問題タブ [gpo]

Windows 2008 ドメインがあります。以前は、「\nas\homes\\Profile.V2」を指すローミング プロファイルがありました。ここで、ローカル プロファイル + リダイレクトされたフォルダー (デスクトップおよびマイ ドキュメント) に切り替えます。

それが私たちがやったことです：

• ADに移動し、「プロファイルパス」と「ホームフォルダー」属性を空にします。
• 物理的にユーザーのコンピューターに移動し、[コンピューター] > [ユーザー プロファイル] > [ローミング] から [ローカル] に変更します。
• デスクトップとマイ ドキュメントのリダイレクト ポリシーを適用しました。

これで、デスクトップとマイ ドキュメント フォルダが正しくリダイレ​​クトされました。問題はプロフィールです。たとえば、AppData フォルダーは引き続きローミング プロファイルで使用されるフォルダーであるため、それを削除すると、クライアント コンピューターのユーザー プロファイルは使用できなくなります。

プロファイルをローカル コンピューターに保持する必要があることをクライアントに伝えるにはどうすればよいですか?

問題を明確に説明できたことを願っています。

前もって感謝します。

マッテオ

編集

AppData を共有フォルダーにリダイレクトするポリシーがあったことについては言及しませんでしたが、現在は無効になっています (クライアントの gpresult で確認)。残念ながら、AppData フォルダーはまだそこを指しています。

コードを使用して、特定の OU に適用された (リンクおよび継承された) すべての GPO を一覧表示する方法を探しています。

GPLink と呼ばれるリンクされた GPO を表す属性があることは知っていますが、直接リンクされたものしか提供しません。

Google を検索したところ、gpmgmt COM オブジェクトがあることがわかりましたが、目的のためにそれを使用する方法と、それが可能かどうかさえ理解できませんでした。

助けてくれてありがとう。

タイトルが示すように、Windows Server 2003 を実行する DC を持つドメインがあり、認証されたユーザーがドメインにワークステーションを追加できるようになっています。現在、デフォルトのドメイン ポリシーでは、管理者のみがこの機能を使用できるように構成されています (また、このポリシーは認証されたユーザーに適用されます)。

Windows の設定 -> セキュリティの設定 -> ローカル ポリシー/ユーザー権利の割り当て -> ワークステーションをドメインに追加: BUILTIN\Administrators、DOMAIN\Domain Admins

認証されたユーザーがドメインにワークステーションを追加できるようにするために、何が見落とされたのでしょうか。

助けてくれてありがとう。

ログオンスクリプトとして実行するGPOを使用してこのセットアップを行い、明らかにクライアントのドライブをマップします。

とてもシンプル。変数の代わりに特定のユーザー名を入力すると、機能します。また、このスクリプトをクライアントマシンで直接実行すると、機能します。

Microsoftによると、コマンドレットSet-GPPermissionsはオプション「-replace」を受け入れます。

「これにより、既存のアクセス許可レベルが新しいアクセス許可レベルに置き換えられます。」

PowerShell から GPO をインポートします。その後、セキュリティフィルターを設定したいと思います。インポート後、セキュリティ フィルターを設定する前は、GPO のセキュリティ フィルターは「認証されたユーザー」です。ここで、そのフィルター オプションを削除し、"myGroup" に置き換えます。そのために、次のコマンドを使用します。

その結果、「myGroup」を参照する新しいセキュリティ フィルタが追加されましたが、グループ「Authenticated Users」は削除されていません。Powershell コマンドレットはフィルターを置き換えるのではなく、追加します。

ヒント？

前もって感謝します！

私はウェブを検索していて、持っているのはとても便利なようですが、結果は出ませんでした！

背景情報：基本的なnetlogonバッチファイルでは、一時フォルダーにチェックファイルを書き込んで、このスクリプトが既に実行されているかどうかを確認して、時間がかかりすぎないようにしました。しかし、最近はすべてをポリシーで行っています。

しばらく前に、ADからのユーザー情報を使用してOutlookの署名を追加する小さなvbsを作成しました。Outlookプロファイルが作成された後にのみ正常に実行できるため、現在、ユーザーはこのスクリプトを手動で実行しています。もちろん、すべてのログオンでVBSスクリプトを実行し、署名ファイルがすでに存在するかどうかを確認し、存在する場合は終了することができます...しかし、もっと良い方法が必要です！..私は願います..

これが私がやりたいことです。GPOWMIフィルタリングを使用して、ファイルが存在するかどうかを確認します（つまり、Select * From CIM_Datafile Where Name <>'％APPDATA％\ outlook.v1'）。trueの場合：vbsを起動します。スクリプト内で、Outlookプロファイルが存在するかどうかを確認し、残りのスクリプトを実行して、スクリプトの最後にoutlook.v1ファイルを作成します。

このようにして、Outlookを持たない非常に限られた数のユーザーのみが毎回このvbaを実行します。

構文

もちろん間違っているので、本当の質問は次のとおりです。WMIフィルタリングでユーザーベースの設定を参照するにはどうすればよいですか。

PC を指定せずに Active Directory グループを使用して GPO を設定することはできますか?

ログオンする PC で MSMQ を有効にしたい 3 つの Active Directory グループがあります。それはできますか？どのように？

ありがとう

GPO にリストされているアプリケーションを除いて、すべてのアプリケーションが開くのをブロックする GPO があります。Infopath で開くように設定されている XML ファイルをダブルクリックしようとしています。Infopath は、許可されたアプリケーションの一覧に含まれています。なぜこのアラートが表示されるのですか? Infopath を開き、それを使用してファイルを開くと、正常に動作します。Internet Explorer で開こうとしていると想定している場合は、許可されているアプリケーションのリストにも含まれています。

マシンを再起動することなく、c++/c#/powershell スクリプトを使用して Windows 7 のすべての USB デバイスをさかのぼって無効/有効にする簡単な方法が必要です。

GPO の変更がオプションであることは理解していますが、再起動せずにこれを行う実装を見つけることができないようです。

あなたのソリューションを詳しく説明してください。私は Windows での管理が初めてです。

プログラムで何ができるかをプログラムで実行できるようにしたいだけですgpedit.msc。これらのキーの値を1に設定し、ローカルグループレジストリを更新しようとしています。

gpedit.mscの場合：

ローカルコンピューターポリシー/コンピューター構成/管理用テンプレート/システム/リムーバブルストレージアクセス

ValueName：すべてのリムーバブルストレージクラス：すべてのアクセスを拒否する

値： 1（これを1に設定）

ローカルコンピューターポリシー/コンピューター構成/管理用テンプレート/Windowsコンポーネント/自動再生ポリシー

ValueName：自動再生をオフにします

値： 1（これを1に設定）

IGroupPolicyObject重要なのはC++で使用することだと思います。しかし、頭を包み込むことができるドキュメントが見つかりません。

私のアプリケーションは、Windows 7を再起動せずに、すべてのUSBアクセスを無効/有効にする必要があります。