问题标签 [group-policy]

我正在寻找一种以编程方式（任何语言）为 Windows 操作系统中的加密文件系统 (EFS) 添加数据恢复代理 (DRA) 证书的方法。

手动执行很容易：gpedit.msc - 安全设置 -> 公钥策略 -> 加密文件系统 -> 添加 DRA；

但我想自动化它（不使用 Active Directory 组策略！）。

命令行解决方案也是可以接受的。

我只是希望能够以编程方式执行该gpedit.msc操作。我正在尝试将这些键的值设置为 1 并更新本地组注册表。

在 gpedit.msc 中：

本地计算机策略/计算机配置/管理模板/系统/可移动存储访问

ValueName：所有可移动存储类：拒绝所有访问

值： 1（将此设置为 1）

本地计算机策略/计算机配置/管理模板/Windows 组件/自动播放策略

ValueName : 关闭自动播放

值： 1（将此设置为 1）

我认为关键是IGroupPolicyObject在 C++ 中使用。但是，我找不到任何我可以理解的文档。

我的应用程序需要禁用/启用所有 USB 访问，而无需重新启动 Windows 7。

我是一名系统管理员，对双启动 windows 和 mac 机器的计算机实验室具有完全的管理访问权限。我正在寻找一种方法来防止用户注销或关闭计算机（直到我的 kbox / radmind / bash 脚本在一天结束时运行。）

即使您建议实施 Active Directory/kiosk 模式/其他更具管理性的解决方案，也请不要这样做。许多用户需要管理员访问计算机才能在机器上安装他们自己的东西（尽管是临时的）。我在一天结束时远程重新映像所有机器，我对这个过程充满信心。

具有讽刺意味的是，通过授予用户管理权限，理论上他们可以撤消我的更改并找到隐藏的注销按钮，或者使用 cmd 关闭计算机。别担心。大多数（如果不是全部）用户都会太懒惰。

那么如何正确隐藏通常位于开始菜单底部的注销按钮呢？以及如何将其隐藏在任务管理器中？

我已尝试编辑此处指定的组策略 (gpedit.msc) 。它不起作用/我不确定要明确启用哪些选项来删除按钮。

使用软件是一种选择，但如果程序阻止关闭或注销，Windows 足够聪明，可以强制注销覆盖。这对我来说很糟糕。

非常感谢大家。

我想执行一个gpupdate实例-Action，System.IO.FileSystemWatcher但 gpupdate 在从 PowerShell 调用时偶尔会完全挂起。我尝试了以下方法来处理无响应的 gpupdate，但它没有按预期工作 - 当 gpupdate 出错时，整个脚本仍然挂起。

我的问题是

• gpupdate有没有人遇到过从 PowerShell (v2) 调用的类似问题；这可能是什么原因？
• 为什么上面的代码片段没有做我期望它做的事情（即为什么wait-process-command 没有真正关闭 gpupdate 进程，而后者没有响应）？

更新：

我尝试添加/wait参数，但它没有改变任何东西。我还尝试了以下代码：

与$gp.ReturnValueas $errcode，但问题仍然存在。几次运行后，我仍然没有得到脚本的响应，并且订阅者停止触发。在尝试了整个事情start-job并且wait-job也没有解决它之后，我束手无策。

• 是否有更好的选择来执行此任务？
• 是否值得阅读 powershell 错误处理？

我正在尝试编写 WMI 过滤器以防止 GPO 应用于某些用户

如果用户登录到控制台，这将正常工作，但如果用户通过 RDP 登录，则始终返回 false。

标记

编辑：

似乎确实有一种方法可以实现这一点，在本文的方法二中进行了描述。不过，我不确定如何使用 Win32_Process 构造查询？

如果有人可以帮助我们，我将不胜感激！

每周我们都有多台电脑分发给新客户。这些机器必须经过大量定制，有很多细节：

• 删除大多数额外的“垃圾邮件”应用程序——戴尔、华硕、宏碁添加了我们不想要的图标。
• 更改桌面背景
• 添加 2 个特定用户帐户，其中一个根据机器名称命名。
• 在新帐户上设置 2 个特定密码 - 特定于站点
• 为每个登录设置自定义图标
• 这些机器永远不会为域设置，因此不能轻松应用 Active Directory 技术。

数量和预算使得这些机器通常不是企业级设备，并且我们没有为大型 IT 公司使用的任何技术设置，例如组策略驱动的 MSI 更新等。

我们当前的流程是由驴驱动的。在 Windows 7 上，如果安装了 SQL Server，则部署一台完全安装了我们软件的新机器最多需要一个小时，否则需要 55 分钟。这是一项完全手动的工作，我渴望改革。由于机器品牌/型号每月都在变化，我不能依赖将要安装的内容。

我看过 Ghost，但它不起作用，因为每台机器都有自己的特定许可证密钥，而不是卷许可证。

这个过程困扰了我很长时间，但这不是我自己的部门要解决的；但是，在我可以大量部署软件包的学校工作过，当他们说这是完成这项工作的唯一方法时，我无法相信我的同事。

任何人都可以帮忙吗？我们已经在 Windows 7 和现在的 Windows 8 上做了很多谷歌舞来解决这个问题，但没有什么能完全符合我们所做的。

如果这不是这个问题的地方，道歉-我确实寻找了一个更特定于操作系统但没有看到的 Stack 站点！:)。

感谢您提供的任何建议！

服务器：Windows Server 2003 PC：Windows XP（笔记本电脑） 问题：即使以顶级管理员帐户或任何其他管理员帐户登录，相关 PC 也无法获得管理员权限。PC 需要管理员权限才能定期安装打印机以及各种其他硬件。我创建了一个具有完全管理员权限的自定义用户。

以前，这台 PC 只能通过无线方式使用，并且从来不是域的一部分，它始终只是它自己的工作组计算机，在我们的仓库中随身携带。它现在连接在 RJ-45 上并且将是固定的。

我花了至少几个小时试图弄清楚为什么这台电脑无法获得管理员权限，并且已经没有想法了。还有一位前海军系统管理员一直无法弄清楚（尽管他的知识已经过时）。任何关于看什么的建议将不胜感激。我个人是一名网站管理员，并且对服务器 03 的了解很少，因此希望避免使用任何高科技术语 :) - 我可以弄清楚需要做的任何事情 :)

是继承吗？是装饰器模式吗？复合模式？战略模式？还有什么？

我在工作场所从事 IT 工作，但无法更改任何组策略设置。

我希望我的电脑每次启动时都运行这个脚本，有效地覆盖我们的组策略设置的 IE 主页。通常它被定向到我公司的主页，加载时间太长，而且它对我没有用。

这需要在每次启动时运行，因为 GP 将覆盖该注册表项。每次 PC 启动时执行此操作的最佳方法是什么？

如果有替代脚本/命令，我会使用它。

如果想要永久启用或禁用 GPO，如何使用批处理文件来实现呢？我正在尝试创建一个批处理文件来更改“始终使用自定义登录背景”的设置，使其成为我公司的自定义背景。