问题标签 [gpo]

我根本无法解决这个问题。我有一个 powershell 脚本，只要用户具有管理员权限，它就可以正常工作，因为它将数据移动到需要写入权限的 NAS 共享。我的问题是我将脚本放在 GPO 启动过程中。所以我需要以另一个用户身份运行 powershell 脚本。我是否以某种方式在脚本本身中添加了新的用户凭据，或者使用另一个进程来运行另一个用户？我尝试创建另一个 .ps1 脚本来启动原始脚本，但它不起作用。我真的希望能够在完成所有工作的原始脚本中做到这一点。

我试过了：

这在powershell脚本中运行良好，那么我如何让它以另一个用户身份运行？

在成功启用自动登录并将驱动器映射到 OneDrive for business 之后，我想在替换本地文件共享方面更进一步：

我想使用文件夹重定向来确保所有用户数据都存储在 OneDrive 上，就像我们现在确保所有用户数据都存储在文件服务器上一样。

无法直接重定向到云。可以重定向到本地 OneDrive 文件夹，数据将从该文件夹同步到云端。

这方面存在一些挑战：

1. 用户必须启动“OneDrive for business”应用程序才能设置同步和本地文件夹。
2. 用户可以更改默认位置。

为了与文件夹重定向一起使用，我们需要确保：

1. 同步已启用，实际上有一个本地文件夹...
2. 对于每个用户，此文件夹需要位于相同的位置。

我认为这将是非常简单的事情：

但没办法）-：

原来可执行文件名为“GROOVE.EXE”并位于 Office 目录中。

文档几乎不存在，我设法确定了以下命令行开关：

运行以下命令以静默方式启动 OneDrive for business 并在托盘中，但用户必须右键单击并使用“同步新库”，不可用！

以下调用“准备同步？”对话框，但用户可以更改位置并且必须单击“立即同步”。也不能用！

想静默运行最后一个命令并选择默认位置！

我一直在搞乱已创建但无济于事的预填充注册表项。

任何人？

我正在使用 IGroupPolicyObject 接口打开注册表项。我使用 GPO_SECTION_MACHINE 加载了注册表，但是当我使用 RegOpenKeyEx 打开注册表项“SOFTWARE\Microsoft\Windows NT\CurrentVersion\SecEdit\Reg Values”时，返回错误代码 2。我正在以管理员身份运行我的 exe（内置于 Visual Studio 2008，c++）。我想知道如何打开上述密钥？任何形式的帮助将不胜感激。

下面是我用来打开密钥的代码。

GPO 将 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallPaper 设置为 1，从而将我锁定在丑陋的公司壁纸上。

密钥的权限属于管理员组。在 Regedit 中，我无法修改或删除密钥作为我的标准用户帐户。

我有一个可以访问的本地管理员帐户，该帐户有权更改此值。如何使用我的本地管理员访问权限编辑当前标准用户的 reg 密钥，而无需切换配置文件（如果我注销并重新登录，它将再次拉动 GPO 并恢复密钥值。

理想情况下，我想在每次登录时编写一个 BAT 或 PowerShell 脚本来更改此密钥。

谢谢

编辑：当然，在我问这个问题几分钟后，我就明白了。我做了什么（以防有人发现）：

以管理员身份运行 RegEdit，然后我为我的标准用户找到了适当的 HKEY_USERS 文件夹，并将密钥设置为 0。

关闭 RegEdit，打开任务管理器，然后结束“Explorer.exe”进程。

打开运行对话框并重新启动资源管理器。

我正在为需要 IE 在企业模式 (EM) 下运行的应用程序编写安装程序。（请不要解释为什么我不应该这样做。） EM 可以通过 Active Directory 组策略禁用（如果这导致术语错误，请告知）。在这种情况下，用户无法启用企业模式。如何在我的安装程序中检测到这种状态，以便我可以警告用户联系他们的 IT 管理员请求他们启用 EM？我假设可以阅读组策略，但代码示例会很棒。

我收到来自“现场”的请求，以使我的代理部署“更容易”，但我不知道如何做。

现在，我提供了一个用户界面来安装和配置代理。

为了部署代理，我依赖于较旧的 Windows 技术，以下是我使用的步骤：

1. 通过远程 SCM 启动依赖服务
2. 通过文件管理共享复制 agent.MSI
3. 通过远程注册表调用配置代理的设置
4. 使用 WMI 远程静默运行 agent.msi
5. 使用管理共享将 agent.msi 移动到程序文件夹（以便稍后卸载）

为了让所有这些步骤发生，我需要： 1. 正确配置防火墙 2. “安装”用户必须对远程计算机具有管理员访问权限 3. 必须打开远程文件管理共享。4.（我远程打开WMI和Remote Registry）

这个部署系统是在 2003 年建立的。

现在有更好的办法吗？也许我可以使用一个部署库？

谢谢你。

我想输入.csv（或任何其他可读格式）我的所有 AD 用户以及他们需要遵守的政策（他们的密码政策是什么等等）。

Get-ADUser命令并CSVDE没有给我所有的策略。

基本上我需要在每个用户的 GPO 之间进行某种合并......

谢谢，尼尔

I’ve got a small problem. We’re using the ”Folder Redirection” feature (as a GPO) in windows server 2008R2 and that’s working as expected for all the users. It’s configured to ”Grant the user exclusive rights to documents”, for security reason. We don’t want to give every administrator right to look into other people’s home folder. As an example, a user (let’s call the user for User1) gets the following ACLs on the folder on the server:

• CREATOR OWNER (group)
• SYSTEM (group)
• User1 (account)

This is as expected and no problem there. But now to the problem, when an administrator gets her/his home folder configured by windows, it’s getting:

• CREATOR OWNER (group)
• SYSTEM (group)
• Administrators (group)

As a result all administrators can access each other’s home folders without a problem and this we would like to prevent. I've like to get the administrators own account as the owner of the folder, like it is with all normal users.

An administrator in our environment is a member of a group called “ADMIN” which got “Enterprise Admins” and a few other things in it.

Do anyone have the same problem? I’ve be grateful for any tips and tricks.

Does anyone know of a way to find the GUID of a specific GPO given its name using VBScript? I've seen a lot of examples to go from a GUID to a GPO, but not the other way around.

我创建了一个通过 GPO 强制执行的注销 vbs 脚本，用于静默安装 office 2010 SP。脚本的主要部分运行以下命令：

安装文件位于网络共享上（权限：所有人都可以完全控制）。安装exe已通过office 2010定制工具和ProPlus.WW\config.xml文件的正确配置进行了修改。

安装似乎可以正常工作，直到安装更新时返回错误 1719 Windows Installer 服务无法访问，前面是警告事件 1530：

我已经在 5 个不同的主机上尝试了该脚本，但总是遇到同样的错误。我曾尝试在登录时使用相同的脚本并且它有效。如果我手动运行该命令，它可以工作。

您知道为什么脚本在注销时不起作用吗？你有什么解决方法可以建议吗？