After enable advanced audit of GPO, all regular aduit GPO became invalid

1. 在「本機原則\稽核原則」中的稽核原則以及「進階稽核原則設定」中的稽核原則有何差異? [安全性設定\本機原則\稽核原則] 中的基本安全性稽核原則設定以及 [安全性設定\進階稽核原則設定\系統稽核原則] 中的進階安全性稽核原則設定似乎重疊,但它們以不同方式記錄及套用。當您使用本機安全性原則,將基本稽核原則設定套用至本機電腦時,您是編輯有效稽核原則,因此對基本稽核原則設定所做的變更與 Auditpol.exe 中的設定完全相同。 這兩個位置中的安全性稽核原則設定之間還有一些差異。 [安全性設定\本機原則\稽核原則] 底下有九個基本稽核原則設定,[進階稽核原則設定] 底下則有 53 個設定。[安全性設定\進階稽核原則設定] 中的設定與 [本機原則\稽核原則] 中的九個基本設定處理類似問題,但前者讓系統管理員對要稽核的事件數目和類型有更多的選擇。例如,基本稽核原則對帳戶登入提供單一設定,進階稽核原則提供四個設定。啟用單一基本帳戶登入設定相當於設定所有四個進階帳戶登入設定。相較之下,設定單一進階稽核原則設定並不會產生您不感興趣之活動的稽核事件。此外,如果您啟用基本 [稽核帳戶登入事件] 設定的成功稽核,只會記錄所有帳戶登入相關行為的成功事件。相較之下,您可以對一個進階帳戶登入設定來設定成功稽核,對第二個進階帳戶登入設定來設定失敗稽核,對第三個進階帳戶登入設定來設定成功和失敗稽核,或設定不稽核,視組織需求而定。 [安全性設定\本機原則\稽核原則] 底下的九個基本設定是在 Windows 2000 中引進,因此可用於所有之後發行的 Windows 版本。進階稽核原則設定是在 Windows Vista 和 Windows Server 2008 中引進。進階設定只能用於執行 Windows 7、Windows Vista、Windows Server 2008 R2 或 Windows Server 2008 的電腦上。 2. 基本稽核原則設定和進階稽核原則設定之間有何互動? 基本稽核原則與使用 Windows Server 2008 R2 和 Windows 7 群組原則所套用的進階稽核原則設定不相容。這是因為使用群組原則套用進階稽核原則設定後,目前電腦的稽核原則設定會立即清除,然後才能套用產生的進階稽核原則設定。在使用群組原則套用進階稽核原則設定之後,只能使用進階稽核原則設定,可靠地設定電腦的系統稽核原則。…

0

Windows 2003/Schedule Task failed to start randomly

  Issue: Schedule Task failed to start randomly     Cause: There is a Domain Policy defined for “Logon as batch job”, this settings will overwrite all local account’s right.   Repro Step:   1.      Create a Schedule Task using local administrator account and password 2.      Test run these tasks     3.      Define “Logon…

0

Event 1030 and 1065 error appear at Application log

  Issue: 機器每天都會產生 1030/1065 的錯誤訊息     Cause:   ·         此問題與GPMC介面上的WMI篩選有關, 因為機器的WMI發生問題所以無法執行WMI篩選的工作才出現錯誤     ·         從 WMI控制台確認此台機器WMI的確有問題     Resolution: ·         透過指令的方法重建 WMI Repository (附加檔案: wmi.bat) net stop winmgmt c: cd %systemroot%\system32\wbem rd /S /Q repository regsvr32 /s %systemroot%\system32\scecli.dll regsvr32 /s %systemroot%\system32\userenv.dll mofcomp cimwin32.mof mofcomp cimwin32.mfl mofcomp rsop.mof mofcomp rsop.mfl for /f %%s in (‘dir…

0

如何讓Windows 7在移除Smart card後,就自動鎖定電腦(或是登出電腦)?

問題描述:如果您是使用Smart Card登入Windows 7,由於安全性的原因,您希望能做到移除Smart Card後,馬上鎖定電腦或是登出,請參考以下的做法。 1. 在群組原則裏,找到「電腦設定」>「Windows 設定」>「安全性設定」>「本機原則」>「安全性選項」>「互動式登入:智慧卡移除操作」的設定改成「鎖定工作站」或是「強制登出」。 2.在「服務」裏,將「Smart card Removal Policy」設定成「自動」,並且確認可以啟動。 3.確認Policy 生效即可

0

Client 發現gpresult 顯示有套用GPO, 但是套用結果還是舊的

分析: Windows XP  SP3 GPO refresh 機制有改變,在進行套用GPO 會將舊的資訊刪除,並產生備份檔案(tempntuser.pol),一但存取其他GPO 套用有問題, 就會rollback, 故此亦為您看到Gpresult 有套用,但是機碼還是舊的 Check userevn log: USERENV(628.f30) 15:38:40:747 ParseRegistryFile: Entering with <\contoso.comSysVolcontoso.comPolicies{63AF2C73-0180-4582-80FE-84B3870C1245}Machineregistry.pol>.USERENV(628.f30) 15:38:40:763 SetRegistryValue: Failed to open key <SYSTEMCurrentControlSetServicesUSBSTOR> with 5     < 套用失敗 USERENV(628.f30) 15:38:40:778 ParseRegistryFile: Callback function returned false.USERENV(628.f30) 15:38:40:794 ParseRegistryFile: Leaving.USERENV(628.f30) 15:38:40:809 ProcessGPORegistryPolicy: ParseRegistryFile failed.USERENV(628.f30) 15:38:40:825 ProcessGPORegistryPolicy: Resetting policies set in the current processing…

0

在Windows 7下,如何讓非administrator的使用者可以安裝網路印表機?

一般來講,如果沒有administrator權限的話,無法安裝網路印表機的驅動程式。您可以使用以下的方式來讓一般的使用者給予權限來安裝網路印表機。   1.開啟Group Policy 編輯器(gpedit.msc或是gpmc.msc) 2. 找到「電腦設定」>「系統管理範本」>「印表機」裏,將「指向並列印限制」改成已啟動 3.安裝新連線的驅動程式時」選擇「不顯示警告或提高權限提示」 4.更新現有連線的驅動程式時」選擇「不顯示警告或提高權限提示」

0

使用Group policy派送IE trust site時,無法在terminal server上生效

問題徵狀: 使用 Group Policy裏的IE 維護原則設定信任網站後,您發現大部份的Client都套用成功,但是Windows 2003 的terminal server沒有生效。 問題分析: 首先,先確認IE的Ehanced security configuration是否有被勾選,如果有的話,請在新增移除Windows 元件裏,將這個項目拿掉,再套用一次policy測試(預設在Windows 2003機器裏,該選項是勾選的)。 如果關閉後,仍無法生效,請檢查HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ IEHarden=1機碼是否存在,如果存在的話,請刪除之,再套用一次, 補充說明: 在Enable IE ESC時,它信任網站讀的機碼是HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains 位置。 當初在建立信任網站的Policy時,假設在DC上已經將IE ESC的功能關閉,因此套用下來時的機碼會寫在KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains下。如果用戶端有Enable IE ESC,就不會生效。 因此要確認無法生效的機器上,IEESC是否有確定關閉,並且該機碼也確定被刪除;有些情況下,將該勾勾拿掉後,機碼仍沒有刪除成功,因此信任網站的設定仍沒有生效。   解決方法︰ 解決方式是要將IEESC關閉後,並且確認在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ IEHarden=1裏的機碼被刪除。 1. 下載http://www.microsoft.com/downloads/details.aspx?familyid=d41b036c-e2e1-4960-99bb-9757f7e9e31b&displaylang=en 2. 將裏面的 InetESC.adm copy至該機器。 3. 執行本機群組原則,匯入此adm 4. 點到電腦設定>系統管理範本>IE Components> Internet Explorer> IEESC,將游標定位在上面 5. 點選MMC的檢視>篩選,將裏面的選項都拿掉 6. 完成後您將可看到下列設定項目並且可以進一步設定。 7. 將以下的文字存成一個bat檔,讓登入Terminal Server的user派送自動去執行的話,確定IEESC殘留的機碼被刪除成功。…

0

如何在gpmc下使用WMI篩選器,讓群組原則套用至特定的作業系統?

以Windows 防火牆為例,在Windows XP 下有傳統的Windows 防火牆,而在Windows Vista及Windows 7下提供了更進階功能的Windows 防火牆。如果IT想要設定二條Policy,第一條policy是使用新的Windows Firewall policy,希望只套用在Windows Vista及Windows 7的作業系統,而另一條Policy設定傳統的Windows Firewall policy,只套用在Windows XP,可以參考以下的做法。 1.在DC 上,開啟GPMC,找到WMI篩選器。 2.右鍵點選「新增」,在名稱裏輸入您指定的名稱(例如Windows 7 /Vista),再點選「新增」。 3.在下方的查詢裏,請直接貼入Select * from Win32_OperatingSystem Where (Caption Like “%Microsoft Windows 7%”) OR (Caption Like “%Microsoft® Windows Vista%”) 文字 ,再按下「確定」,再到步驟2的圖中,按下「儲存」。 4.重覆步驟2和3,新增一條For Windows XP的規則,其內容為Select * from Win32_OperatingSystem Where (Caption Like “%Microsoft Windows XP%”) 5.在Group policy上,建立二條Policy,分別是針對舊的防火牆和新的防火牆做設定。假設這條Policy要套在Vista和Win7上,請在右下方的WMI篩選上以下拉選單選到剛剛步驟3產生的條件。同樣的,假設您的policy是要套在XP上,請選到for XP的條件。 如此,即使 OU下同時有不同版本的作業系統,即使這二條policy同時和此…

0

Windows 7 或是Windows 2008R2在加入網域之後,變成無法啟動

Windows 7或是Windows 2008R2在加入網域之後,可能會看到以下的錯誤訊息: Windows is not genuine Your computer might not be running a counterfeit copy of Windows. 0x80070005 當您嚐試使用slmgr命令來取得啟動資訊的時候,您可能會看到0x800A0046的錯誤訊息 發生這個問題的主要原因是由於GPO中, Plug and Play 服務上面並沒有設定好正確的權限 解決方案: 1.取消這個Policy的設定: 在DC上,開啟GPMC,並且找到要編輯的Policy,找到以下的Policy: [電腦設定]->[Windows 設定]->[安全性設定]->[系統服務]->[Plug and Play],點選[內容]後直接設定為[尚未設定] 2.如果您希望繼續保留這個原則的控制,請您在Policy中加入正確的權限:     請您新增 SERVICE 這個帳號,並且提供以下的權限: 查詢範本 查詢狀態 列舉依存 質詢 使用者定義控制 讀取權限 重新套用Policy之後即可解決問題。 關於服務啟動需要的權限設定,請參考以下網頁: Service Security and Access Rights http://msdn.microsoft.com/en-us/library/ms685981(VS.85).aspx

0

Cannot change Licensing Mode from Per Device to Per User

Problem ========= 無法修改Licensing Mode to Per User Cause ===== GPO Solution ======= After change the GPO setting, this issue was fixed. 設定終端機伺服器授權模式 To configure the Terminal Server Licensing mode Using Group Policies (best practice) 1. 開啟 [群組原則]。 2. 在 [電腦設定]、[系統管理範本]、[Windows 元件]、[終端機服務] 中,連按兩下 [終端機伺服器授權模式] 。 3. 按一下 [啟用]。 4. 按一下 [每個使用者] 或 [每一裝置],再按 [確定]。 每一裝置 CAL…

1