タグ付けされた質問 「group-policy」

私はこれに少し困惑しているので、自分がかなり知識豊富なGPOの人だと思っているので、誰かが私を啓蒙してくれることを期待しています。 ログインバナーを表示するためにInteractive Logon:設定を変更するログインバナーGPOがありますComputer Configuration - Policies - Windows Settings - Security Settings - Local Policies / Security Options - Interactive Logon。これが、このGPOが行う唯一のことです。 現在、Technetや他のオンラインからの私の理解は、私自身の過去の経験と共に、これをドメインレベルに適用/リンクされたGPOで構成することです。 ただし、ここでは、現在の会社で"LogonMessage GPO"がドメインコントローラーOUのみに適用/リンクされており、このGPOが組織内のすべてのコンピューターに適用されることを確認してください。 たとえば、ワークステーションでrsop.mscを実行すると、ワークステーションが明らかにドメインコントローラーOUにない場合でも、その設定のソースGPOとして表示されます。 だから何を与えるのですか？ログインバナーGPOをドメインコントローラーOUに適用すると、ドメイン内のすべてのコンピューターに適用されるのはなぜですか？

9 group-policy 

最近のランサムウェアのアウトブレイク（Cryptolocker / Cryptowall / etc。）によって生成されたワークロードのため、最近、一時ディレクトリからのプログラム実行をブロックするソフトウェア制限ポリシーの実装を任されました。これは通常十分に機能しますが、ソフトウェアをインストールする必要がある場合は、これらのソフトウェア制限ポリシーによってインストーラーがマシンの一時ディレクトリにアクセスできないという問題があります。 Active Directory階層は基本的に物理サイトのラインに沿って編成されており、ADオブジェクトはドメインルートとその特定のサイトOUからそれぞれ約数十のGPOを継承します。そのため、ドメインルートからブロックされたポリシーOUを作成するオプションはありません（サイト固有のグループポリシー設定を継承しないと、マシンに大きな問題が発生し、リモートユーザーはそれらを解決するのに十分なスキルがありません） ）、または子OUに近いグループポリシーオブジェクトを再リンクする（これには数百のリンク解除および再リンク操作が含まれるため、私は望んでいません）、または継承をブロックして子OUを作成します（私が持っているため）その場合に行うべき数百のリンク操作）。 とはいえ、ソフトウェアを時々インストールできるように、ソフトウェア制限ポリシーGPOの適用を一時的に停止する方法が必要です。各サイトで子OUを作成し、逆ソフトウェア制限ポリシーをリンクして、最初にこれを解決しようとしました。逆ポリシーの優先順位が高いと、継承されたポリシーが無効になると考えていましたが、まったく機能しませんでした-RSOPそのコンピューターは無料disallowでunrestrictedルールを取得しておりdisallow、そのシナリオではルールが勝ちます。 つまり、これらすべてを念頭に置いて（すべてのGPOを再リンクできず、単純な継承ブロックOUを作成できず、優先順位の高いGPOで問題が解決されないように見えます）、[一時的に]何ができますか継承されたソフトウェア制限GPOの適用をブロックしますか？Server 2008 R2 FLドメイン/フォレスト上のWindows 7クライアントを想定しています。

9 windows  active-directory  group-policy 

私はこれを成功させるためにしばらくの間努力してきました。グループポリシー結果ウィザードを実行すると、グループポリシー設定が適用されているようです。 これは、インターネットゾーンを中程度に設定するために私がしていることです。 1.グループポリシー管理エディター>ユーザー構成>ポリシー>管理用テンプレート> Windowsコンポーネント> Internet Explorer>インターネットコントロールパネル>セキュリティページ xennappデスクトップオープンIEにログインすると、次のように表示されます。 結果ウィザードを実行すると、次のように表示されます。 機能しているように見えますが、機能していません。誰かが私と協力して、欠けているものを見つける手助けをしてもらえますか？管理対象のコンピューターがサーバー2008であり、グループポリシー設定（ドメインコントローラー）が設定されているコンピューターがサーバー2003であることに注意してください。来年のために。

9 windows-server-2008  windows-server-2003  group-policy  internet-explorer 

私は昨年Windows 2008 R2サーバーを構築しましたが、それ以来、管理者特権のアカウントが1日に10〜12回ロックされています。多くの調査とテストの結果、サーバーがグループポリシーの更新に失敗するたびに（約90分ごとに）アカウントがロックされていることがわかりました。他の誰かがこれを見たことを示す情報をウェブ上で見つけられなかった、そして私はそれが自分自身を信じられないほど見つけた。 サーバーに3つのシステムイベントが記録されるたびに： イベントID 14：Credential Managerに保存されているパスワードが無効です。これは、ユーザーがこのコンピューターまたは別のコンピューターからパスワードを変更したことが原因である可能性があります。このエラーを解決するには、コントロールパネルで資格情報マネージャーを開き、資格情報contoso \ meのパスワードを再入力します。 Credential Managerにエントリがありません。これは、Credential Managerサービスを無効にするかどうか、ログオンしているかどうか、ログアウトしてローカル管理者アカウントを使用してプロファイルを削除するかどうかに関係なく発生します。 イベントID 40960：セキュリティシステムは、サーバーcifs / ContosoDC.contoso.comの認証エラーを検出しました。認証プロトコルKerberosからのエラーコードは、「要求された無効なログオン試行またはパスワード変更試行が多すぎるため、ユーザーアカウントは自動的にロックされました。（0xc0000234）」でした。 - イベントID 1058： グループポリシーの処理に失敗しました。Windowsはファイル\ contoso.com \ SysVol \ contoso.com \ Policies {78719F0C-3091-4B5C-9BC3-6498F729531E} \ gpt.iniをドメインコントローラーから読み取ろうとしましたが、失敗しました。このイベントが解決されるまで、グループポリシー設定は適用されない場合があります。この問題は一時的なものである可能性があり、次の1つ以上が原因である可能性があります。a）現在のドメインコントローラへの名前解決/ネットワーク接続。b）ファイル複製サービスの待ち時間（別のドメインコントローラーで作成されたファイルが現在のドメインコントローラーに複製されていません）。c）分散ファイルシステム（DFS）クライアントが無効になっています。 私はアイテムをacでチェックしました、何もそうではないようです。 ユーザーアカウントがロックされていないことを確認し、サーバーでgpupdateを実行してから、すぐにロックされるユーザーアカウントを再確認することで、これを徹底的にテストしました。ロックアウトツールを使用して、すべてのロックアウトがこの特定のサーバーから発生していることを明らかにしました。ユーザーアカウントには関連付けられたメールアドレスがなく、私は既知のロックアウト問題の通常の配列を広範囲にわたって調査しました。 私のための手がかりはありますか？この運用サーバーを停止し、ADでそのコンピューターオブジェクトをリセットする準備をしていますが、それが役立つことはわかりません。

9 windows-server-2008-r2  group-policy  active-directory 

GPOソフトウェアインストールポリシーを使用して最新のAVスイートをインストールしたいと考えています。（以下のスクリーンクリップのように。） 残念ながら、DFSを使用する要求が拒否されたため、環境内のサイトごとにGPOを作成する必要があります（各サイトは独自のサブネットです）。私が抱えている問題は、多くのユーザーがサイト間を移動するため、別のサイトに移動すると、新しいGPOを取得し、以前のGPOのスコープから外れることです。 現在のPCにアプリケーションが既に存在する場合、GPOソフトウェアのインストールによってアプリケーションが再インストールされるかどうかに関する具体的なドキュメントが見つかりません。私は、コンピューターが範囲外になったときにアプリを終了するオプションを使用します。 私の調査から、GPOはGPOのバージョンが変更された場合にのみ適用されることがわかりましたが、実際のMSIはどうですか？ 人々が先送りしたがバックアップできない2つのシナリオを見つけました。 GPOは、インストールされたプログラムのリストをチェックするWindowsインストーラーサービスを呼び出し、現在のMSIバージョンが存在しない場合にのみインストールします。 GPOのインストールでは、独自のソフトウェアのリストとともに独自のAPPキャッシュが保持され、アプリが既にインストールされている場合でも、そのリストにない場合はアプリがインストールされます。 誰かが私のために正しい情報を確認できますか？ 編集：応答の人たちのおかげで、私はソフトウェアを展開する他の代替方法を知っていますが、私が求めているのは、GPO展開がパッケージが既にワークステーションに存在する場合にパッケージを再インストールするかどうかについての具体的な答えです。

9 windows  active-directory  group-policy 

Windows 2003ドメインでターミナルサーバーファームを実行していますが、TSサーバーに適用されているソフトウェア制限のGPO設定に問題があることがわかりました。設定と問題の詳細は次のとおりです。 すべてのサーバー（ドメインコントローラーとターミナルサーバー）はWindows Server 2003 SP2を実行しており、ドメインとフォレストの両方がWindows 2003レベルです。TSサーバーは、特定のGPOがリンクされ、継承がブロックされているOU内にあるため、TS固有のGPOのみがこれらのTSサーバーに適用されます。ユーザーはすべてリモートであり、ワークステーションがドメインに参加していないため、ループバックポリシー処理は使用しません。ユーザーがアプリケーションを実行できるようにするために「ホワイトリスト」アプローチを採用しているため、パスまたはハッシュルールとして承認および追加したアプリケーションのみが実行できます。ソフトウェア制限のセキュリティレベルを[許可しない]に設定し、強制を[ライブラリを除くすべてのソフトウェアファイル]に設定します。 私が見つけたのは、ユーザーにアプリケーションへのショートカットを与えると、「ホワイトリストに登録された」アプリケーションの追加ルールリストにない場合でも、ユーザーがアプリケーションを起動できることです。ユーザーにアプリケーションのメイン実行可能ファイルのコピーを渡して、それを起動しようとすると、予期した「このプログラムは制限されています...」というメッセージが表示されます。ソフトウェア制限は実際に機能しているようですが、ユーザーがメインの実行可能ファイル自体からアプリケーションを起動するのではなく、ショートカットを使用してアプリケーションを起動する場合を除きます。これは、ソフトウェア制限の使用目的と矛盾しているようです。 私の質問は次のとおりです。他の誰かがこの動作を見たことがありますか？他の誰かがこの動作を再現できますか？ソフトウェアの制限の理解に欠けているものはありますか？ソフトウェアの制限の設定が間違っている可能性はありますか？ 編集 問題を少し明確にするには： より高いレベルのGPOは適用されていません。gpresultsを実行すると、実際にはTSレベルのGPOのみが適用されており、実際にソフトウェアの制限が適用されているのを確認できます。パスのワイルドカードは使用されていません。「C：\ Program Files \ Application \ executable.exe」にあるアプリケーションでテストしていますが、アプリケーションの実行可能ファイルがパスまたはハッシュルールにありません。ユーザーがアプリケーションのフォルダーから直接メインアプリケーションの実行可能ファイルを起動すると、ソフトウェアの制限が適用されます。「C：\ Program Files \ Application \ executable.exe」にあるアプリケーション実行可能ファイルを指すショートカットをユーザーに与えると、プログラムを起動できます。 編集 また、LNKファイルは指定ファイルタイプにリストされているため、実行可能ファイルとして扱う必要があります。つまり、同じソフトウェア制限の設定とルールによってバインドされている必要があります。

9 windows  windows-server-2003  group-policy 

閉まっている。この質問はトピックから外れています。現在、回答を受け付けていません。 この質問を改善してみませんか？ サーバー障害のトピックになるように質問を更新します。 4年前休業。 私は約150台のマシンを備えた小規模な学校ネットワークを管理しています。各マシンにアクセスすることなく、すべてのマシンにソフトウェアを展開する簡単な方法を探しています。 私はSymantec Ghostを使用してすべてのマシンを同じようにセットアップしましたが、1つのアプリケーションでは、ネットワーク全体を再ゴースト化するのは一歩遠すぎるようです。 以前は、MSIインストーラーを使用するか、インストールの前後にマシンのスナップショットを取得して、ネットワーク上の指定されたマシンに変更をプッシュするNovellのZenWorksを使用しました。 ただし、今回はWindows 2003を使用しており、予算は限られています（つまりありません）。私はグループポリシーインストーラーに頭を悩ませることができなかったので、もし誰かが私に良いハウツーを教えてもらえたら、それもありがたいです。 あなたの助けに感謝します！

9 windows  windows-server-2003  group-policy  deployment  application 

現在、GPPを介してプログラムファイルの下のフォルダーにいくつかのファイルを展開しています。私は64ビットと32ビットのOSを区別する必要があります。Targeting Editorを使用してどのコンピューターをターゲットにするかを簡単に除外する方法は何ですか？ Wmi：SELECT * FROM Win32_Processor WHERE AddressWidth = 32 環境：programfilesx86 レジストリ：??? ターゲットエディターでのOSの選択 私は現在、WMIセレクトの使用を検討していますが、多すぎるようです。どの方法が最適ですか？

9 group-policy 

私は何年にもわたってWindows Serverを使用しており、自分のマシンに対するローカル管理者アクセスを必要とする人がいる場合は、この回答と同様の方法でグループポリシーを介して適用します。 私のクライアントの1つにSBS 2011があり、実際に驚くほど便利な機能の1つは、ユーザー管理と、ユーザーにローカル管理者アクセスを与えるのがいかに簡単かです。 これを実行した後、実際に何が適用されているのかを確認するために、何年も探し回っていましたが、失敗しました-リンクされたポリシーが表示されませんでした。適用される任意の設定またはオプション。 Access levelユーザーを変更したときにSBS 2011が実際に行うことを誰かが知っていますか？とにかく、これをSBS以外のWindowsサーバーで簡単に複製できますか？

9 active-directory  group-policy  windows-sbs-2011 

現在、CEPサーバーに証明書を要求するために次のことを行っています。 gpedit.mscを開きます [コンピューターの構成]> [Windowsの設定]> [セキュリティの設定]> [公開キーのポリシー]で、[証明書サービスクライアント-証明書の登録ポリシー]をダブルクリックします。 有効にする CEP URIを入力してください ユーザー名/パスワード認証に切り替え 検証（信用の提供） MMCを開き、証明書スナップインをインポートします [証明書]> [個人]に移動します 右クリック>新しい証明書のリクエスト 「詳細情報」（CN、DNS名など）を入力します 信用を提供する この後、CEPから証明書を取得しました。ただし、これは手動で行うには面倒なプロセスです。Server 2008（および2012）でこれを自動化する方法はありますか？これについて私が見つけることができるすべての情報は、サーバーを登録ポリシーサーバーにするためにCEPサービスをインストールする方法を示しています（実際に新しい証明書を要求したり、クライアント側で有効にすることについては何もありません）。これを自動化することは可能ですか？ このプロセスにより、HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Cryptographyの下に多くのデータが追加されるようです。これを手動で追加できますか（GUID / ServiceIDを偽装できますか）？

9 group-policy  powershell  certificate  certificate-authority  powershell-v3.0 

MMCの作成を制限するGPOがあります。このGPOを使用するユーザーがログインに申し込むと、「MMCはスナップインを作成できませんでした」というメッセージが表示されます。 通常、サーバーマネージャーが起動しないようにするチェックボックスがあることを理解していますが、MMCを確認しないとチェックボックスをオフにすることはできません。また、すべてのユーザーにこれを実行させる必要があります。 どうしても使用できないユーザーに対してサーバーマネージャーが読み込まれないようにするにはどうすればよいですか？

9 windows-server-2008-r2  group-policy  windows 

増加するスタッフのグループポリシーを維持する専用サーバーを実行することができない慈善団体のために、5〜10台のコンピューターをセットアップする必要があります。ローカルセキュリティポリシーを物理的に変更せずに、各コンピューターのポリシーを管理できる方法はありますか？コンピューターは、Windows XP、Vista、および7の組み合わせを実行します。

9 group-policy 

再インストールするには、特定のGPO展開アプリケーションをトリガーする必要があります。過去に、Windowsに「このアプリケーションはインストールされました」と伝える特定のレジストリキーを削除しました。 しかし、これらのキーがレジストリ内のどこにあるのかを思い出すことはできません。 ありがとう！

9 windows  group-policy 

コンピューターがネットワークに接続されているかどうかに関係なく、システムがシャットダウンされるたびにバッチスクリプトを実行する必要があります。（質問には関係ありませんが、問題のスクリプトはマシンの印刷キューをクリアします。 ただし、以下の方法を使用すると、PCがネットワークからオフラインのときにこのスクリプトを実行できません。 また、問題のPCがWindows 10 Pro x64（バージョン1809）を実行していることも付け加えておきます。ドメインコントローラーはWindows Server 2008 R2を実行しており、ここでも私が実行しましたgpedit.msc。 これまでに行ったこと： マシンシャットダウンスクリプトを使用してActive Directory グループポリシーオブジェクトを作成しました。 SYSVOLの GPOフォルダーにスクリプトを追加しました。 このGPOが実際に問題のワークステーションのハードディスクにダウンロードされているため、オフラインでアクセスできることを確認しました。 GPOで指定されたパスは相対パスであり、絶対パスではありません。 私が起こりたいこと： PCがシャットダウンされると、ClearPrintQueue.batスクリプトはPCが現在ネットワークに接続されているかどうかに関係なく実行されます。 実際に起こること： PCがシャットダウンされると、ClearPrintQueue.batスクリプトはPCが現在ネットワーク経由でSYSVOL共有に到達できる場合にのみ実行されます。 詳細： 私が行ったことは、ドメイン内にグループポリシーオブジェクトを作成し、問題のマシンを含むテストOUにリンクすることです。 GPOを編集して、[ コンピューターの構成] -> [ ポリシー] -> [ Windowsの設定] -> [ スクリプト（スタートアップ/シャットダウン）] -> [シャットダウン]に移動しました シャットダウン特性下のあたりのように： [ ファイルの表示 ]をクリックすると、エクスプローラーが開いてフォルダーが表示されます\\example.com\SysVol\example.com\Policies\{1B61F884-9D14-4065-8265-F04FFDE41683}\Machine\Scripts\Shutdown このフォルダーとClearPrintQueue.batファイルの内容は次のとおりです。 PS C:\> Get-ChildItem "\\example.com\SysVol\example.com\Policies\{1B61F884-9D14-4065-8265-F04FFDE41683}\Machine\Scripts\Shutdown" Directory: \\example.com\SysVol\example.com\Policies\{1B61F884-9D14-4065-8265-F04FFDE41683}\Machine\Scripts\Shutdown Mode LastWriteTime Length …

8 windows  active-directory  group-policy  batch 

ワークステーション：Windows 7（x64）[プリンターのインストールターゲット] サーバー：Windows Server 2012 R2（x64）[Active Directory、Print Server] 私はこのプリンタをグループポリシーを使用してインストールするために、頭を机にぶつけてきました。何らかの理由で、このプリンターをGPOと共に展開することはできません。私は経由で展開するには、それを設定しようとしているComputer Configuration->Policies->Windows Settings->Deployed Printers、などComputer Configuration->Preferences->Control Panel Settings->PrintersとUser Configuration->Preferences->Control Panel Settings->Printers。また、プリントサーバー管理コンソールを使用して、ユーザーまたはコンピュータ、あるいはその両方を介して追加しようとしました。私はあらゆる種類の方法を試しましたが、何も機能しません。私はたくさんのチュートリアルをたどり、何かを見逃さないようにするためにたくさんのビデオを見ましたが、それは本当に理論的には簡単な作業です...それはうまくいきません。 問題をデバッグしようとしたとき\\myserver\に、プリンターに行ってダブルクリックすると、プリンターをインストールしようとし、UACタイプのプロンプトでドライバーをインストールするように求められることがわかりました。 メッセージボックスのポップアップを停止するために、考えられるすべてのことを試しました。私はそれに掘って、私が編集した場合、GPOが呼ばれることがわかっPoint and Print Restrictionsに位置Computer Configuration->Policies->Administrative Templates->PrintersでとしていたUser Configuration->Policies->Administrative Templates->Control Panel->Printersあなたがにポリシーを設定してみてくださいDisabledまたはEnabled選択しますDo not show warning or elevation prompt2つのセキュリティプロンプトがポリシー設定の下部に表示されているため。 まあそれもバストだった... uncに移動し、管理者の資格情報を入力してプリンターを手動でインストールしようとすると、サーバーからドライバーがダウンロードされ、プリンターがインストールされます（予想どおり）。ユーザーがプリンターを削除しようとして、ログオフしてGPOに戻るとすぐになんとかして成功した場合、私がやりたいことを実行してプリンターを追加し直します。しかし、すべてのPCで初めて手動で追加する必要がありました。 これをテストし、GPOからプリンターを削除した後、ログオフして再度ログオンします。コマンドprintui /s /t2を実行してGUIを表示し、インストール済みのドライバーを簡単に削除して、PCを元の状態に戻すことができます（管理者の資格情報を要求します）。また、プリンタがにあるレジストリに保存されていることも知りましたHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Connections。プリンターを削除しようとして、それができないというメッセージが表示されたら、そのレジストリキーに移動して、削除しようとしたプリンターのGUIDキーを削除しました。次に、Print Spoolerサービスを再起動して、ブームが消えました。これは、目的の場所に到達するのに役立ちましたが、問題のデバッグ中にプリンターを削除するのに役立ちました。 私はどこかで原因が多分何かを変えたある種のウィンドウズセキュリティアップデートであると読んだ。これは、1つのプリンターをpwnできた場合にネットワーク全体をpwnする方法を示したいくつかの記事のためにリリースされました。ユーザーがプリンターに接続してドライバーをダウンロードしたときに何かが注入されたソフトウェアをインストールし、マシンで実行されるなど 私の主な目標は、使用しているGPOを使用して、このOU内の一連のユーザーにこのプリンターを展開できるようにすることです。しかし、私が試みるすべてのことは、それを行うために管理者がログオンすることを必要とします（少なくとも初めて）。私のプリンターがGPO経由で自動的に追加されない理由と、「このプリンターを信頼しますか？」離れるメッセージ？

8 active-directory  group-policy  windows-server-2012-r2  printer  network-printer