タグ付けされた質問 「group-policy」

（WS2012-R2）ドメインコントローラーと、ドメインのメンバーである（WS2012-R2）サーバーのセットを持っています。すべての管理者がメンバーであるグループを誤ってグループポリシーに追加しました。「ローカルでログオンアクセスを拒否」、「サービスとしてログオンを拒否」、「リモートアクセスを拒否」、「ネットワークアクセスを拒否」。これにより、私と他のすべての管理者（ビルトインアカウントを含む）がドメインコントローラーからロックアウトされました。 GPOを削除するか、拒否されたグループから管理者アカウントを削除して、サーバーへのアクセスを回復する方法はありますか？

8 active-directory  group-policy  windows-server-2012-r2 

おそらくご存じのとおり、ループバック処理は、GPOのスコープ内のコンピューターにログオンするすべてのユーザーにGPOのユーザー設定を適用する Active Directoryグループポリシーの機能です（標準的な動作は、ユーザーアカウントがGPOのスコープ内に実際に配置されています）。これは、ユーザーアカウントが実際にADのどこにあるかに関係なく、特定のコンピューターにログオンするすべてのユーザーにユーザーポリシーを付与する場合に便利です。 問題：ループバック処理が有効になっている場合、ユーザー設定を含むGPOはそれらのコンピューターを使用するすべてのユーザーに適用され、GPOでACLを使用してこれをバイパスすることはできません。これは、実際にはユーザーではなくコンピューターに適用されるためです。 質問：それらのコンピューターにログオンする必要があるが、それらのポリシー設定の影響を受けないようにする必要がある特定のユーザーに対して、ループバック処理をバイパスするにはどうすればよいですか？ 適例：ループバック処理を備えたGPOを使用して、ログオンするすべてのユーザーに重いユーザー制限を適用するターミナルサーバーがいくつかあります（基本的に、企業が承認した一連のアプリケーションしか実行できないはずです）。しかし、これはDomain Adminsにも当てはまるため、コマンドプロンプトを起動したり、タスクマネージャーを開いたりすることもできません。このシナリオで、ログオンしているユーザーが特定のグループ（Domain Adminsなど）に属している場合に、これらの設定を強制しないようにADに指示するにはどうすればよいですか？または、反対のソリューション（「特定のグループに属するユーザーにのみこれらの設定を適用する」）でも問題ありません。 ただし、ここではループバック処理について話していることを思い出してください。ポリシーはコンピューターに適用され、コンピューター内のユーザー設定はユーザーがそれらのコンピューターにログオンしているためにのみ適用されます（そうですね、わかりにくいですが、ループバック処理はグループポリシーについて正しく理解するのが最も難しい作業の 1つです）。

8 active-directory  group-policy 

この質問は、@ SwiftOnSecurityのTwitterスレッドに関連しています：https ://twitter.com/SwiftOnSecurity/status/655208224572882944 スレッドを読んでも、ローカルアカウントのネットワークログインを無効にする理由がわかりません。 だからここに私が考えていることがあります、私が間違っているところを修正してください： DCと複数のクライアントでADをセットアップしているとしましょう。クライアントの1つはジョンです。したがって、朝、ジョンは仕事に取り掛かり、AD資格情報を使用してデスクトップPCにログインします。正午に、ジョンは会議に向かい、自分のコンピューター（Windows + L）を「ロック」します。次に、リモートで（RDPなどを使用して）個人用ラップトップを使用してオフィスのPCに接続する必要があります。しかし、この新しいポリシーを使用すると、彼はそうすることができなくなります。 Securitayの説明によると、パスワードはソルト化されていません。しかし、この場合、攻撃者はどのようにしてアクセスを取得するのですか？パスワードはどちらの側でソルトされていませんか？それとも彼女が言おうとしていることとはまったく無関係なのでしょうか。これが事実である場合、彼女は実際に何を言おうとしていますか？

8 windows  active-directory  security  group-policy  windows-server-2012-r2 

私の問題は、クライアントを新たに起動したときにグループポリシーが適用されないことです。ブート直後、クライアントはイベントログにソース「GroupPolicy（Microsoft-Windows-GroupPolicy）」とイベントID 1058を含むエラーメッセージを投稿します：「グループポリシーの処理に失敗しました。[...]」[詳細]タブのErrorCodeは50で、これはERROR_NOT_SUPPORTEDを表します。これは単なる表面的な問題ではありません。たとえば、ポリシーが実際に適切に適用されていません。たとえば、マップされたネットワークドライブがそこにありません。しばらく待った後、「gpupdate」を実行すると、ポリシーが正常に適用され、マップされたネットワークドライブが表示されます。 問題を再現できた最も単純なシナリオ：新しくインストールされたWindows Server 2012R2で新しく作成されたドメイン、クライアントは新しくインストールされたWindows 10 64ビットマシンです。ドメインは1つのドメインコントローラーのみで構成され、他のドメインとの関係はありません。 エラーメッセージには、WindowsがドメインのSysvol-shareから.GPTファイルを読み取れないことが示されているため、コマンドプロンプトから同じファイルにアクセスしようとしました。実際、ブート直後にコマンドプロンプトを開くと、次のようになります。 C:\Users\username>dir \\domain.example.com\sysvol The request is not supported. 1〜2分待ってから同じコマンドを実行すると、ディレクトリリストが表示されます。この時点でgpupdateを実行すると問題なく動作します。 グループポリシー設定[コンピューターの起動時およびログオン時に常にネットワークを待つ]を[有効]に設定しましたが、このポリシーが適用されていることがわかります。同じポリシーオブジェクトで、レジストリ設定が指定されており、レジストリを確認するとクライアントには指定された設定があります。 関連する可能性があるその他の要因： NTLMはドメインで制限されていますが、これは問題ではないようです。有効にしてポリシーを更新し、すべてのマシンを再起動した後でも、症状は同じです。 サーバーがDHCPを使用して構成されているか、静的構成で構成されているかは関係ありません。 ドメインのDNSサーバーは動的更新をサポートしていません。必要なレコードが手動で追加された（C：\ Windows \ System32 \ config \ netlogon.dnsから） クライアントではハイバネーションが無効になっているpowercfg /h offため（を使用）、各ブートはフルブートであり、高速ブートではありません。 ポリシーの起動ポリシー処理待機時間は120秒に設定されています DCへの接続は正常に機能します。pingは機能します。クライアントをオフにし、ADで自分のアカウントを無効にし、クライアントをオンにすると、クライアントがログインしなくなります。アカウントが無効になっていることがすぐにわかります。 この問題以外に、私は異常なことに気づきません。 これは、グループポリシーの問題よりもSMBの問題のようです。サーバー側で接続をスニッフィングすると、興味深いことがわかります。コマンドを初めて実行するdir \\domain.example.com\sysvolと、DCのMicrosoft Message Analyzerに次のように表示されます。 クライアントがDCのポート445へのTCP接続をセットアップし、ComNegotiationが正常に実行されます（DialectRevision：0x02FF）。 その直後、交渉が成功する。DialectRevisionは0x0302です。 その直後、クライアントはTCP RSTを使用してTCP接続を閉じます（??） その後コマンドを発行してエラーが発生するたびに、手順2と3が発生します。 コマンドが機能し始めると、ステップ1と2が発生しますが、TCP RSTを送信するクライアントの代わりに、SessionSetupが実行され、次にTreeConnectが実行され、その後、多くの（一見正常な）SMBチャッターが発生します。 そのため、クライアントはブート後1〜2分まではSMBとDCを適切に通信できないように見え、これによりグループポリシーの処理が失敗します。 この問題をデバッグして解決する方法を誰かが知っていますか？

8 group-policy  windows-server-2012-r2  windows-10 

ドメインユーザーの「HOME」環境変数をネットワークパスにマッピングすることがベストプラクティスと見なされていますか？もしそうなら、なぜですか？ 「HOME」変数とは、次のことを指します。 ％HOMEDRIVE％ ％HOMEPATH％ ％HOMESHARE％ この質問は、Gitなどの一部のアプリケーションが重要な構成ファイルをユーザーの％HOMEPATH％に保存するために発生します。ユーザーがリモートで作業している場合、またはサーバーまたはネットワークがダウンしている場合、これらのアプリケーションはリモートのHOMEPATHからコアファイルにアクセスできないため、正しく機能しなくなります。 HOMEPATHには常にデフォルトのローカルWindowsユーザーディレクトリを使用する方が理にかなっているようですが、これについて賛成または反対する文書化されたベストプラクティスは見つかりませんでした。私のオフィスでは、標準的な方法は、ユーザーHOMEPATHをネットワークフォルダーにマップすることです...

8 windows  active-directory  group-policy  home-directory  home-drive 

休業。この質問は意見に基づいています。現在、回答を受け付けていません。 この質問を改善してみませんか？この投稿を編集して、事実と引用で回答できるように質問を更新してください。 6年前休業。 最近、MicrosoftはWindows AzureゲストOS（Windows 2008、Windows 2008 R2およびWindows 2012）のデフォルトポリシーを変更しました。変更の1つは、Administratorsグループのメンバーのみが「リモートデスクトップサービスを介したログオンを許可する」を持ち、メンバーにRemoteDesktopUsersは特権がなくなったことです。 さて、それはどういう意味ですか？RemoteDesktopUsersリモートデスクトップ経由のログオンを許可することを目的としたグループです。この権限が取り消された場合、グループは意味がありません。 「リモートデスクトップサービスを介したログオン」権限なしでRemoteDesktopUsersを使用する意味は何ですか？

8 windows-server-2008  windows-server-2008-r2  group-policy  remote-desktop  windows-server-2012 

ドメイン上にあり、永続的にログインしているキオスクコンピューターがいくつかあり、WSUSを介してFEPの更新を受信します。これはうまくいきますが、時々、右下隅にこのダイアログが表示されます： No auto-restart with logged on users for scheduled automatic updates installationsGPOを「有効」に設定すると、これらは表示されなくなると思いましたが、まだ表示されているようです。以下は、適用しているWindows Update GPOのスクリーンショットです。 何が欠けていますか？これらの通知をオフにするにはどうすればよいですか？

8 group-policy  windows-update 

DCとしてWindows Server 2008マシンを使用しています。今年の初めに、Adobe Flash PlayerプラグインMSIを展開するためのソフトウェアインストールGPOを作成しました。私はコンピューターにポリシーを割り当てました。約半分はWindows XP x86を実行し、残りの半分はWindows 7 x64を実行します。それはすべて時計仕掛けのように機能します。 ソフトウェアインストールポリシーを作成したとき、OrcaでMSIを編集して、Flash Playerプラグインの自動更新機能を無効にしました。これは、すべてのマシンでまったく同じバージョンのプラグインを実行したかったためです。 しばらくして、Flash Playerプラグインの新しいバージョンがリリースされました。プラグインの更新されたバージョンをプッシュする時が来ました。すでに新しいMSIを持っていますが、次に何をするか迷っています。 ソフトウェアインストールGPOに[アップグレード]タブが表示されますが、そこに表示されるすべての内容は、大規模なマスタープログラムへのアドオンに使用され、時間の経過とともにリリースされる更新には使用されません。 新しいMSIで新しいソフトウェアインストールポリシーを作成し、古いGPOを取り消して、新しいGPOを割り当てるのが最善であると読みました。時間が経つにつれ、アクティブなポリシーよりも取り消されたポリシーが増えていくように感じます。 また、古いMSIを新しいMSIに置き換えて、GPOに再展開するように指示するだけで成功した人もいることを読みました。これは私をトラブルに巻き込むだけのバックドアの方法のようです。 要するに、グループポリシーを介して新しいバージョンをロールアウトするための正しい、ベストプラクティス、または優先される方法は何ですか？

8 group-policy  deployment  update  msi 

「特定のアプリケーションのみを許可する」制限を設定し、それらを全面的にすべてのアカウントに誤って適用しました。これで、ブラウザーの実行のみに制限され、グループポリシーエディターを実行できなくなりました！ 利用できるバックドアはありますか？

8 windows-7  group-policy 

特にGoogle Chromeのグループポリシー（http://support.google.com/installer/bin/answer.py?hl=ja&answer=146164）をセットアップしようとしています。力のリストの構成に取り組んでいます-インストールされた拡張機能。Google Chromeのtools-extensionsで拡張機能IDを見つけることができますが、AdblockやGoogle Mail Checkerなどの拡張機能の更新URLが見つかりません。これらはどこにありますか？

8 group-policy  google-chrome 

ログオンシステムを高速化およびアップグレードして、より堅牢で高速にするためのアドバイスを探しています。 もともとNovell Netwareから移行された古いログオンシステムを継承しました。現在Windows Server 2008 R2を実行していますが、ドメインバージョンはWindows 2000のままです（理論的には、壊れていない場合は修正しないでください）。最終的にはWindows 7にアップグレードしたいと考えていますが、少なくとも数年間はWindows 7とWindows XP SP3が混在することになります。一部のSP2マシンがありますが、SP3にアップグレードできない場合は、置き換えることができます。 現在、主にログオンスクリプトに依存しています。ほとんどがKixtartで記述されていますが、一部はVBScriptで記述されており、Windows BATラッパーが使用されています。ログオンスクリプトは、ドライブとプリンターをマップし、公式のパッチ（最近のwinhelp.exeのセキュリティの問題など）がない場合に、セキュリティの問題やマイナーなバグの迅速な回避策をインストールし、ソフトウェアをインストールし、ケースマシンでIEのお気に入りなどのいくつかの設定をバックアップするなどのその他のタスクを実行します再イメージ化する必要があります。 また、少数のグループポリシーが有効になっています。それらは主にいくつかのセキュリティ設定を実装しています。GPOを使用してソフトウェアをインストールする実験をしていましたが、これが実用的であるとは思いませんでした。私たちのソフトウェアの多くはMSIを使用していません。MSIキャプチャを実行するために費やした時間は、一度試しただけでは報われませんでした。スクリプトを使用して無人インストールを行う方が簡単になりました。さらに、マシンの電源がオフになっている場合に、起動の遅延を処理するのと同じように、メンテナンスが面倒です。私はこれを再確認してもかまいませんが、スクリプトは正常に機能しているようでした。そのため、これにもっと時間を費やす必要がありませんでした。 私たちのシステムは問題なく動作しますが、少し柔軟性がありません。これは、ログインごとに中央に保存されたファイルにログインIDごとに情報を記録するように設計されており、アクセス許可の問題（1つのユーザー名での同時ログオンなど）により、頻繁にこの問題が発生します。フラグを使用して、ソフトウェアが以前にインストールされているかどうかを判断します。これは脆弱で、不必要なインストールが発生する場合があります（新しいユーザーがワークステーションにログオンした場合など）。それは、特にグループポリシーの面で、やや遅いです。プロファイルを試してみましたが、これには約300秒かかると思います（多少ずれている可能性があります）。一般的なユーザーには、約8つの小さなポリシーが適用されます。約12のOUがありますが、いくつかのグループポリシーにWMIフィルタリングを利用します。 約8台の共有ドライブ（OUではなくグループメンバーシップに基づく）と約20台のプリンター（誰もがすべてのプリンターを取得しますが、サイトごとに異なるプリントサーバーを取得します）をマッピングします。ソフトウェアのニーズは、主にOUに基づいてかなり劇的に変化しますが、OUの外部の数人がソフトウェアを必要とする場合もあります。 私の質問： GPPを展開するのはどれくらい難しいですか？Windows XPがこれをネイティブにサポートしていないことを考えると、そうですか？クライアント側の拡張機能をインストールする必要がありますか？ Windows XP SP3のGPPは信頼できますか？グーグルで、バグやパフォーマンスの低下について言及しました。これはこの製品の現在のステータスと一致しますか？ GPPのパフォーマンス/オーバーヘッドは、ドライブのマッピングやプリンターのインストールなどの目的で、kixtartまたはvbscriptを使用する場合とどのように違いますか？ ログインの成功/失敗を追跡するために使用する良い習慣は何ですか？現在のシステムはオーバーヘッドが多すぎるようです。これをイベントログに保存する必要がありますか？どのマシンで？一元的に、またはローカルデスクトップに？現在、ログをデバッグツールとして使用しています。また、ユーザーがドメインに最後にログオンした日時を特定するためにも使用しています。 現在のグループポリシーインフラストラクチャを高速化するために何を試すべきですか？これが起動時に時間がかかると思います。これのトラブルシューティングをどこから始めるかについてのアイデアはありますか？ 私が言及したタスクに対処するための最新のログオンシステムを作成するためのベストプラクティスは何ですか？ドライブの割り当て、プリンターの割り当て、ソフトウェアのインストール、パッチのインストール、その他のバックアップルーチンなどを実行します。この仕事にどんなツールが好きで、お勧めですか？ まだMSIにきちんとパックされていないソフトウェアをインストールする最良の方法は何ですか？私たちは非営利団体であり、SCCMのようなもののTech Soupからいくつかのソフトウェア寄付を得ることができます。しかし、これが価値があるかどうかは本当にわかりません。 GPPを利用できるようにするために、ドメインをServer 2008 R2バージョンにアップグレードするとどのような影響がありますか？Windows NTを実行しているドメインに2つのメンバーサーバーがあることを述べておきます。これらは基本的に、ボイスメールシステムにのみ使用されるアプライアンスです。これらが壊れてほしくない。SMBを使用してドメインコントローラーをアップグレードすることには問題がありましたが、セキュリティ設定を下げる回避策を見つけることができました。ドメインバージョンをアップグレードする場合の落とし穴はありますか？答えはノーであるように思えますが、私はいくつかの現実の世界の経験について学びたいと思っています。 あまりにも長い間ごめんなさい、これは私が尋ねるだろうと思ったよりももっと複雑であることが判明しました。あなたの個人的な経験についてのどんな考えも役に立ちます。私はITチームで唯一の技術者です。

8 windows-server-2008-r2  group-policy  login 

私はWindows 2008R2 DC（セットアップのみ）を持っています。すでに約25のWindows 7プロフェッショナル/アルティメットクライアントがあり、これを新しいドメイン/ dcに参加させます。ユーザーは既にマシンを使用しており、そのマシンのローカル管理者でした。 すべてのローカルWindows 7ボックスで作成され、ローカル管理者権限を持つGPOを介してユーザーを展開するか、ドメイン上のすべてのPC（Windows XP、7）でローカル管理者権限を持つドメインユーザーを展開します。 誰かがこれを支援してくれるとありがたいです-私は自分でユーザーを作成しようとしましたが、作成されませんでしComputer Settingsた。GPOEditでグループを使用してユーザーを作成しました。 読んでくれてありがとう-あなたのガイダンスRihatumを楽しみにしています

8 windows-server-2008-r2  group-policy 

Active DirectoryグループポリシーまたはWSUSを使用して.net 4を自動的に展開する方法はありますか？ 私はそれを多くのマシンに押し出して、それぞれに移動する必要がないようにしたいと思っています。 背景：非管理ユーザーに展開するVSTO ClickOnceアプリケーションがありますが、それは.net 4を使用します。これは管理者権限なしではインストールされないため、.net 4が既にインストールされていない限り、非管理者に対してClickOnceは失敗します。

8 .net  group-policy  wsus 

ADを監査して特定のパスワードを確認する方法はありますか？ 以前は、すべての新規ユーザーに「標準」パスワードを使用していました（例：MyPa55word）。これが私たちの家のどこでも使用されていないことを確認したいと思います。 これを行う方法を私が考えることができる唯一の方法は、a）このパスワードを持つユーザーのディレクトリを何らかの方法で監査するか、b）このパスワードを特に許可しないGPを設定することです（理想的には、ユーザーにパスワードのリセットを促すでしょう）。 ） 誰もがこれにどのように取り組むことができるかについて何かヒントがありますか？ Ta、 ベン

8 windows  security  active-directory  group-policy 

グループポリシーを使用して64ビットシステムに64ビットバージョンのパッケージをインストールし、32ビットシステムに32ビットパッケージをインストールする最も簡単な方法は何ですか。 一部の検索を実行しましたが、64ビットシステムと32ビットシステムがあり、両方に正しいバージョンをインストールしたい環境で、グループポリシーを使用する方法について有用なものは何もありません。 いくつかの例を使用するだけです。32ビットと64ビットの両方で提供される7zipやTortoiseSVNなどを自動的にインストールしたいと思います。 理想的には、コンピュータのグループを作成したり、これを実行するためのスクリプトを作成したりする必要がないことを望んでいました。

8 windows  installation  group-policy  64-bit  32-bit