问题标签 [group-policy]

在我开始之前，另一篇与此求助请求类似的帖子位于Running a process at the Windows 7 Welcome Screen，但回复并不完全符合我的预期，并且该帖子已有一年多的历史了我认为最好为我的需要启动一个新线程。

在 Windows 7 Ultimate 中，我正在尝试创建一个脚本或任务调度程序事件，它将在登录、锁定和切换用户屏幕（基本上是等待用户登录的任何屏幕）时运行带有参数的 Windows“rundll32.exe”进程进入机器）。

我曾尝试在组策略编辑器中使用启动脚本控件以及创建任务计划程序事件，但到目前为止，我无法让进程显示在登录屏幕上。

我正在使用的命令行在通过“运行..”对话框以及通过 CMD 提示登录到任何用户级别的任何帐户时都可以工作，并且仅创建一个已存在于 Windows OEM 环境中的弹出窗口。

最困难的部分是：我的朋友刚买了一台新笔记本电脑。新的笔记本电脑已经启用了这个特定功能，但我不知道是什么导致了它的发生，也无法访问计算机来查看 gpedit.msc 和任务调度程序以获取可能的解决方案。

我需要此信息的原因有两个：1) 我希望该功能在我自己的笔记本电脑上运行，以及 2) 我的朋友希望帮助在他的笔记本电脑上禁用它，因为他不喜欢它。

我一直在 Google，在 Microsoft Answers 上发帖，还在笔记本电脑制造商的用户论坛上发帖。我发现很少有页面提到与我相同的问题，但没有一个有用的答案，因为我已经看到并知道这是可能的，所以我不得不继续寻找。

目前正在使用的笔记本电脑是通过全新安装的 Win 7 Ultimate 购买的，并且没有添加制造商的过时软件/其他软件，因此我们知道该功能是由安装操作系统并将其配置为出售的任何人实现的. 因此，我确信这只是 Windows 本身中正确的任务或脚本的问题，然后我才能看到我需要的结果，然后知道如何指导我的朋友通过电话禁用他的功能。

具体调用是“rundll32.exe van.dll,RunVAN”。在任务计划程序中，我将其设置为“系统”运行，并设置启动、工作站锁定和本地断开连接的触发器。我尝试使用 rundll32.exe 的完整路径以及裸命令。在 gpedit 启动脚本中，我尝试了完整路径和裸命令。这两种情况都不会在登录屏幕上显示此弹出窗口。

我和我的朋友都会非常感谢任何和所有的帮助和/或建议。

我搜索了很长时间如何定义组上允许的登录时间，就像可以从 Active Directory 中的帐户选项卡中使用用户一样。

我已经在 c# 中有一个类，它可以使用帮助“logonhours”属性进行查询以返回用户所有允许的时间列表。

我使用这篇文章来帮助我了解如何查询登录时间：

http://anlai.wordpress.com/2010/09/07/active-directory-permitted-logon-times-with-c-net-3-5-using-system-directoryservices-accountmanagement/

重要的是要了解我不希望某个功能知道用户上次登录的时间。我有一个功能，可以防止用户在某些时候登录。

我想要的是一个可以为一组用户应用登录时间的功能，我可以使用 c# 查询 Active Directory 以获取这些登录时间信息。

非常感谢你。

我希望能够允许通过 IAM 创建的用户能够在管理控制台中查看一个特定的存储桶。此外，我想将它限制在存储桶中的一个文件夹中，这样权限将是：

对我的存储桶/文件夹/* 的 S3 控制台访问

我将如何使用策略生成器来做到这一点？我目前有：

但是，当我修改资源位置时arn:aws:s3:::my-bucket/folder——它会阻止用户完全使用控制台。这有可能吗？我需要做什么才能解决这个问题？

如何自动化该过程以在“邮件收藏夹”文件夹中显示我的公用文件夹日历？

我想通过登录脚本或组策略来做到这一点。

我将 Microsoft Exchange server 2007 与 Windows Server 2008 R2 和运行 Windows Server 2003 R2 的域控制器一起使用。

所有工作站系统都有 Outlook 2010 或 Outlook 2007。

在对此进行搜索时，我找到了下面的脚本，但是通过此脚本（已经修改了路径），我只能使公用文件夹日历显示在公用文件夹收藏夹中，但不在邮件收藏夹中。

我有一台独立的基于 Windows-NT 的机器（未连接到任何网络），我希望能够读取并稍后通过 C++ 程序设置组策略设置。

这是我要手动执行的操作。以管理员身份运行 gpedit.msc，然后说我想阻止用户访问注册表。所以在"Local Group Policy Editor"我会去

用户配置 -> 管理模板 -> 系统 -> “阻止访问注册表编辑工具”

并将其设置为Enabled。

有没有办法从 C++ 程序中做同样的事情？任何代码示例将不胜感激！

我制作了一个 power shell 脚本，它使用我的私钥加载 pageant（一个 Windows SSH 身份验证代理）。简而言之，脚本只不过是以下两行：

$files是一个字符串列表，其中包含我必须加载的所有私钥。

我对脚本的工作没有任何问题，因为当我从我的 powershell 控制台执行它时，它可以完美地完成它的工作。

每当我登录到我的帐户时，我都想执行这个脚本，我通过使用组策略编辑器 (gpedit.msc) 添加一个 powershell 登录脚本组策略来执行此操作，该脚本也会执行并且实际上确实加载了 pageant.exe 工具。

但是使用 pageant.exe 工具（putty 和 plink）的工具不起作用。它不识别选美身份验证代理。

所以我的第一个问题是，从我自己的 powershell 控制台启动脚本和从组策略（登录脚本）启动脚本有什么区别？

我也进行了一些调查，发现了一些差异。首先是当我从自己的控制台启动脚本时，启动的选美工具在我的任务管理器中有一个 UAC 虚拟化标志。从登录脚本组策略启动时，不会标记此属性。

第二件事是，当我禁用 UAC 时，脚本确实可以从登录脚本组策略中工作。所以我认为它与 UAC 有关，但我不知道如何解决这个问题。我希望脚本在启用 UAC 时也能正常工作。

第二个问题是什么是 UAC 虚拟化标志，它如何影响流程的工作？第三个也是最后一个问题是如何让我的脚本正常工作？

请看一下我电脑上本地组策略设置的截图（gpedit.msc）：

有没有办法从 C++ 程序（或者可能使用 WMI）中检索用户友好（本地化）的组策略名称（在上面的屏幕截图中圈出）？

当我在下面运行 Powershell 脚本时，我收到以下错误。如何通过带有参数的powershell运行程序？该脚本将是一个组策略登录。

调用表达式：找不到接受参数 '\TBHSERVER\NETLOGON\BGInfo\BGIFILE.bgi /timer:0 /s ilent /nolicprompt '的位置参数。在 X:\Systems\scripts\PowerShell\UpdateDesktopWithBGInfo.ps1:6 char:18 + Invoke-Expression <<<< $logonpath $ArguList + CategoryInfo : InvalidArgument: (:) [Invoke-Expression], ParameterBindingException + FullyQualifiedErrorId : PositionalParameterNotFound, Microsoft.PowerShell.Commands.InvokeExpressionCommand

我正在开发一个 Windows 应用程序。我希望我的应用程序可以通过自己定义的 GPO 进行配置，以便系统管理员可以单独为每个组和用户管理我的应用程序行为。我做了一些研究，但我找不到合适的解决方案。

如果我创建一些自定义策略，它们如何进入服务器？我认为这些政策应该包括“更改注册表项”。之后，我的应用程序使用本地计算机上的这些条目来配置自身。

例如，我的应用程序有一个存储数据的文件夹。假设默认情况下它是“C:\data”。此路径存储在特定的注册表项中。通过定义组策略，管理员可以更改此路径。所以管理员在服务器端将路径设置为“C:\subfolder\data”。我的本地应用程序现在应该使用此文件夹来存储数据。

我不知道如何解决这个问题。有没有办法将组策略放到服务器/域控制器上？我想稍后发布我的应用程序，所以我绝对更喜欢使用安装程序包之类的解决方案。

我有一个服务器，当用户登录时，会执行一个登录脚本来加载用户有权使用的打印机。这是使用 GPO 完成的。所以当用户登录时，他可以看到他被允许使用的打印机。

我需要做的是在 C# 应用程序中加载这些打印机。我一直在尝试使用 (objectClass=groupPolicyContainer) 过滤器枚举组策略容器的属性，但我无法找到我（当前用户）可以访问的打印机。