问题标签 [gpo]

我在大公司工作，老大哥总是观察和执行自己的规则。然而，为了完成我的工作，我在 IE8 中有特殊的代理服务器设置，这让我可以访问我需要的东西。所有合法并基于职位描述。一切都很好，除了每隔几个小时我的设置就会回到标准，我必须手动将它们重置为这个特殊的代理。我认为安全团队会强制执行一些 GPO 设置。我在我的计算机上拥有管理员权限，但当然，在域上没有权限。我有什么办法可以防止我的个人设置发生此类更改？

那将非常有帮助。即使我可以手动进行更改，当我有自动化流程时它最困扰我。一些批处理在半夜运行，由于代理设置错误，它无法工作。非常令人沮丧。

有什么帮助吗？

我有一个带有 WIX 的 MSI 版本。包有InstallScope="perMachine"属性。

我的产品依赖于某些版本的一些 3rd 方产品。MSI 使用Upgrade元素检查先决条件。

我想通过 AD/GPO 部署我的 MSI。计算机配置下的部署成功，但我想在用户配置下发布（未分配）部署。在这种情况下，用户可以在“程序和功能 - 从网络安装程序”中看到我的安装，并且可以选择：安装或不安装我的产品。

但发布的部署失败。MSI日志有一部分：

...跳过...

然后 MSI 失败，因为未找到先决条件。

所以我的问题是：为什么安装上下文切换到每个用户？如何预防？也许有一种方法可以抑制在每个用户上下文中跳过 FindRelatedProducts？

我想阻止我的系统获取域的 GPO。因此考虑我是否仍然可以作为域用户之一登录而不将系统置于域中。

如果没有，是否有办法至少阻止将域策略应用于本地系统。

当我尝试将本地系统放入域中时。某些域组策略被应用到我的本地系统，覆盖了我的本地组策略设置。那么我该如何继续防止域 GPO 被应用到我的系统呢？

好的，所以我们需要创建一个允许我们的用户只使用特定程序的 GPO。

邮政总局地点：

• 用户配置
  • 政策
    • 管理模板 [...]
      • 系统
        • 仅运行指定的 Windows 应用程序

然后将 GPO 设置为启用并单击允许的应用程序列表 --> 显示...

我创建了一个 Excel 电子表格，其中包含所有程序的名称及其关联的可执行文件以及其他相关信息，以便我们可以轻松地组织、添加、删除等我们需要允许用户访问的可执行文件。

然后，此电子表格将所有可执行文件转储到文本文件中。

以下是文本文件的示例：

有很多条目，这些可能会发生变化。我要做的是创建一个脚本，该脚本将采用该文本文件并自动填充 GPO。我不在乎我们是否必须打开窗口然后运行它，它不需要从任务调度程序运行（尽管如果有人准备好该代码，那将是惊人的）。我们只需要它来将这些荒谬的可执行文件名填充到字段中。

这是我发现的代码（VBScript），它在运行时应该自动填充字段，但是我无法让它在组策略管理编辑器中运行（它在 Windows 资源管理器窗口中运行并最终搜索一些文件）

来自：http: //blogs.msdn.com/b/alejacma/archive/2011/03/24/how-to-update-quot-run-only-specified-windows-applications-quot-gpo-programmatically-vbscript。 aspx

所以我需要通过组策略将批处理脚本作为登录脚本推出

批处理脚本示例：

我正在使用 VB 脚本来调用 .bat 文件

VB脚本

我将参数放在组策略的脚本参数文本框中

所以我想要做的是将两个参数（用户名和密码）传递给 VB 脚本，然后让 VB 脚本将它们传递给批处理文件，但它并没有传递它们来指出我在哪里搞砸了？

我这样做是因为我需要隐藏用户名和密码，所以我不能把它们放在脚本中。

谢谢

正如您在我的 GPO 设置中看到的那样

我有一个 VBScript，并通过域控制器中的 GPO 将其称为登录脚本。该脚本在登录时运行，但未传递参数。有什么想法为什么不呢？

他们在technet上说

在脚本参数中，键入要使用的参数，就像在命令行中键入它们一样。例如，如果您的脚本包含名为 //logo（显示横幅）和 //I（交互模式）的参数，请键入：//logo //I。

所以按照我的方式应该是可能的，对吧？

因为 AnsgarWiechers 问：
我检查脚本是否正在运行

在脚本的开头。
我通过这个检查参数：

gpresult /h 为我的 GPO 提供以下输出：

但脚本保存在登录脚本中：

我的公司正在使用 Sharepoint 和 ADFS。然而，对于 WebDav 的使用，我们需要用户获得一些他们只能通过打开 Internet Explorer 并导航到两个站点才能获得的令牌。然而，他们每 30 分钟就会丢失一次令牌，所以它必须是一个重复的任务。

所以现在我的工作是：

• 用 IE 打开 2 个网站
• 每 30 分钟
• 不要惹恼用户

我目前的解决方案是“有点”工作，但我对它并不满意。我只有 VSExpress，所以没有服务。

我有一个最小化的最大不透明度可见的虚假 Windows 窗体。我有一个 GPO，它将一个 EXE 文件复制到计算机上，然后创建一个定时作业，在登录后每 30 分钟启动一次。然而它并没有真正奏效，如果他们不手动运行 EXE，人们仍然无法访问 webdav。此外，每当 EXE 运行当前应用程序时，用户正在工作的应用程序会失去焦点，这在您输入内容并且必须重新单击时有点烦人。我当前的代码如下所示：

但是，我觉得有一种更优雅的方法可以做到这一点。我听说打开隐藏的 IE 的唯一方法是通过

(SHDocVw.InternetExplorer)Activator.CreateInstance(Type.GetTypeFromProgID("InternetExplorer.ApplicationMedium"));

但有了这个，我依赖并非所有客户端都有的注册表项。

你能帮我以一种可靠的方式打开 IE，并且可能有一些关于我应该如何将重复任务设置为每 30 分钟启动一次的提示（因为我认为它没有正确执行 atm）。

谢谢大家。

编辑：

感谢https://stackoverflow.com/users/5065008/daniel-waghorn 我现在将 opensite 位替换为：

再次感谢！

我们在所有机器上使用 Google Chrome，并在我们的活动目录中使用 Chrome 策略。

一切正常（HomepageLocation，HomepageIsNewTabPage，ShowHomeButton，...），但 ExtensionInstallForcelist 有一些问题。并非所有扩展都安装在计算机上。我们要安装 2 个扩展：

• uBlock Origin（强制安装是否正确）
• Flashcontrol => Flashcontrol（扩展 ID mfidmkgnfgnkihnjeklbekckimkipmoe 被管理员阻止

如果我们想手动安装这个扩展，我们会得到它被阻止的错误。这也是它没有强制安装的原因。

我们没有激活任何黑名单政策：

使用 CMD >gpresult /r我们可以看到正确的 GPO 已应用于我们的计算机。

谷歌浏览器版本：44.0.2403.89

我已经被困了整整两天试图解决它，但无济于事。

我有以下结构：

我的 GPO 如下：

我正在尝试做的，我成功地对主服务器（SVR-1）上的用户做的是删除关闭选项，如下所示：

但是，当我尝试在 SVR-2 端对我的客户执行相同操作时，它并不适用：

我只在 SVR-1 中创建或编辑我的 GPO，因为它是域控制器，并且我设置了对 SVR-2 的复制。为什么 GPO 对 SVR-2 客户端没有任何影响？我错过了什么吗？