使用 PowerShell 测试 GPO 读取权限 (MS16-072 – KB3159398)

上周二补丁,微软发布了安全公告 MS16-072。此更新更改了将组策略下载到计算机的方式,这可能会导致 GPO 无法应用。

这种情况的一个常见症状是用户不再通过 GPO 映射其驱动器。

引用知识库文章 KB3159398:

如果组策略对象缺少经过身份验证的用户组的读取权限,或者如果您正在使用安全筛选并且缺少域计算机组的读取权限,则可能会出现此问题。

组策略不起作用可能是一个大问题,但不用担心,这当然是一个解决方案。再次引用 KB 文章:

要解决此问题,请使用组策略管理控制台 (GPMC.MSC) 并执行以下步骤之一:

- 添加对组策略对象 (GPO) 具有读取权限的经过身份验证的用户组。

- 如果您使用安全过滤,请添加具有读取权限的域计算机组。

-“但是如果我有数百个 GPO 怎么办?这可能要花我一整天的时间! ”

-“如果您使用 PowerShell,则不会! ”

阅读更多 →

使用 PowerShell 记录所有 GPO

Active Directory 组策略 (GPO) 使您能够控制用户和计算机设置。记录它们很重要。在这篇博文中,我将向您展示两个创建 GPO HTML 报告的 PowerShell 命令。让我们深入了解一下。

要将所有 GPO 中的所有 GPO 设置存储在一个文件中,请运行此命令。不要忘记提供您的域名和报告文件的路径。

Get-GPOReport -All -Domain "pagr.inet" -ReportType HTML -Path $home\allgporeports.html

我们得到一个文件,其中包含所有 GPO 的所有设置。

如果您想要 阅读更多 →

组策略:GPO 是什么以及如何工作 - Microsoft 平台管理 - 博客 - Quest Community

组策略是任何 Microsoft Active Directory (AD) 环境的关键元素。但它到底是什么以及它是如何工作的呢?攻击者如何破坏它,你如何保护自己?以下是您需要了解的所有重要事项。

组策略概述

组策略是 Microsoft Active Directory 中内置的一项不可或缺的功能。其核心目的是使IT管理员能够跨AD域集中管理用户和计算机。这包括业务用户和特权用户(例如 IT 管理员)以及工作站、服务器、域控制器

阅读更多 →

组策略和 GPO:Active Directory 如何受到攻击 - Microsoft 平台管理 - 博客 - Quest Community

嘘!想知道在企业网络中传播勒索软件的好方法吗?损害组织的组策略。

想知道削弱组织数据盗窃防御能力的好方法吗?损害组策略。

事实上,想知道从本质上获得对整个 Active Directory 域的完全控制的好方法吗?损害组策略。 阅读更多 →

如何删除由企业策略 GPO 安装的 Chrome 扩展程序

许多广告软件或隐匿垃圾程序 (PUP) 使用企业策略在您的 Chrome 浏览器中安装扩展程序,因此您无法通过 Chrome 扩展程序设置 (chrome://extensions/) 删除它们。更具体地说,这些扩展程序由企业策略 GPO 管理和安装,因此无法使用 Chrome 设置轻松卸载它们。

这些扩展程序可能是在您从 Internet 下载并安装其他免费软件后安装在您的计算机上的。

注意:在计算机上安装软件时必须时刻注意。

阅读更多 →

禁用 Windows 11 锁定屏幕 | Intune |总局 |登记处

在本文中,我将向您展示 3 种禁用 Windows 11 锁定屏幕的有用方法。您可以使用 Intune、组策略和注册表关闭 Windows 11 中的锁定屏幕。

当您打开 Windows 11 电脑电源时,在登录之前,您会看到锁定屏幕。 Windows 11 中的锁定屏幕旨在为您提供有关当天的信息,包括日历事件、天气等。

它旨在让您更轻松地登录并使用计算机。您还可以通过启用或禁用 Windows Spotlight、选择快速状态通知等来个性化 Windows 11 中的锁定屏幕。

对于大多数用户来说,这不是一个主要问题,但有些用户更喜欢摆脱这个锁定屏幕,因为他们发现它没有用。在 Windows 10 中,您必须按 CTRL+ALT+DEL 键才能登录。在 Windows 11 中,您只需双击或按锁定屏幕上的任意键即可关闭锁定屏幕。

Windows 11 具有默认启用的锁屏功能。如果不关闭锁定屏幕,您将无法查看登录屏幕。不幸的是,您无法使用设置应用程序关闭 Windows 11 锁定屏幕,因为没有内置选项来禁

阅读更多 →

在 Windows 11 中禁用小部件的 3 种方法 |总局 |登记处

在本指南中,您将学习在 Windows 11 中禁用小部件的不同方法。小部件(天气小部件)显示在 Windows 11 任务栏的左侧,只需几个简单的步骤即可启用或禁用它。

在 Windows 10 中,我们有新闻和兴趣功能,可以在任务栏上显示天气信息。同样,在Windows 11中,微软在任务栏上添加了天气小部件图标作为小部件的入口点。

这个天气小部件是微软在 Windows 11 build 22518 中首次引入的。在同一版本中,微软还添加了 Spotlight 集合背景功能。天气小部件现已在最新的 Windows 11 版本上提供。

实用文章:如何在 Windows 11 上将任务栏向左对齐

Windows 11 中的小部件是什么?

小部件是小卡片,可在 Windows 桌面上显示您喜爱的应用和服务中的动态内容。小部件实时显示有价值的信息。 Windows 11 配备了高级小部件,用户只需将

阅读更多 →

使用组策略部署 SCCM 客户端的最佳指南

本文详细介绍了使用组策略 (GPO) 部署 SCCM 客户端的步骤。您还可以使用组策略升级 SCCM 客户端代理。

您可以使用不同的方法来安装 Configuration Manager 客户端软件。本文介绍了每种方法,以便您可以了解哪种方法最适合您的组织。

下面列出了安装 SCCM 客户端代理的所有方法:

  • 组策略安装
  • 登录脚本安装
  • 手动安装
  • 客户端推送安装
  • Microsoft Intune MDM 安装

Microsoft 建议使用客户端推送安装方法在安装中部署 SCCM 客户端。这是因为它很简单,并且可以用于在所有发现的计算机上自动安装客户端。

然而,一些组织更喜欢使用组策略部署 SCCM 客户端。当您将 Windows 计算机加入 Active Directory 域时,GPO 效果最佳。

如果您计划使用组策略部署 SCCM 客户端,则必须取消选中客户端推送安装属性下的“启用自动站点范围客户端推送安装<

阅读更多 →

如何通过 GPO 设置 Internet Explorer 主页

在这篇文章中,我们将了解如何通过 GPO 设置 Internet Explorer 主页。在 Internet Explorer 中设置主页的方法有多种。

我们将寻找最简单、最容易的方法来做到这一点。因此,基本上我们将创建一个组策略对象,并且该 GPO 将应用于组织单位 (OU) 或由用户组成的组。

此 GPO 会将主页设置为特定 URL,并且此 GPO 还将阻止用户更改主页。此类策略在需要将主页设置为特定 URL(大多数情况下是公司网站 URL)的公司中强制执行。应用该策略后,用户将无法选择更改 Internet Explorer 中的主页设置。

如何通过 GPO 设置 Internet Explorer 主页

打开组策略管理控制台并右键单击组策略对象。单击新建并提供新 GPO 的名称。单击“确定”。

阅读更多 →

如何使用 GPO(组策略)禁用广告 ID

在本指南中,我将引导您完成使用 GPO(组策略)禁用广告 ID 的步骤。您可以通过多种方式阻止 Windows 11 计算机上的定向广告。

我们将首先更好地了解 Windows 的广告 ID 是什么以及禁用它时会发生什么。

如果您想使用设置手动关闭或禁用广告ID,当您拥有少量计算机时这是可行的。如果您的房产中有很多计算机,您可以使用组策略、MDM 解决方案(例如 Intune)等方法来关闭广告 ID。

如果使用 Intune 管理 Windows 设备,则可以创建配置文件并定义关闭广告 ID 的设置。您可以将该策略定位到多台计算机或多组计算机。

阅读:如何使用 Intune 关闭广告 ID

什么是广告 ID?

阅读更多 →