タグ付けされた質問 「group-policy」

閉まっている。この質問はトピックから外れています。現在、回答を受け付けていません。 この質問を改善してみませんか？ サーバー障害のトピックになるように質問を更新します。 3年前休業。 Windows 2012サーバーで16文字より長いパスワードを作成しようとすると、パスワードが長すぎるために拒否されます。「パスワードの最大長」と呼ばれるGPOを探してみました-見つかりません。問題は、PwdFiltまたはPCNSFLTにある可能性があります。私も見たregeditのスクリーンショット。1 問題は、暗号化を行うためにインストールするSQL 2014サーバーに36文字のパスワードが必要なことです。 助言がありますか？

10 windows  active-directory  group-policy  sql  password 

OpenVPN 2.3.13クライアントソフトウェアがインストールされたドメインに参加しているWindows Server 2012 R2ボックスがあります。VPN接続がアクティブな場合、「イーサネット2」（TAPインターフェイス）接続は、NLAによってメインLAN NICと共にドメインネットワークカテゴリに配置されます。理想的には、VPNインターフェイスをパブリックカテゴリに割り当てることができるようにしたいと考えています。私はPowerShellを試してみましたが、このエラーが常に発生します： 次のいずれかの理由により、NetworkCategoryを設定できません。PowerShellを昇格させていない。NetworkCategoryを「DomainAuthenticated」から変更することはできません。ユーザーが開始したNetworkCategoryへの変更は、グループポリシー設定 'Network List Manager Policies'が原因で防止されています。行：1 char：1 + Set-NetConnectionProfile -InterfaceIndex 15 -NetworkCategory Public + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo：PermissionDenied：（MSFT_NetConnect ... 72AADA665483} "）： root / StandardCi ... nnectionProfile）[Set-NetConnectionProfile]、CimException + FullyQualifiedErrorId：MI RESULT 2、Set-NetConnectionProfile 15は「Ethernet 2」のインターフェース番号 注目に値するのは、このコマンドを管理者特権のPowerShellセッションで実行していて、使用可能なすべてのGPOポリシーを試してみましたが、エラーが常にスローされます。NLAに関するほとんどの情報は、プライベートとパブリックの切り替えが機能することを示唆していますが、DomainAuthenicatedは少し異なるようです。 レジストリメソッドにはイーサネット2の実際のプロファイルがないため、そのように変更することもできません。 とにかくTAPアダプターを強制的にパブリックにする方法はありますか？OpenVPN接続自体は、メインNICのデフォルトゲートウェイを上書きせず、10.0.0.0 / 8サブネットを使用します。route-nopullルートを使用してオーバーライドするという事実は、NLAがネットワークを検出する方法の問題の一部である可能性があります。 Ethernet adapter Ethernet 2: Connection-specific DNS Suffix . …

10 windows  windows-server-2012-r2  group-policy  openvpn 

そのWSUSを使用して重要な更新をオンにしたまま、ネットワークの帯域幅を維持するためにWSUSサーバーを構成しました。 クライアントPCおよびその他の設定を指すイントラネットWSUSサーバーは、ドメインコントローラー2003のグループポリシーを介してプッシュされます。 ドメインには次のポリシーが設定されています。 コンピューター構成セクション ユーザー構成セクション このようにしてクライアントで正しく構成されます。 それでも私は無効化/削除したい、 （1）ユーザーが更新を確認する機能（自動的に金曜日の午後4時にインストールするようにスケジュールされているため） （2）ユーザーが更新をインストールする機能 （3）Windowsからの更新をオンラインでチェックする機能（wsusをダウンロードのソースにしたいだけです） 私が3つの事実の上に線を引いた場合、Windows 7のクライアント設定でその下に私が無効にしたいもの これは、既存のServer 2003グループポリシーを使用して可能ですか？上記の3つの要件を達成するには？クライアントには、3つ以上の要件を必要とするWindows XP、7、8、8.1があります。 どんな助けでも大歓迎です。

10 windows-server-2003  windows-7  group-policy  rdp  wsus 

すべてのオプションが設定され、回復キーがActive Directoryに格納されるように、グループポリシーでBitLockerとTPMの設定を構成しました。すべてのマシンでWindows 7を標準の企業イメージで実行しており、TPMチップが有効になっていてBIOSでアクティブになっています。 私の目標は、ユーザーがしなければならないすべてが[BitLockerを有効にする]をクリックするだけで済むようにすることです。マイクロソフトは、スクリプトを介して展開できる自動化サンプルも提供しています。しかし、これをスムーズなプロセスにするための小さな問題があります。 GUIでは、ユーザーがBitLockerを有効にすると、自動的に生成される所有者パスワードでTPMを初期化する必要があります。ただし、回復パスワードはユーザーに表示され、テキストファイルに保存するように求められます。このダイアログを抑制できないようで、ステップをスキップできません。キーがADに正常にバックアップされるため、これは不要な（そして不要な）プロンプトです。 展開をスクリプト化する場合、TPMを初期化するときにスクリプトで所有者パスワードを指定する必要があり、GUIのようにランダムに生成されるようにします。 BitLockerの展開を本当に希望どおりにゼロタッチする方法はありますか？

10 windows  active-directory  group-policy  bitlocker  tpm 

私の制御が及ばない理由で、私はGPO / GPPをセットアップして100以上のプリンターを1000以上のクライアントに展開するように任されています。 良いニュースは、12を超えるサイトがあり、ほとんどの場合、サイトXのすべてのプリンターをサイトXのすべてのクライアントPCにプッシュすることを許可されていることです。 悪い知らせは、私がそれを行う方法を知っている2つの方法（「グループポリシーを使用して展開」、「プリントサーバーから」およびGPP /グループポリシーの基本設定を使用）は、私が望むよりもはるかに多くの手動作業を伴うということです。これだけの数のプリンタです。Deploy with Group Policy...たとえば、プリントサーバー上のすべてのプリンタを選択してオプションを使用することすらできないようです。たとえば、1つずつ実行することが想定されていますが、実際には起こりません。GPPはさらに悪いです、それは私がプリントサーバーからプリンターのパスを選択し、プリンター接続から取得できるはずの情報（プリンターIPなど）を手動でパンチすることを期待しているためです。 プリントサーバー上のすべてのプリンターをGPO / GPPに追加するスクリプトのGoogle-Fuが空になりました。これを半自動で行う別の方法が見当たらないようですが、こだわっています私は何かが足りないという信念を持っています。なぜなら、何人もの正気な人がGPOに手動で数百台のプリンターを追加することを選択する方法はないからです。 理想的には、GPPをプログラムで使用する方法を見つけたいと思いますが、この状況では、プリンタを手動で数十時間追加することを必要としないソリューションが最適です。 誰かがこれを行う方法を持っていますか、または私はPowerShellスクリプトを作成したり、部下をだましてこれを行わせる必要がありますか？

10 active-directory  scripting  network-printer  group-policy 

デフォルトのApplockerルールで構成される基本的なグループポリシーを設定しました。この件に関する Microsoftのtechnetの記事によれば、ポリシーによって明示的に実行を許可されていないファイルは、実行がブロックされることになっています。このポリシーを展開しgpresult、を使用して正しいユーザーに適用されていることを確認した後も、インターネットからexeをダウンロードして実行できました。このexeは、ユーザープロファイルの一時フォルダーに保存されています。その時点で私はさらにグーグルで作業し、App Identityサービスを実行する必要があることを確認しましたが、実際にはそうではありませんでした。つまり、他の優れた管理者と同様に、それを開始し、自動に設定して、念のため再起動しました。再起動後もポリシーは機能しませんでした。以下は、現在のポリシーのスクリーンショットです。 デフォルトのルールが機能していなかったため、明示的に拒否ルールを追加しました。マシンにポリシーを正しく適用し、ルールが適用されていることを確認しました（スクリーンショットにそのように記載されています）。Test-AppLockerPolicyコマンドレットを使用して、ルールがEXEとMSIの実行をブロックしていることを確認しましたが、ブロックしていません。どんなに滑稽に聞こえても、ほとんどの提案を受け入れます。 更新 この大失敗の最中にAppLockerのイベントログをチェックしたことを追加するのを忘れており、それは空白でした。常に1つのエントリではありません。

10 windows-7  group-policy  applocker 

ユーザーに適用する必要があるGPOがありますが、ユーザーDOMAIN\DumbGuyがログオンしたときのみDOMAIN\DumbGuysComputer$です。ときDOMAIN\NiceReceptionistにログオンするDOMAIN\DumbGuysComputer$には、適用しないでください。ときDOMAIN\DumbGuyにログオンするDOMAIN\ReceptionstsComputer$には、適用しないでください。 1台のコンピューターで1人のユーザーにのみ適用する必要があります。 GPOをユーザーオブジェクトに適用すると、彼のすべてのコンピューターに適用されます。GPOをコンピューターオブジェクトに適用すると、そのコンピューター上のすべてのユーザーに適用されます。両方に当てはめればさらに広がります。 1台のコンピューター上の1人のユーザーにGPOを適用するにはどうすればよいですか？

10 active-directory  group-policy 

集中管理されているコンピューターのセキュリティを強化したいのですが、Javaランタイムを自動的に展開するのは非常に困難ですが、その方法は別の問題です。 パッチが完全に適用されていても、Javaのセキュリティは壊滅的です。ユーザーが無害な質問「この証明書を信頼しますか？」Java webstartは、マルウェア作成者にとっても普遍的なエントリポイントのようです。 一般的に、ブラウザゲームなどをプレイするユーザーは気にしません。Javaアプレットはとにかく絶滅しているようです。 しかし、Javaに依存するページが1つ残っています（Ingramm Microショッピングシステム）。 特定の構成済みサイトでJavaプラグインのみを許可するようにグループポリシーを介してIEまたはJavaを構成する簡単な方法を知っている人はいますか？ ありがとう！

10 security  group-policy  java  internet-explorer 

最近から、ADポリシーを使用して、GPO経由で小さなドメインにソフトウェアパッケージを展開しています。これはうまく機能していましたが、パッケージをアップグレードするための正しい手順は何なのかわかりません。 最初にXを展開したと想定して、「Install X」という名前のGPOを通じてバージョンaを作成します。すべて正常に動作し、時間の経過とともにバージョンbがリリースされます。（新しいバージョンの.msiが既にインストールされているバージョンのアップグレードを実行できると仮定）アップグレードを実行するには、次のオプションがあると思います。 配布ポイントの元の.msiを置き換えてから、グループポリシーエディター（GPO " Install X " を開きます）を使用して、[コンピューターの構成] / [ソフトウェアの設定] / [ソフトウェアのインストール]で[アプリケーションの再展開]にタスクを割り当てます グループポリシーエディターを使用して、コンピューターの構成/ソフトウェアの設定/ソフトウェアのインストールで新しいバージョンの新しいパッケージを作成し、このパッケージでアップグレードする古いパッケージを指定します（[アップグレード]タブで、バージョンaのパッケージを選択します。既存のパッケージをアンインストールするか、アップグレード） バージョン用のパッケージ削除するには、グループポリシーエディタを使用してA（すぐにアンインストールオプション付き）を、バージョンのために新しいパッケージを追加B 質問： 最初のオプションの欠点は何ですか？ 2番目のオプションは、GPO経由で配布されたパッケージをアップグレードする適切な/推奨される方法ですか？ GPOを介したパッケージのアップグレードに関して、他に微妙な点、ベストプラクティス、または一般的なアドバイスはありますか？ 編集：また、私は3を適切にテストしただけなので、1と2でいくつかの重要なステップが欠けている場合は、ポインタをいただければ幸いです。:)

10 active-directory  group-policy  deployment 

ユーティリティをバッチファイルとして記述しようとしています。このユーティリティは、特に、「ローカルでログオンを拒否する」ローカルセキュリティポリシーにユーザーを追加します。このバッチファイルは、数百の独立したコンピューターで使用されます（ドメイン上ではなく、同じネットワーク上にもありません）。 私は次のいずれかを私の選択肢だと思いましたが、おそらく私が考えていないものがあるでしょう。 net.exeローカルセキュリティポリシーを変更できるのと同様のコマンドラインユーティリティ。 同じことを行うVBScriptサンプル。 いくつかのWMIまたはWin32呼び出しを使用して独自に記述します。必要がなければ、私はむしろこれをしたくない。

10 windows  group-policy  batch-file  vbscript  security 

IE7は、証明書の失敗について積極的に警告します。HTTPSで実行する内部サイトがいくつかあるため、有効な証明書が必要です。イントラネットにSSL証明書に署名できる認証局があるようですが、問題があります。内部CAを信頼するようにデスクトップを一括構成するにはどうすればよいですか。 GPOを介して内部CA証明書をローカルに展開することは可能ですか？

10 windows  security  group-policy  certificate 

特定のローカルユーザーがログオフしないようにしたい。今まで。これはばかげた質問によく似ていますが、ボタンがそこにあるかどうかは必ずしも気にしません。「コンソールからログオフしないでください」というメッセージボックスを「OK」ボタンでポップアップして、ログオフをキャンセルします試み。これはログオフスクリプトで実行できますか？ スタートメニューとCTRL-ALT-DELダイアログのログオフボタンを無効にするグループポリシーがあります。しかし、私が望むのは、サーバー2008 R2にはないように見えるhttp://msdn.microsoft.com/en-us/library/ms811998.aspxのようなもの ですか？それとも私はそれを逃していますか？ 起動時にログオフボタンを無効にしようとしましたが、この同様の質問でマットが指摘したように機能しません ログオフしないことをユーザーに警告するダイアログを表示し、ログオフをキャンセルするログオフスクリプトを作成することはできますか？ 私はこれがあまりにも必要なことであることを理解しています。残念ながら、変更したり押し戻したりする権限はありません。私はそれらのオプションを使い果たしました。これは本当に何も解決するのではなく、多くの多くの体系的な問題の症状を明らかに緩和している愚かな計画であると説明しているコメントに大量の賛成投票をしてください。この一連の行動が実際に問題を引き起こしていることを十分に理解しています。私はこれをやりたいので、私はこの契約でやり遂げることができ、二度と彼らと一緒に働くことはありません。

10 windows-server-2008-r2  group-policy  logoff-scripts 

メモリスティックやSDカードなどのリムーバブルストレージから.exeを実行しているユーザーに問題があります。 これに対処するために、すべてのリムーバブルストレージから実行されるexeのブロックを設定しようとしていますが、「ユーザーの構成> Windowsの設定>セキュリティの設定>ソフトウェアの制限のポリシー>追加のルール」のグループポリシー設定で、「パス」を作成できます。変数。すべてのリムーバブルストレージにシステム変数を使用したいのですが、機能するものがあるかどうかわかりません。リムーバブルメディアに割り当てることができるすべての潜在的なドライブ文字（E：\から約L：\まで）のブロックリストを作成して作成する必要がありますか、それとも実際に機能するものがありますか？%~dp0ステートメントとバッチパラメーターの場合、forループでのみ機能することがわかりました。 他に、より良い、またはより信頼できる方法がある場合は、お知らせください。 ああ、私はAppLockerを見てきましたが、DCはServer 2008を実行しており、AppLockerはWindows 7および2008 R2の一部であると思います。以下の回答に対するコメントで述べたように、Server 2008には「実行アクセスの拒否」設定がないと思います。他のオプションはありますか？

10 windows-server-2008  group-policy 

GPOを介して「Internet Explorer」を拒否し、Google Chromeをデフォルトで唯一のブラウザとして使用できますか？ Internet ExplorerはWindowsオペレーティングシステムの一部であるため、それを拒否できる場合はどうでしょうか。 ユーザーにGoogle Chromeをブラウザーとしてのみ使用することを強制したいと思います。

10 windows  group-policy  internet-explorer  defaults 

従来のドメインコントローラーではなく、Azure Active Directoryを使用しようとしています。 Azure ADを使用してユーザーを認証し、フォルダーリダイレクト、ドライブマッピング、Windows 10プライバシー設定などのGPO設定をプッシュしたいと思います。 Office 365アカウントを作成しました。これにより、ADバックエンドが作成されます。また、Azureアカウントを作成し、O365 / Azureユーザーの詳細を使用して、テスト用のWindows 10 PCをAzureドメインに追加しました。 また、Azure AD Premium試用版も購読しています。 この時点で行き詰まっています。追加したPCはAzureのどこで確認できますか？ また、Azure ADを使用して従来のグループポリシー設定をテストPCにプッシュできますか？プッシュする場合、どこでこれを構成しますか？ または、Windows Intuneなどを使用する必要がありますか？

9 windows  active-directory  group-policy  azure  azure-active-directory