問題タブ [gpo]

ローカル グループ ポリシー オブジェクトに対してユーザー ベースのソフトウェア制限ポリシーをプログラムで実装する作業を行っています。ドメイン コントローラーを介してポリシーを作成する場合、ユーザー構成にはソフトウェア制限ポリシーのオプションがありますが、ローカル グループ ポリシー エディターにはそのオプションがありません。レジストリでドメイン コントローラーから適用されたポリシーによって行われた変更を探すと、パス HKEY_USERS(ユーザーの SID)\Softwares\Policies\Microsoft\Windows\Safer\Codeidentifiers 上の特定のユーザーのレジストリ値が変更されます。registry.pol も保存されています。ドメインコントローラーのSYSvolフォルダーにあります。レジストリに同じ変更を加えて他のアプリケーションをブロックすると、アプリケーションがブロックされます。目的は達成できましたが、レジストリ値を変更するのは正しいですか?

PS:- Igrouppolicyobject API を使用しています

私はこれを正しく行う方法を見つけていません。「Id :」の余分な行を使わずに Get-GPO から ID を取得する方法を学びたいと思います。最初の部分を取り除こうとしたとき。配列ではなく「System.ObjectのBaseType」を使用していることを知りました。したがって、それを削除したり、余分なテキストなしで ID を選択したりする簡単な方法は見つかりませんでした。助けてくれてありがとう。「デフォルト ドメイン ポリシー」ID は常に同じ ID であることは知っています) これは、私が実行しようとしているもののサンプルと、取得したいもののサンプルです。

- -結果 - -

---私が探している結果----

グループ ポリシー オブジェクトを作成して単一の Windows 2012 R2 サーバーに適用し、送信ファイル共有をドメイン コントローラーと単一のファイル サーバーに制限しようとしています。ポリシーを作成し、サーバーに正常に適用できます。GPO で「ファイルとプリンターの共有」グループを選択し、[すべてブロック] を選択すると、\domain\sysvol アクセスが拒否されるため、Windows ファイアウォールを無効にしてドメインから GPO を再適用する必要があるため、正しく機能します。

ただし、サーバーのルールをデフォルトにリセットし、GPO を更新し、同じグループを使用してルールを作成し、[すべて許可] を選択して、[スコープ] でドメイン コントローラーの IP を追加すると、引き続きネットワーク上の任意のサーバーにアクセスできます。ファイルとプリンターの共有は、私の 2 つのドメイン コントローラーに限定されません。ターゲット サーバーのルールが更新され、スコープに反映された設定が表示されます。ファイルとプリンターの共有グループを上書きする重複した許可ルールは存在しません。

明らかな何かが欠けていると確信していますが、何がわからないようです。

何か案は？

したがって、最初にいくつかのコンピューターに GPO を追加し、テスト システムですべてが正常であることを確認したら、このルールをすべてのコンピューターに展開します。GPO をテスト コンピューターのみに展開するのに問題があります。

特定の OU にリンクされた GPO があります。(ありがたいことに、実際の OU ではなくテスト OU) セキュリティ フィルタリングを「認証済みユーザー」に設定し、テスト OU 内の 1 台のコンピューターを使用しています。(セキュリティ フィルタリング列の 2 つの項目) しかし、テスト OU の両方のコンピューターは、フィルタリングにリストされているこの単一のコンピューターではなく、この GPO を展開しているようです。

私の質問は...「認証されたユーザー」は、リンクされた OU 内のドメイン内のすべてのコンピューターを含む「全員」と同じですか?

ティア！

これまでのところ、C# でソリューションを開発しましたが、GPO は使用していません。prefs.js ファイルを変更します。

これは、C# を使用してこれまでに試したことです。

このソリューションは機能しますが、C++ で何かが必要です。

さて、 Windows マシンでネイティブC++とグループ ポリシーを使用して、私がやりたいことを行う方法はありますか? ありがとう。