執行Regedit
在HKEY_LOCAL_MACHINE/System/CurrentControlSet/
新增機碼StorageDevicePolicies
新增Data Type:DWORD, Value Name:WriteProtect, Value為1
↧
快問快答:如何讓隨身碟只讀不寫
↧
How to deploy Communicator.msp?
1.請您將CommunicatorVolume.msi , Communicator.msp檔案儲存在一個資料夾.例如: C:\temp
2.並確認您目前分享的資料夾.此亦為您目前軟體派送的資料夾, 在此以 C:\share\moc 資料夾為例
3請使用 Msiexec /a CommunicatorVolume.msi TARGETDIR =C:\share\moc 將安裝檔案解開, 解開後您亦可以看到會有產生 PFiles 及System32 資料夾
4.使用 msiexec /p Communicator.msp /a C:\share\moc\CommunicatorVolume.msi 將 Communicator.msp 更新的檔案整併到此CommunicatorVolume.msi 安裝主程式下
完成後您可以檢視相關 PFiles 資料夾下有相關此Communicator.msp 更新的檔案,亦表示已經整並更新成功
5. 請開啟您原本在 DC 上所配置的軟體派送群組原則,使其軟體派送再次重新部署.亦可以達成您要更新此 Communicator.msp 修正程式的目的
↧
↧
Security Database corrupted cause Policy failed to apply
有時候,不管怎麼樣都無法套用policy,但是登入的動作都正常,SYSVOL的資料夾也可以正常訪問的話,看看下面的狀況,可能問題發生的情形相同。
GPResults的資訊:
MSFT\MSFT 的 RSOP 結果在 MSFT: 記錄模式
----------------------------------------------
OS 類型: Microsoft Windows XP Professional
OS 設定: 成員工作站
OS 版本: 5.1.2600
網域名稱: MSFT
網域類型: Windows 2000
站台名稱: Default-First-Site-Name
漫遊設定檔:
本機設定檔: C:\Documents and Settings\MSFT
用低速連結來連線?: 否
COMPUTER SETTINGS
------------------
CN=MSFT,OU=Client,OU=WSUS,DC=MICROSOFT,DC=com,DC=tw
上次套用的群組原則: 2009/3/10 at 上午 08:43:21
套用的群組原則來自: DC01.MICROSOFT.com.tw
群組原則低速連結閾值: 500 kbps
已套用的群組原則物件
-----------
Client WSUS Policy
Client Admin Change Policy
Software Deploy
XP SP2 Policy
Firewall Disable Policy
Default Domain Policy
本機群組原則
看起來Policy套用是有的,但是期望的Policy還是沒有生效。
不過我們從Winlogon.log 中發現以下錯誤:
建立 \\MICROSOFT.com.tw\sysvol\MICROSOFT.com.tw\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf 的本機複本。
GPLinkDomain GPO_INFO_FLAG_BACKGROUND )
建立 \\MICROSOFT.com.tw\sysvol\MICROSOFT.com.tw\Policies\{30A020C9-8D63-44C7-9F78-B38F751BAB58}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf 的本機複本。
GPLinkOrganizationUnit GPO_INFO_FLAG_BACKGROUND )
建立 \\MICROSOFT.com.tw\sysvol\MICROSOFT.com.tw\Policies\{7F0629EF-1CAA-4DA1-9F67-36901C441328}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf 的本機複本。
GPLinkOrganizationUnit GPO_INFO_FLAG_BACKGROUND )
群組原則物件 \\MICROSOFT.com.tw\sysvol\MICROSOFT.com.tw\Policies\{9547A99D-B82F-4563-9B42-57228985C31E}\Machine中並未定義範本。
處理 GP 範本 gpt00000.dom。
這不是最後一個 GPO。
-------------------------------------------
2009年3月1日 上午 02:43:03
錯誤 1208: 發生延伸錯誤。
建立 database 時發生錯誤。
----設定引擎初始化發生錯誤。----
----不初始化設定引擎...
**************************
和UserENV裡面發現大量以下錯誤:
USERENV(404.218) 16:10:01:373 ProcessGPOs: Extension Security ProcessGroupPolicy failed, status 0x4b8.
USERENV(404.f54) 16:27:29:091 ProcessGPOs: GetGPOInfo failed.
USERENV(404.218) 17:51:08:265 ProcessGPOs: Extension Security ProcessGroupPolicy failed, status 0x4b8.
USERENV(404.f54) 18:08:29:334 ProcessGPOs: GetGPOInfo failed.
事件檢視器中也有相關錯誤:
事件類型: 警告
事件來源: SceCli
事件類別目錄: 無
事件識別碼: 1202
日期: 2009/3/10
時間: 上午 08:43:30
使用者: N/A
電腦: MSFT
描述:
安全性原則傳播中含有警告。 0x4b8 : 發生延伸錯誤。
若要得到解決這個事件的最佳結果,請以非系統管理員帳戶登入,然後在http://support.microsoft.com搜尋 "Troubleshooting Event 1202's"。
請在 http://go.microsoft.com/fwlink/events.asp查看說明及支援中心,以取得其他資訊。
事件類型: 錯誤
事件來源: Userenv
事件類別目錄: 無
事件識別碼: 1085
日期: 2009/3/10
時間: 上午 08:43:30
使用者: NT AUTHORITY\SYSTEM
電腦: MSFT
描述:
無法執行群組原則用戶端延伸 Security。請試著找出延伸先前是否有錯誤報告。
請在 http://go.microsoft.com/fwlink/events.asp查看說明及支援中心,以取得其他資訊。
目前我們看到這樣的狀況,我們可以判斷這個問題是由於 secedit.sdb 資料庫損毀所導致的。
接下來,請依照以下方案重建 Secedit.sdb:
1. Open the %SystemRoot%\Security folder, create a new folder, and then name it "OldSecurity".
2. Move all of the files ending in .log from the %SystemRoot%\Security folder to the OldSecurity folder.
3. Find the Secedit.sdb file in the %SystemRoot%\Security\Database folder, and then rename this file to "Secedit.old".
4. Click Start, click Run, type mmc, and then click OK.
5. Click Console, click Add/Remove Snap-in, and then add the Security and Configuration snap-in.
6. Right-click Security and Configuration and Analysis, and then click Open Database.
7. Browse to the %TEMP% folder, type Secedit.sdb in the File name box, and then click Open.
8. When you are prompted to import a template, click Setup Security.inf, and then click Open.
9. Copy %TEMP%\Secedit.sdb %SystemRoot%\Security\Database.
↧
GPO 如何建立及套用WMI Filter?
如何建立WMI Filter?
開啟 GPMC.msc 展開您的Domain Tree 後,您可以看到 WMI Filter .請點選右鍵 [新增]
請針對此 新的WMI Filter 命名,及相關此新WMI Filter 之描述,然後在點選 [新增]
在此請您新增您的WMI Query 語法,在此以 選擇 OS 為Windows XP 為例
您將可以在檢查此 WMI Filter 完整的設定.確認無誤.請按[儲存]
您亦可以看到 在 WMI Filter 下就有您新增的 WMI Filter
如何設定GPO 採用特定WMI Filter
點選到您需要套用WMI Filter 的 GPO ,並在右邊視窗下可以看到WMI Filtering 選項.再此您亦可以選擇到您設定好的所有 WMI Filter .
選擇好您要的WMI Filter 後.會再出現提示確認您需要套用.請按 [是]
如此亦完成您 GPO WMI Filter 設定
↧
Cannot change Licensing Mode from Per Device to Per User
Problem
=========
無法修改Licensing Mode to Per User 
Cause
=====
GPO
Solution
=======
After change the GPO setting, this issue was fixed. 
設定終端機伺服器授權模式
To configure the Terminal Server Licensing mode
Using Group Policies (best practice)
1. 開啟 [群組原則]。
2. 在 [電腦設定]、[系統管理範本]、[Windows 元件]、[終端機服務] 中,連按兩下 [終端機伺服器授權模式] 。
3. 按一下 [啟用]。
4. 按一下 [每個使用者] 或 [每一裝置],再按 [確定]。
每一裝置 CAL 對每一個執行 Windows Server 2003 的用戶端電腦或裝置授與存取終端機伺服器的權利。每個使用者 CAL 對一位使用者授與從不限數量之裝置存取終端機伺服器的權利。
![clip_image002[4]](http://blogs.technet.com/blogfiles/csstwplatform/WindowsLiveWriter/CannotchangeLicensingModefromPerDeviceto_A14A/clip_image002%5B4%5D_thumb.jpg "clip_image002[4]")
↧
↧
Windows 7 或是Windows 2008R2在加入網域之後,變成無法啟動
Windows 7或是Windows 2008R2在加入網域之後,可能會看到以下的錯誤訊息:
Windows is not genuine
Your computer might not be running a counterfeit copy of Windows.
0x80070005
當您嚐試使用slmgr命令來取得啟動資訊的時候,您可能會看到0x800A0046的錯誤訊息 
發生這個問題的主要原因是由於GPO中, Plug and Play 服務上面並沒有設定好正確的權限
解決方案:
1.取消這個Policy的設定:
在DC上,開啟GPMC,並且找到要編輯的Policy,找到以下的Policy: [電腦設定]->[Windows 設定]->[安全性設定]->[系統服務]->[Plug and Play],點選[內容]後直接設定為[尚未設定] 
2.如果您希望繼續保留這個原則的控制,請您在Policy中加入正確的權限:
請您新增 SERVICE 這個帳號,並且提供以下的權限:
查詢範本
查詢狀態
列舉依存
質詢
使用者定義控制
讀取權限
重新套用Policy之後即可解決問題。
關於服務啟動需要的權限設定,請參考以下網頁:
Service Security and Access Rights
http://msdn.microsoft.com/en-us/library/ms685981(VS.85).aspx
↧
如何在gpmc下使用WMI篩選器,讓群組原則套用至特定的作業系統?
以Windows 防火牆為例,在Windows XP 下有傳統的Windows 防火牆,而在Windows Vista及Windows 7下提供了更進階功能的Windows 防火牆。如果IT想要設定二條Policy,第一條policy是使用新的Windows Firewall policy,希望只套用在Windows Vista及Windows 7的作業系統,而另一條Policy設定傳統的Windows Firewall policy,只套用在Windows XP,可以參考以下的做法。
1.在DC 上,開啟GPMC,找到WMI篩選器。
2.右鍵點選「新增」,在名稱裏輸入您指定的名稱(例如Windows 7 /Vista),再點選「新增」。
3.在下方的查詢裏,請直接貼入Select * from Win32_OperatingSystem Where (Caption Like "%Microsoft Windows 7%") OR (Caption Like "%Microsoft® Windows Vista%") 文字 ,再按下「確定」,再到步驟2的圖中,按下「儲存」。
4.重覆步驟2和3,新增一條For Windows XP的規則,其內容為Select * from Win32_OperatingSystem Where (Caption Like "%Microsoft Windows XP%")
5.在Group policy上,建立二條Policy,分別是針對舊的防火牆和新的防火牆做設定。假設這條Policy要套在Vista和Win7上,請在右下方的WMI篩選上以下拉選單選到剛剛步驟3產生的條件。同樣的,假設您的policy是要套在XP上,請選到for XP的條件。
如此,即使 OU下同時有不同版本的作業系統,即使這二條policy同時和此 OU產生連結,當Client電腦開機後,會依照WMI篩選器的條件,只套用符合規定的policy來套用。
↧
使用Group policy派送IE trust site時,無法在terminal server上生效
問題徵狀:
使用 Group Policy裏的IE 維護原則設定信任網站後,您發現大部份的Client都套用成功,但是Windows 2003 的terminal server沒有生效。
問題分析:
- 首先,先確認IE的Ehanced security configuration是否有被勾選,如果有的話,請在新增移除Windows 元件裏,將這個項目拿掉,再套用一次policy測試(預設在Windows 2003機器裏,該選項是勾選的)。
- 如果關閉後,仍無法生效,請檢查HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ IEHarden=1機碼是否存在,如果存在的話,請刪除之,再套用一次,
補充說明:
- 在Enable IE ESC時,它信任網站讀的機碼是HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains 位置。
- 當初在建立信任網站的Policy時,假設在DC上已經將IE ESC的功能關閉,因此套用下來時的機碼會寫在KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains下。如果用戶端有Enable IE ESC,就不會生效。
- 因此要確認無法生效的機器上,IEESC是否有確定關閉,並且該機碼也確定被刪除;有些情況下,將該勾勾拿掉後,機碼仍沒有刪除成功,因此信任網站的設定仍沒有生效。
解決方法︰
解決方式是要將IEESC關閉後,並且確認在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ IEHarden=1裏的機碼被刪除。
2. 將裏面的 InetESC.adm copy至該機器。
3. 執行本機群組原則,匯入此adm
4. 點到電腦設定>系統管理範本>IE Components> Internet Explorer> IEESC,將游標定位在上面
5. 點選MMC的檢視>篩選,將裏面的選項都拿掉
6. 完成後您將可看到下列設定項目並且可以進一步設定。
7. 將以下的文字存成一個bat檔,讓登入Terminal Server的user派送自動去執行的話,確定IEESC殘留的機碼被刪除成功。
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v IEHarden /f
8. 只要上述的policy 生效,IEESC會被移除,信任網站即可以成功寫入Terminal Server上。
↧
在Windows 7下,如何讓非administrator的使用者可以安裝網路印表機?
一般來講,如果沒有administrator權限的話,無法安裝網路印表機的驅動程式。您可以使用以下的方式來讓一般的使用者給予權限來安裝網路印表機。
1.開啟Group Policy 編輯器(gpedit.msc或是gpmc.msc)
2. 找到「電腦設定」>「系統管理範本」>「印表機」裏,將「指向並列印限制」改成已啟動
3.安裝新連線的驅動程式時」選擇「不顯示警告或提高權限提示」
4.更新現有連線的驅動程式時」選擇「不顯示警告或提高權限提示」
↧
↧
Client 發現gpresult 顯示有套用GPO, 但是套用結果還是舊的
分析:
Windows XP SP3 GPO refresh 機制有改變,在進行套用GPO 會將舊的資訊刪除,並產生備份檔案(tempntuser.pol),一但存取其他GPO 套用有問題, 就會rollback, 故此亦為您看到Gpresult 有套用,但是機碼還是舊的
Check userevn log:
USERENV(628.f30) 15:38:40:747 ParseRegistryFile: Entering with <\\contoso.com\SysVol\contoso.com\Policies\{63AF2C73-0180-4582-80FE-84B3870C1245}\Machine\registry.pol>.
USERENV(628.f30) 15:38:40:763 SetRegistryValue: Failed to open key <SYSTEM\CurrentControlSet\Services\USBSTOR> with 5 < 套用失敗
USERENV(628.f30) 15:38:40:778 ParseRegistryFile: Callback function returned false.
USERENV(628.f30) 15:38:40:794 ParseRegistryFile: Leaving.
USERENV(628.f30) 15:38:40:809 ProcessGPORegistryPolicy: ParseRegistryFile failed.
USERENV(628.f30) 15:38:40:825 ProcessGPORegistryPolicy: Resetting policies set in the current processing cycle.
USERENV(628.f30) 15:38:40:841 ResetPolicies: Entering.
USERENV(628.f30) 15:38:40:856 ParseRegistryFile: Entering with <C:\Documents and Settings\All Users\ntuser.pol>. << 刪除剛才套用的 .POL
:::
USERENV(628.f30) 15:38:46:434 ParseRegistryFile: Leaving.
USERENV(628.f30) 15:38:46:450 ResetPolicies: Leaving.
USERENV(628.f30) 15:38:46:466 ParseRegistryFile: Entering with <C:\Documents and Settings\All Users\tempntuser.pol>. << rollback .POL
USERENV(628.f30) 15:38:46:481 SetRegistryValue: Found comment GPO Name: Local Group Policy.
USERENV(628.f30) 15:38:46:481 SetRegistryValue: AlertLevel => 3 [OK]
Check Event log: 事件檢視器也清楚看到的確套用有錯誤
7/27/2010 下午 03:32:26 4 0 9010 Microsoft Operations Manager NT AUTHORITY\SYSTEM A0412XP
7/27/2010 下午 03:32:32 4 0 1035 MsiInstaller NT AUTHORITY\SYSTEM A0412XP Windows Installer 已重新設定該產品。產品名稱: Configuration Manager Client。產品版本: 4.00.6221.1000。產品語言: 1033。重新設定成功或錯誤狀態: 0。
7/27/2010 下午 03:32:48 1 0 1020 Userenv NT AUTHORITY\SYSTEM A0412XP SYSTEM\CurrentControlSet\Services\USBSTOR 存取被拒。
7/27/2010 下午 03:32:48 1 0 1096 Userenv NT AUTHORITY\SYSTEM A0412XP \\contoso.com\SysVol\contoso.com\Policies\{63AF2C73-0180-4582-80FE-84B3870C1245}\Machine\registry.pol存取被拒。
7/27/2010 下午 03:34:18 1 0 1020 Userenv NT AUTHORITY\SYSTEM A0412XP SYSTEM\CurrentControlSet\Services\USBSTOR 存取被拒。
7/27/2010 下午 03:34:18 1 0 1096 Userenv NT AUTHORITY\SYSTEM A0412XP \\contoso.com\SysVol\contoso.com\Policies\{63AF2C73-0180-4582-80FE-84B3870C1245}\Machine\registry.pol存取被拒。
7/27/2010 下午 03:34:56 2 52 4356 EventSystem N/A A0412XP COM+ 事件系統無法建立訂閱者 partition:{41E90F3E-56C1-4633-81C3-6E8BAC8BDD70}!new:{7E89FF0B-F649-4F9A-A9C3-F05DFAAA3DA1} 的執行個體。CoGetObject 傳回 HRESULT 80070005。
7/27/2010 下午 03:36:40 4 0 12 Communicator N/A A0412XP Communicator has enabled event logging. Information about failed calls will be sent to the Windows event log.
7/27/2010 下午 03:38:40 1 0 1020 Userenv NT AUTHORITY\SYSTEM A0412XP SYSTEM\CurrentControlSet\Services\USBSTOR 存取被拒。
7/27/2010 下午 03:38:40 1 0 1096 Userenv NT AUTHORITY\SYSTEM A0412XP \\contoso.com\SysVol\contoso.com\Policies\{63AF2C73-0180-4582-80FE-84B3870C1245}\Machine\registry.pol存取被拒。
7/27/2010 下午 03:38:57 4 0 1704 SceCli N/A A0412XP 群組原則物件中的安全性原則已經套用成功。
建議做法:
針對套用有問題的 Policy 進行調整, 並解決此問題 Policy 套用問題, 隨後GPO套用才會正確
↧
如何讓Windows 7在移除Smart card後,就自動鎖定電腦(或是登出電腦)?
問題描述:如果您是使用Smart Card登入Windows 7,由於安全性的原因,您希望能做到移除Smart Card後,馬上鎖定電腦或是登出,請參考以下的做法。
1. 在群組原則裏,找到「電腦設定」>「Windows 設定」>「安全性設定」>「本機原則」>「安全性選項」>「互動式登入:智慧卡移除操作」的設定改成「鎖定工作站」或是「強制登出」。
2.在「服務」裏,將「Smart card Removal Policy」設定成「自動」,並且確認可以啟動。
3.確認Policy 生效即可
↧
Event 1030 and 1065 error appear at Application log
Issue: 機器每天都會產生 1030/1065 的錯誤訊息
Cause:
· 此問題與GPMC介面上的WMI篩選有關, 因為機器的WMI發生問題所以無法執行WMI篩選的工作才出現錯誤
· 從 WMI控制台確認此台機器WMI的確有問題
Resolution:
· 透過指令的方法重建 WMI Repository (附加檔案: wmi.bat)
net stop winmgmt
c:
cd %systemroot%\system32\wbem
rd /S /Q repository
regsvr32 /s %systemroot%\system32\scecli.dll
regsvr32 /s %systemroot%\system32\userenv.dll
mofcomp cimwin32.mof
mofcomp cimwin32.mfl
mofcomp rsop.mof
mofcomp rsop.mfl
for /f %%s in ('dir /b /s *.dll') do regsvr32 /s %%s
for /f %%s in ('dir /b *.mof') do mofcomp %%s
for /f %%s in ('dir /b *.mfl') do mofcomp %%s
echo DONE - you must reboot
pause
· 重新啟動電腦
· WMI已經恢復正常運作, 事件檢視器也不在發生錯誤
↧
Windows 2003/Schedule Task failed to start randomly
Issue: Schedule Task failed to start randomly
Cause: There is a Domain Policy defined for “Logon as batch job”, this settings will overwrite all local account’s right.
Repro Step:
1. Create a Schedule Task using local administrator account and password
2. Test run these tasks
3. Define “Logon as batch job” at domain level
4. Run gpupdate /force at Server 2003
5. Once we did apply this policy from Domain, try to run task, it will failed
Failed with “could not start”
Workaround:
· Include the default administrator account at “Logon as batch job” policy
Reference:
http://technet.microsoft.com/en-us/library/cc755659(v=ws.10).aspx
Log on as a batch job
In Windows 2000 Server, Windows 2000 Professional, Windows XP Professional, and Windows Server 2003, the Task Scheduler automatically grants this right as necessary. The Task Scheduler injects this right for the user into the computer's effective policy immediately after the task is scheduled. If there is a contradictory group policy defining the Logon as a batch job user right, the effective policy settings will be overwritten by the group policy only upon policy refresh.
↧
↧
After enable advanced audit of GPO, all regular aduit GPO became invalid
1. 在「本機原則\稽核原則」中的稽核原則以及「進階稽核原則設定」中的稽核原則有何差異?
[安全性設定\本機原則\稽核原則] 中的基本安全性稽核原則設定以及 [安全性設定\進階稽核原則設定\系統稽核原則] 中的進階安全性稽核原則設定似乎重疊,但它們以不同方式記錄及套用。當您使用本機安全性原則,將基本稽核原則設定套用至本機電腦時,您是編輯有效稽核原則,因此對基本稽核原則設定所做的變更與 Auditpol.exe 中的設定完全相同。
這兩個位置中的安全性稽核原則設定之間還有一些差異。
[安全性設定\本機原則\稽核原則] 底下有九個基本稽核原則設定,[進階稽核原則設定] 底下則有 53 個設定。[安全性設定\進階稽核原則設定] 中的設定與 [本機原則\稽核原則] 中的九個基本設定處理類似問題,但前者讓系統管理員對要稽核的事件數目和類型有更多的選擇。例如,基本稽核原則對帳戶登入提供單一設定,進階稽核原則提供四個設定。啟用單一基本帳戶登入設定相當於設定所有四個進階帳戶登入設定。相較之下,設定單一進階稽核原則設定並不會產生您不感興趣之活動的稽核事件。此外,如果您啟用基本 [稽核帳戶登入事件] 設定的成功稽核,只會記錄所有帳戶登入相關行為的成功事件。相較之下,您可以對一個進階帳戶登入設定來設定成功稽核,對第二個進階帳戶登入設定來設定失敗稽核,對第三個進階帳戶登入設定來設定成功和失敗稽核,或設定不稽核,視組織需求而定。
[安全性設定\本機原則\稽核原則] 底下的九個基本設定是在 Windows 2000 中引進,因此可用於所有之後發行的 Windows 版本。進階稽核原則設定是在 Windows Vista 和 Windows Server 2008 中引進。進階設定只能用於執行 Windows 7、Windows Vista、Windows Server 2008 R2 或 Windows Server 2008 的電腦上。
基本稽核原則與使用 Windows Server 2008 R2 和 Windows 7 群組原則所套用的進階稽核原則設定不相容。這是因為使用群組原則套用進階稽核原則設定後,目前電腦的稽核原則設定會立即清除,然後才能套用產生的進階稽核原則設定。在使用群組原則套用進階稽核原則設定之後,只能使用進階稽核原則設定,可靠地設定電腦的系統稽核原則。
編輯及套用本機安全性原則中的進階稽核原則設定,會修改本機群組原則物件 (GPO),因此如果有來自其他網域 GPO 或登入指令碼的原則時,此處所做的變更可能不會正確反映在 Auditpol.exe 中。這兩種原則類型都可以使用網域 GPO 進行編輯及套用,而且這些設定會覆寫任何衝突的本機稽核原則設定。不過,因為基本稽核原則是在有效稽核原則中記錄,需要變更時必須明確移除稽核原則,否則變更會保留在有效稽核原則中,而使用本機或網域群組原則設定所套用的原則變更則會在套用新原則時立即反映。
重要
無論使用群組原則或登入指令碼來套用進階稽核原則,請勿同時使用 [本機原則\稽核原則] 底下的基本稽核原則設定以及 [安全性設定\進階稽核原則設定] 底下的進階設定。同時使用進階和基本稽核原則設定可能會產生非預期的結果。如果您使用 [進階稽核原則設定] 設定或登入指令碼 (適用於執行 Windows Vista 或 Windows Server 2008 的電腦),來套用進階稽核原則,務必啟用 [本機原則\安全性選項] 底下的 [稽核: 強制執行稽核原則子類別設定 (Windows Vista 或更新版本) 以覆寫稽核原則類別設定] 原則設定。這樣將可藉由強制略過基本安全性稽核,防止在類似設定之間發生衝突。
3. 如何將安全性稽核原則從進階稽核原則回復到基本稽核原則?
套用進階稽核原則設定會取代任何類似的基本安全性稽核原則設定。如果您之後將進階稽核原則設定變更為 [未設定],則您需要完成下列步驟,才能還原為原始的基本安全性稽核原則設定:
- 將所有進階稽核原則子類別設定為 [未設定]。
- 將網域控制站 %SYSVOL% 資料夾中的所有 audit.csv 檔案刪除。
- 重新設定並套用基本稽核原則設定。
除非完成這些所有步驟,否則無法還原基本稽核原則設定。
Reference:進階安全性稽核常見問題集
http://technet.microsoft.com/zh-tw/library/ff182311(v=ws.10).aspx#BKMK_19
↧
快問快答:如何讓隨身碟只讀不寫
執行Regedit
在HKEY_LOCAL_MACHINE/System/CurrentControlSet/
新增機碼StorageDevicePolicies
新增Data Type:DWORD, Value Name:WriteProtect, Value為1
↧
How to deploy Communicator.msp?
1.請您將CommunicatorVolume.msi , Communicator.msp檔案儲存在一個資料夾.例如: C:\temp
2.並確認您目前分享的資料夾.此亦為您目前軟體派送的資料夾, 在此以 C:\share\moc 資料夾為例
3請使用 Msiexec /a CommunicatorVolume.msi TARGETDIR =C:\share\moc 將安裝檔案解開, 解開後您亦可以看到會有產生 PFiles 及System32 資料夾
4.使用 msiexec /p Communicator.msp /a C:\share\moc\CommunicatorVolume.msi 將 Communicator.msp 更新的檔案整併到此CommunicatorVolume.msi 安裝主程式下
完成後您可以檢視相關 PFiles 資料夾下有相關此Communicator.msp 更新的檔案,亦表示已經整並更新成功
5. 請開啟您原本在 DC 上所配置的軟體派送群組原則,使其軟體派送再次重新部署.亦可以達成您要更新此 Communicator.msp 修正程式的目的
↧
Security Database corrupted cause Policy failed to apply
有時候,不管怎麼樣都無法套用policy,但是登入的動作都正常,SYSVOL的資料夾也可以正常訪問的話,看看下面的狀況,可能問題發生的情形相同。
GPResults的資訊:
MSFT\MSFT 的 RSOP 結果在 MSFT: 記錄模式
----------------------------------------------
OS 類型: Microsoft Windows XP Professional
OS 設定: 成員工作站
OS 版本: 5.1.2600
網域名稱: MSFT
網域類型: Windows 2000
站台名稱: Default-First-Site-Name
漫遊設定檔:
本機設定檔: C:\Documents and Settings\MSFT
用低速連結來連線?: 否
COMPUTER SETTINGS
------------------
CN=MSFT,OU=Client,OU=WSUS,DC=MICROSOFT,DC=com,DC=tw
上次套用的群組原則: 2009/3/10 at 上午 08:43:21
套用的群組原則來自: DC01.MICROSOFT.com.tw
群組原則低速連結閾值: 500 kbps
已套用的群組原則物件
-----------
Client WSUS Policy
Client Admin Change Policy
Software Deploy
XP SP2 Policy
Firewall Disable Policy
Default Domain Policy
本機群組原則
看起來Policy套用是有的,但是期望的Policy還是沒有生效。
不過我們從Winlogon.log 中發現以下錯誤:
建立 \\MICROSOFT.com.tw\sysvol\MICROSOFT.com.tw\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf 的本機複本。
GPLinkDomain GPO_INFO_FLAG_BACKGROUND )
建立 \\MICROSOFT.com.tw\sysvol\MICROSOFT.com.tw\Policies\{30A020C9-8D63-44C7-9F78-B38F751BAB58}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf 的本機複本。
GPLinkOrganizationUnit GPO_INFO_FLAG_BACKGROUND )
建立 \\MICROSOFT.com.tw\sysvol\MICROSOFT.com.tw\Policies\{7F0629EF-1CAA-4DA1-9F67-36901C441328}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf 的本機複本。
GPLinkOrganizationUnit GPO_INFO_FLAG_BACKGROUND )
群組原則物件 \\MICROSOFT.com.tw\sysvol\MICROSOFT.com.tw\Policies\{9547A99D-B82F-4563-9B42-57228985C31E}\Machine中並未定義範本。
處理 GP 範本 gpt00000.dom。
這不是最後一個 GPO。
-------------------------------------------
2009年3月1日 上午 02:43:03
錯誤 1208: 發生延伸錯誤。
建立 database 時發生錯誤。
----設定引擎初始化發生錯誤。----
----不初始化設定引擎...
**************************
和UserENV裡面發現大量以下錯誤:
USERENV(404.218) 16:10:01:373 ProcessGPOs: Extension Security ProcessGroupPolicy failed, status 0x4b8.
USERENV(404.f54) 16:27:29:091 ProcessGPOs: GetGPOInfo failed.
USERENV(404.218) 17:51:08:265 ProcessGPOs: Extension Security ProcessGroupPolicy failed, status 0x4b8.
USERENV(404.f54) 18:08:29:334 ProcessGPOs: GetGPOInfo failed.
事件檢視器中也有相關錯誤:
事件類型: 警告
事件來源: SceCli
事件類別目錄: 無
事件識別碼: 1202
日期: 2009/3/10
時間: 上午 08:43:30
使用者: N/A
電腦: MSFT
描述:
安全性原則傳播中含有警告。 0x4b8 : 發生延伸錯誤。
若要得到解決這個事件的最佳結果,請以非系統管理員帳戶登入,然後在http://support.microsoft.com搜尋 "Troubleshooting Event 1202's"。
請在 http://go.microsoft.com/fwlink/events.asp查看說明及支援中心,以取得其他資訊。
事件類型: 錯誤
事件來源: Userenv
事件類別目錄: 無
事件識別碼: 1085
日期: 2009/3/10
時間: 上午 08:43:30
使用者: NT AUTHORITY\SYSTEM
電腦: MSFT
描述:
無法執行群組原則用戶端延伸 Security。請試著找出延伸先前是否有錯誤報告。
請在 http://go.microsoft.com/fwlink/events.asp查看說明及支援中心,以取得其他資訊。
目前我們看到這樣的狀況,我們可以判斷這個問題是由於 secedit.sdb 資料庫損毀所導致的。
接下來,請依照以下方案重建 Secedit.sdb:
1. Open the %SystemRoot%\Security folder, create a new folder, and then name it "OldSecurity".
2. Move all of the files ending in .log from the %SystemRoot%\Security folder to the OldSecurity folder.
3. Find the Secedit.sdb file in the %SystemRoot%\Security\Database folder, and then rename this file to "Secedit.old".
4. Click Start, click Run, type mmc, and then click OK.
5. Click Console, click Add/Remove Snap-in, and then add the Security and Configuration snap-in.
6. Right-click Security and Configuration and Analysis, and then click Open Database.
7. Browse to the %TEMP% folder, type Secedit.sdb in the File name box, and then click Open.
8. When you are prompted to import a template, click Setup Security.inf, and then click Open.
9. Copy %TEMP%\Secedit.sdb %SystemRoot%\Security\Database.
↧
↧
GPO 如何建立及套用WMI Filter?
如何建立WMI Filter?
開啟 GPMC.msc 展開您的Domain Tree 後,您可以看到 WMI Filter .請點選右鍵 [新增]
請針對此 新的WMI Filter 命名,及相關此新WMI Filter 之描述,然後在點選 [新增]
在此請您新增您的WMI Query 語法,在此以 選擇 OS 為Windows XP 為例
您將可以在檢查此 WMI Filter 完整的設定.確認無誤.請按[儲存]
您亦可以看到 在 WMI Filter 下就有您新增的 WMI Filter
如何設定GPO 採用特定WMI Filter
點選到您需要套用WMI Filter 的 GPO ,並在右邊視窗下可以看到WMI Filtering 選項.再此您亦可以選擇到您設定好的所有 WMI Filter .
選擇好您要的WMI Filter 後.會再出現提示確認您需要套用.請按 [是]
如此亦完成您 GPO WMI Filter 設定
↧
Cannot change Licensing Mode from Per Device to Per User
Problem
=========
無法修改Licensing Mode to Per User
Cause
=====
GPO
Solution
=======
After change the GPO setting, this issue was fixed.
設定終端機伺服器授權模式
To configure the Terminal Server Licensing mode
Using Group Policies (best practice)
1. 開啟 [群組原則]。
2. 在 [電腦設定]、[系統管理範本]、[Windows 元件]、[終端機服務] 中,連按兩下 [終端機伺服器授權模式] 。
3. 按一下 [啟用]。
4. 按一下 [每個使用者] 或 [每一裝置],再按 [確定]。
每一裝置 CAL 對每一個執行 Windows Server 2003 的用戶端電腦或裝置授與存取終端機伺服器的權利。每個使用者 CAL 對一位使用者授與從不限數量之裝置存取終端機伺服器的權利。
↧
Windows 7 或是Windows 2008R2在加入網域之後,變成無法啟動
Windows 7或是Windows 2008R2在加入網域之後,可能會看到以下的錯誤訊息:
Windows is not genuine
Your computer might not be running a counterfeit copy of Windows.
0x80070005
當您嚐試使用slmgr命令來取得啟動資訊的時候,您可能會看到0x800A0046的錯誤訊息
發生這個問題的主要原因是由於GPO中, Plug and Play 服務上面並沒有設定好正確的權限
解決方案:
1.取消這個Policy的設定:
在DC上,開啟GPMC,並且找到要編輯的Policy,找到以下的Policy: [電腦設定]->[Windows 設定]->[安全性設定]->[系統服務]->[Plug and Play],點選[內容]後直接設定為[尚未設定]
2.如果您希望繼續保留這個原則的控制,請您在Policy中加入正確的權限:
請您新增 SERVICE 這個帳號,並且提供以下的權限:
查詢範本
查詢狀態
列舉依存
質詢
使用者定義控制
讀取權限
重新套用Policy之後即可解決問題。
關於服務啟動需要的權限設定,請參考以下網頁:
Service Security and Access Rights
http://msdn.microsoft.com/en-us/library/ms685981(VS.85).aspx
↧