発生する場合があります。このコンピューターがネットワークに接続されていることを確認してください。問題が解決しない場合は、ドメイン管理者に連絡してください。E1kexpress 27：Intel®82567LM-3ギガビットネットワーク接続–ネットワークリンクが切断されています。 NetBT 4300 –ドライバーを作成できませんでした。 WMI 10-エラー0x80041003のため、クエリ "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA" Win32_Processor "AND TargetInstance.LoadPercentage> 99"がネームスペース "//./root/CIMV2"で再アクティブ化できませんでした。問題が修正されるまで、イベントはこのフィルターを介して配信できません。 タイムスタンプが多かれ少なかれ、ネットワークに問題がある可能性があることが明らかになります。 1:25:57-グループポリシーはドメインコントローラー情報を検出しようとしています 1:25:57-ネットワークリンクが切断されました 1:25:58-ドメインコントローラーへのネットワーク接続がないため、グループポリシーの処理に失敗しました。これは一時的な状態である可能性があります。マシンがドメインコントローラーに接続され、グループポリシーが正常に処理されると、成功メッセージが生成されます。数時間成功メッセージが表示されない場合は、管理者に連絡してください。 1:25:58-LDAP呼び出しを行って、Active Directoryに接続およびバインドします。DC1.ourdomain.edu 1:25:58-0ミリ秒後に呼び出しが失敗しました。 1:25:58-ドメインコントローラーの詳細の再検出を強制します。 1:25:58-グループポリシーは1030ミリ秒でドメインコントローラーを検出できませんでした 1:25:58-コンピューターOURDOMAIN \％name％$の定期的なポリシー処理が1秒で失敗しました。 1:25:59-全二重で1Gbpsのネットワークリンクが確立されました …

11 windows-7  networking  domain  group-policy  wmi 

ユーザーごとに、ライブラリの場所をWindows 7の「ライブラリ」の場所に追加および削除しようとしています。 これはデスクトップから簡単に実行でき、エクスプローラーに表示されるライブラリを簡単に無効にできますが、ライブラリの場所から場所を追加または削除するにはどうすればよいですか（たとえば、ユーザーのドキュメントライブラリからc：\ users \ public \ documentsを削除します）？ ライブラリの場所のリストを「ロック」する必要はありません。彼らが望むように自分の場所を追加したり削除したりするのはうれしいですが、提供される最初の場所を制御したいと思います。

11 windows  group-policy 

私は、小さな会社のActive Directoryセットアップを管理しようとするプログラマーです。ドメインコントローラーはWindows Small Business Server 2008を実行しています。 タブレットPCを使用するフィールドワーカーのスタッフがいます。タブレットのThinkVantageブロートウェアの構成の問題により、これらのユーザーはタブレットを使用するときに管理者権限を持っている必要があります。それは大丈夫です-電話で修正プログラムを歩いているときに彼らが幅広い特権を持っていると便利なので、回避策を探していません。 グループポリシーを使用して、次のシナリオを設定します。特定のセキュリティグループ（または組織単位）のコンピューターにログインする場合、特定のセキュリティグループ（または組織単位）のユーザーは、BUILTIN / Administratorsグループに属している必要があります。コンピューターをOUに入れる必要はありますが、グループごとにユーザーを割り当てたいと思います。 もちろん、フィールドワーカーは他のワークステーションの管理者であってはならず、バニラオフィスのスタッフはタブレットの管理者であってはなりません。 現在、これは各タブレットでローカルに管理されていますが、新しい雇用を追加するにつれて、面倒になりつつあります。 ここでは制限されたグループが答えだと思いますが、ADの概念と方法に確固たる基礎がなければ、それを実現するのに苦労しています。 このタスクの適切なテクニックは何ですか？それを実装するにはどうすればよいですか？

11 security  active-directory  permissions  group-policy 

ロックされています。この質問とその回答はロックされています。なぜなら、質問はトピックから外れていますが、歴史的に重要だからです。現在、新しい回答やインタラクションを受け入れていません。 私は、処理可能なActive Directoryの優れたオープンソースの代替手段を探しています。 認可/認証 グループポリシー レプリケーションと信頼の監視 さらに、これらの責任を処理する統合システムはありますか？ 編集：多くの詳細が求められているため、組織、ハードウェア/ソフトウェアのセットアップのためのインフラストラクチャをセットアップするサービスを提供しようとしています。現在、デスクトップとサーバーの両方のLinuxスタックを見ていますが、可能性があり、私は代替案を調査しています。

11 linux  active-directory  group-policy  user-management  open-source 

グループポリシーを使用してプリンターを展開するための2つのオプションに気づきました。 GP管理でグループポリシーを作成してリンクし、[ユーザーの構成]> [設定]> [コントロールパネルの設定]> [プリンター]でプリンターを追加します。 Print Management mmcに移動し、プリンター共有を右クリックして、[Deploy with Group Policy]を選択します。次に、使用するGPO名を選択します。 これらのどちらが推奨されますか、それとも推奨されますか？動作が少し異なるようです。現在、2番目のオプションを使用してプリンターを展開していますが、展開先のGPOにアクセスして変更することはできません（空白です）。

11 active-directory  group-policy 

私は中等学校のIT技術者であり、ネットワークマネージャーは長期休暇中です。現在、学生は圧縮フォルダに送信できません。「ファイルが見つからないか、読み取り権限がない」というエラーが表示される。スタッフ向けなので、グループポリシーの設定だと想像できます。GPOに関する知識は最小限です。私の理解では、zipファイルを作成するときにC：ドライブで一時ファイルが使用されます。私はテスト学生にこれらへのフルアクセスを与えようとしましたが、これは機能しませんでした。サードパーティ（7-zip）も機能しません。 64/32の混合が使用されているWindows 7。Server 2008 R2 Enterprise。 どんな助けも大歓迎です！

11 windows  windows-server-2008-r2  group-policy  compression 

Enforeced GPOの優先順位は何ですか？洗練された答えを与えるMS記事は本当に見つかりません。 私の現在の理解は次のとおりです。 5つのGPO（GPO1からGP05）があるとします。試験問題を使用して状況を説明します。 GPO Linked to Enforced GP01 - contoso.com - No GP02 - contoso.com - Yes GP03 - Site 1 - Yes GP04 - OU1 - No GP05 - OU1 - Yes 今、私の理解は、最初に適用するものから最後に適用するもの（このため、最も優先順位の高いもの）まで、この順序で適用することを意味します。 GP01 -> GP04 -> GP05 -> GP02 -> GP03 (meaning 3 has the final say …

11 active-directory  group-policy 

Windows 10コンピューターの大規模な展開と、本当に恐ろしいハイコントラストのテーマを有効にし、元に戻すことができないためITリソースを消費しているユーザーがいる状況です。 私は、この設定を（切り替えるキーボードショートカットがあることを承知しているAlt+ Shift+ Print Screen）、しかし、それやったり、あまりにもリソースを集中しているユーザー教育をしようと走り回っている、と私は完全にアクセシビリティ設定へのアクセスをブロックするオプションを認識してんだが、我々悪意のない使いやすさの設定へのアクセスを必要とする視覚障害のあるユーザーがいるため、これはオプションではありません。 ユーザーがテーマを変更できないようにするオプションも知っていますが、変更する前に、この高コントラストのテーマのゴミを取り除く必要があります。 スクリプトまたはGPOを介してハイコントラストテーマを単純にオフにする方法を知っている人はいますか？

10 windows  group-policy  scripting  windows-10