WINDOWS 组策略设置的问题

全部回复

• 

  

  0

  登录进行投票

  您好，
  
  请问您是指“组策略结果集”和“客户端组策略应用结果”不同吗？
  如果是，根据截图来看，“禁止外包单位账户登陆”和“计算机验证”中包含哪些设置？
  另外，请尝试在客户端上以管理员身份运行gpresult /r并将结果粘贴在回复中以便我们进行进一步的分析。
  
  如果需要进一步的帮助，请随时告诉我们。
  
  此致
  Albert

  ---

  Please remember to mark the replies as an answers if they help.
  If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

  2018年4月16日 6:28

  回复

  |

  引用
• 

  

  0

  登录进行投票

  您好，
  
  我想确认一下目前的情况，请问您试过之前所提供的方法吗？如果您需要进一步的帮助，请告诉我们。
  
  此致
  Albert
  

  ---

  Please remember to mark the replies as an answers if they help.
  If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

  2018年4月18日 3:07

  回复

  |

  引用
• 

  

  0

  登录进行投票

  结果如下，
  Microsoft (R) Windows (R) 操作系统组策略结果工具 v2.0
  版权所有 (C) Microsoft Corp。1981-2001
  
  创建于 2018/4/18，13:54:07
  
  
  
  CMICT\zhoutao 的 RSOP 数据，位于 DUDAOBAN 上: 登录模式
  -------------------------------------------------------
  
  OS 配置:         成员工作站
  OS 版本:         6.1.7601
  站点名称:        暂缺
  漫游配置文件:     暂缺
  本地配置文件:    C:\Users\zhoutao
  使用慢速链接?:   否
  
  
  用户设置
  ---------
      CN=zt,OU=操作部,OU=用户,OU=CMICT,DC=cmict,DC=com,DC=cn
      上一次应用组策略的时间: 于 2018/4/18，13:28:52
      应用的组策略来源于:     R0708.cmict.com.cn
      组策略慢速链接阈值:     500 kbps
      域名:                   CMICT
      域类型:                 Windows 2000
      
      已应用的组策略对象
      -------------------
          公共链接
          bginfo
          Default Domain Policy
          计算机验证
          禁止外包单位账户登录
  
      下列组策略对象被筛选排除，因此没有应用
      ---------------------------------------
          本地组策略
              正在筛选:  没有应用 (空)
  
      用户是下列安全组的一部分
      ------------------------
          Domain Users
          Everyone
          BUILTIN\Users
          NT AUTHORITY\INTERACTIVE
          控制台登录
          NT AUTHORITY\Authenticated Users
          This Organization
          LOCAL
          操作部
          宁波X有限公司
          Domain Apps
          Password Complexity
          Medium Mandatory Level
  

  • 已编辑 cfs0 2018年4月18日 6:00

  2018年4月18日 5:55

  回复

  |

  引用
• 

  

  0

  登录进行投票

  

  计算机验证
  数据收集时间: 2018/4/18 15:46:55

  常规

  详细信息

  域	cmict.com.cn
  所有者	CMICT\Domain Admins
  创建时间	2010/11/26 15:51:58
  修改时间	2012/11/11 21:27:58
  用户修订	0 (AD)，0 (sysvol)
  计算机修订	5 (AD)，5 (sysvol)
  唯一的 ID	{DEDC5FBC-6951-447A-8400-7EB6D17EE9FB}
  GPO 状态	已启用

  链接

  位置	强制	链接状态	路径
  cmict	否	已启用	cmict.com.cn

  
  此列表只包括 GPO 的域中的链接。

  安全筛选

  此 GPO 内的设置只应用于下列组、用户和计算机:

  名称
  NT AUTHORITY\Authenticated Users

  委派

  这些组和用户拥有此 GPO 的指定权限

  名称	允许的权限	继承
  CMICT\Domain Admins	编辑设置，删除、修改安全性	否
  CMICT\Enterprise Admins	编辑设置，删除、修改安全性	否
  NT AUTHORITY\Authenticated Users	读取(从安全筛选)	否
  NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS	读取	否
  NT AUTHORITY\SYSTEM	编辑设置，删除、修改安全性	否

  计算机配置(已启用)

  策略

  Windows 设置

  安全设置

  有线网络(802.3)策略

  有线网络策略

  名称	有线网络策略
  描述	示例描述

  全局设置

  设置	值
  客户端使用 Windows 有线局域网网络服务	已启用
  适用于网络身份验证的共享用户凭据	已启用

  网络配置文件

  安全设置

  对网络访问启用 IEEE 802.1X 身份验证	已启用
  强制使用 IEEE 802.1X 身份验证进行网络访问	已禁用

  IEEE 802.1X 设置

  计算机身份验证	仅计算机
  身份验证失败的最多次数	2
  已发送的最大 EAPOL-Start 消息数
  保持时间(秒)
  启动时间(秒)
  身份验证时间(秒)

  用户配置(已启用)

  未定义设置。

  禁止外包单位账户登录
  数据收集时间: 2018/4/18 15:47:22

  常规

  详细信息

  域	cmict.com.cn
  所有者	CMICT\Domain Admins
  创建时间	2014/4/18 9:12:54
  修改时间	2016/1/5 13:26:30
  用户修订	0 (AD)，0 (sysvol)
  计算机修订	4 (AD)，4 (sysvol)
  唯一的 ID	{6F1D09D6-784D-454A-B23E-F03444E0682F}
  GPO 状态	已启用

  链接

  位置	强制	链接状态	路径
  cmict	否	已启用	cmict.com.cn

  
  此列表只包括 GPO 的域中的链接。

  安全筛选

  此 GPO 内的设置只应用于下列组、用户和计算机:

  名称
  NT AUTHORITY\Authenticated Users

  委派

  这些组和用户拥有此 GPO 的指定权限

  名称	允许的权限	继承
  CMICT\Domain Admins	编辑设置，删除、修改安全性	否
  CMICT\Enterprise Admins	编辑设置，删除、修改安全性	否
  NT AUTHORITY\Authenticated Users	读取(从安全筛选)	否
  NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS	读取	否
  NT AUTHORITY\SYSTEM	编辑设置，删除、修改安全性	否

  计算机配置(已启用)

  策略

  Windows 设置

  安全设置

  本地策略/用户权限分配

  策略	设置
  拒绝本地登录	kfpt,CMICT\xyhujundao,CMICT\waili,CMICT\nbjiyun,CMICT\kfpt,CMICT\anxin,CMICT\anhang

  用户配置(已启用)

  未定义设置。

  2018年4月18日 7:55

  回复

  |

  引用
• 

  

  0

  登录进行投票

  您好，
  
  
  通过gpresult的执行结果来看，该用户已经应用了这五个组策略，请问是哪个组策略设置有问题？
  
  
  期待您的反馈。
  
  
  此致
  Albert

  ---

  Please remember to mark the replies as an answers if they help.
  If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

  2018年4月23日 6:19

  回复

  |

  引用
• 

  

  0

  登录进行投票

  是公共链接这个策略没有生效，在计算机IE的安全站点中没有看到对应的内容。是否可以看到具体的原因？

  公共链接
  数据收集时间: 2018/4/20 8:37:08

  常规

  详细信息

  域	cmict.com.cn
  所有者	CMICT\Domain Admins
  创建时间	2010/11/26 20:04:26
  修改时间	2018/4/4 9:26:40
  用户修订	34 (AD)，34 (sysvol)
  计算机修订	0 (AD)，0 (sysvol)
  唯一的 ID	{B337971E-DB65-4521-8A54-67E359B7FD38}
  GPO 状态	已启用

  链接

  位置	强制	链接状态	路径
  用户	否	已启用	cmict.com.cn/CMICT/用户

  
  此列表只包括 GPO 的域中的链接。

  安全筛选

  此 GPO 内的设置只应用于下列组、用户和计算机:

  名称
  NT AUTHORITY\Authenticated Users

  委派

  这些组和用户拥有此 GPO 的指定权限

  名称	允许的权限	继承
  CMICT\Domain Admins	编辑设置，删除、修改安全性	否
  CMICT\Enterprise Admins	编辑设置，删除、修改安全性	否
  NT AUTHORITY\Authenticated Users	读取(从安全筛选)	否
  NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS	读取	否
  NT AUTHORITY\SYSTEM	编辑设置，删除、修改安全性	否

  计算机配置(已启用)

  未定义设置。

  用户配置(已启用)

  策略

  Windows 设置

  Internet Explorer 维护

  连接/自动浏览器配置

  策略	设置
  自动检测配置	已禁用
  自动浏览器配置	未配置

  URL/收藏夹和链接

  策略	设置
  按下面指定的顺序将收藏夹和链接放置位于列表顶部	已启用
  删除现有的收藏夹和链接(如果有)	未配置
  删除现有频道(如果有)	未配置

  收藏夹

  名称 URL moss正式版本 http://oa.cmict.net 公司电子邮箱(新) https://email.cmict.com.cn/owa 公司EAM系统 http://eam.cmict.com.cn 公司数据仓库 http://dw.cmict.com.cn/dw 公司通讯录 http://oa.cmict.net/Lists/List7/view.aspx 考勤管理系统 http://kq.cmict.net/ 上网认证系统 http://10.2.253.11

  安全/安全区域和内容分级

  安全区域和隐私

  这些设置不会应用于用户登录到已启用 Internet Explorer 增强的安全配置的计算机。要为在已启用 ECS 的计算机上的用户创建设置，请创建新 GPO 并在已启用 ECS 的计算机上编辑。

  Internet (安全级别: 中-高)

  .NET Framework 相关组件

  运行未用验证码签名的组件	启用
  运行用验证码签名的组件	启用

  ActiveX 控件和插件

  对标记为可安全执行脚本的 ActiveX 控件执行脚本	启用
  对没有标记为安全的 ActiveX 控件进行初始化和脚本运行	禁用
  下载未签名的 ActiveX 控件	禁用
  下载已签名的 ActiveX 控件	提示
  运行 ActiveX 控件和插件	启用

  Microsoft VM

  Java 权限

  安全级 - 高

  脚本

  Java 小程序脚本	启用
  活动脚本	启用
  允许通过脚本进行粘贴操作	提示

  其他

  持续使用用户数据	启用
  跨域访问数据源	禁用
  跨域浏览子框架	禁用
  没有证书或只有一个证书时不提示进行客户端证书选择	禁用
  启动应用程序和不安全文件	提示
  提交非加密表单数据	启用
  拖放或复制并粘贴文件	启用
  显示混合内容	提示
  允许 META REFRESH	启用
  在 IFRAME 中启动程序和文件	提示
  桌面项目的安装	提示

  下载

  文件下载	启用
  字体下载	启用

  用户身份验证

  登录	只在 Intranet 区域中自动登录

  本地 Intranet (安全级别: 自定义)

  .NET Framework 相关组件

  运行未用验证码签名的组件	启用
  运行用验证码签名的组件	启用

  ActiveX 控件和插件

  对标记为可安全执行脚本的 ActiveX 控件执行脚本	启用
  对没有标记为安全的 ActiveX 控件进行初始化和脚本运行	禁用
  下载未签名的 ActiveX 控件	禁用
  下载已签名的 ActiveX 控件	提示
  运行 ActiveX 控件和插件	启用

  Microsoft VM

  Java 权限

  安全级 - 中

  脚本

  Java 小程序脚本	启用
  活动脚本	启用
  允许通过脚本进行粘贴操作	启用

  其他

  持续使用用户数据	启用
  跨域访问数据源	提示
  跨域浏览子框架	启用
  没有证书或只有一个证书时不提示进行客户端证书选择	启用
  启动应用程序和不安全文件	启用
  提交非加密表单数据	启用
  拖放或复制并粘贴文件	启用
  显示混合内容	提示
  允许 META REFRESH	启用
  在 IFRAME 中启动程序和文件	提示
  桌面项目的安装	提示

  下载

  文件下载	启用
  字体下载	启用

  用户身份验证

  登录	自动使用当前用户名和密码登录

  站点

  对该区域中的所有站点要求服务器验证(https:)	已禁用
  包括没有列在其它区域的所有本地(Intranet)站点	已禁用
  包括所有不使用代理服务器的站点	已禁用
  包含所有网络路径(UNC)	已禁用

  此区域内的站点
  http://10.1.15.9/
  http://10.2.2.202/
  http://eam.cmict.com.cn/
  http://email.cmict.com.cn/
  http://my.cmict.net/
  http://skoa.cmhi.cmhk.com/
  http://system.cmict.net/

  可信站点 (安全级别: 自定义)

  .NET Framework 相关组件

  运行未用验证码签名的组件	启用
  运行用验证码签名的组件	启用

  ActiveX 控件和插件

  对标记为可安全执行脚本的 ActiveX 控件执行脚本	启用
  对没有标记为安全的 ActiveX 控件进行初始化和脚本运行	禁用
  下载未签名的 ActiveX 控件	禁用
  下载已签名的 ActiveX 控件	提示
  运行 ActiveX 控件和插件	启用

  Microsoft VM

  Java 权限

  安全级 - 中

  脚本

  Java 小程序脚本	启用
  活动脚本	启用
  允许通过脚本进行粘贴操作	启用

  其他

  持续使用用户数据	启用
  跨域访问数据源	提示
  跨域浏览子框架	启用
  没有证书或只有一个证书时不提示进行客户端证书选择	启用
  启动应用程序和不安全文件	提示
  提交非加密表单数据	启用
  拖放或复制并粘贴文件	启用
  显示混合内容	提示
  允许 META REFRESH	启用
  在 IFRAME 中启动程序和文件	提示
  桌面项目的安装	提示

  下载

  文件下载	启用
  字体下载	启用

  用户身份验证

  登录	自动使用当前用户名和密码登录

  站点

  对该区域中的所有站点要求服务器验证(https:)

  已禁用

  此区域内的站点
  http://10.2.253.10/
  http://10.2.4.55/
  http://116.228.152.74/
  http://58.246.192.105/
  http://dw.cmict.com.cn/
  http://eir.easipass.com/
  http://k.cmict.net/
  http://kq.cmict.net/
  http://oa.cmict.net/
  http://www.cn.yangming.com/
  http://www.kline.com.cn/

  受限站点 (安全级别: 高)

  .NET Framework 相关组件

  运行未用验证码签名的组件	禁用
  运行用验证码签名的组件	禁用

  ActiveX 控件和插件

  对标记为可安全执行脚本的 ActiveX 控件执行脚本	禁用
  对没有标记为安全的 ActiveX 控件进行初始化和脚本运行	禁用
  下载未签名的 ActiveX 控件	禁用
  下载已签名的 ActiveX 控件	禁用
  运行 ActiveX 控件和插件	禁用

  Microsoft VM

  Java 权限

  禁用 Java

  脚本

  Java 小程序脚本	禁用
  活动脚本	禁用
  允许通过脚本进行粘贴操作	禁用

  其他

  持续使用用户数据	禁用
  跨域访问数据源	禁用
  跨域浏览子框架	禁用
  没有证书或只有一个证书时不提示进行客户端证书选择	禁用
  提交非加密表单数据	提示
  拖放或复制并粘贴文件	提示
  显示混合内容	提示
  允许 META REFRESH	禁用
  在 IFRAME 中启动程序和文件	禁用
  桌面项目的安装	禁用

  下载

  文件下载	禁用
  字体下载	禁用

  用户身份验证

  登录	提示输入用户名和密码

  站点

  此区域内的站点
  无

  隐私

  隐私级别	中
  网站
  始终允许 无 始终阻止 无

  2018年4月25日 0:46

  回复

  |

  引用
• 

  

  0

  登录进行投票

  您好，
  
  请问是如下图的IE信任站点吗？
  
  
  如果是，建议通过如下组策略进行配置（其中2代表信任站点）：
  User Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page\Site to Zone Assignment List
  
  
  如果您需要进一步的帮助，请告诉我们。
  
  此致
  Albert

  ---

  Please remember to mark the replies as an answers if they help.
  If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

  2018年4月25日 9:24

  回复

  |

  引用
• 

  

  0

  登录进行投票

  您好，
  
  我想确认一下目前的情况，请问您试过之前所提供的方法吗？
  
  如果您已经尝试过，或者在试过之后仍然有问题，请告诉我们，我会做更多研究，并尽我所能给出有帮助的答复。
  
  如果您需要进一步的帮助，请告诉我们。
  
  此致
  Albert
  

  ---

  Please remember to mark the replies as an answers if they help.
  If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

  2018年4月27日 2:21

  回复

  |

  引用
• 

  

  0

  登录进行投票

  你好，使用了Site to Zone Assignment List后，可以生效，但是客户端电脑上无法添加、删除信任站点，是否有解决的办法？

  

  2018年5月2日 1:25

  回复

  |

  引用