小编Mat*_*ert的帖子

我通过组策略应用了几个 Internet Explorer 设置。尤其是“站点到区域分配”设置中的一长串 URL。然而，即使分配到“可信区域”，一个 URL 似乎仍然属于“互联网区域”。

在早期版本的 Internet Explorer 中，可以通过状态栏轻松确定 URL 属于哪个区域。这如何通过 IE11 完成？我是否忽略了一些明显的东西？

当我在 Windows Server 2012 R2 Core 机器上通过远程桌面登录时，我可以通过运行 sconfig.cmd 来触发 Windows 更新。然而，当它在 PS 远程会话中被调用时会失败：

Enter-PSSession -ComputerName server2

这就是 sconfig 抱怨的。它基本上说它找不到特定的注册表值。一个有趣的事情是微软选择 VBScript 而不是 PowerShell 来编程这个 CLI 界面......

[server2]: PS C:\> sconfig

C:\>echo off
sconfig : FEHLER: Der angegebene Registrierungsschl?ssel bzw. Wert wurde nicht gefunden.
    + CategoryInfo          : NotSpecified: (FEHLER: Der ang...nicht gefunden.:String) [], RemoteException
    + FullyQualifiedErrorId : NativeCommandError

Microsoft (R) Windows Script Host, Version 5.8
Copyright (C) Microsoft Corporation. Alle Rechte vorbehalten.

System wird ?berpr?ft...

[...]

14) Server herunterfahren
15) Zur Befehlszeile …

我知道有GPO设置“计算机配置 => 管理。模板 => 系统 => 脚本 => 同步运行登录脚本”。但是，这可确保登录脚本在 Windows 资源管理器开始加载（启用时）之前运行。

我需要相反的东西。我想确保 explorer.exe 已成功加载并随后执行 PowerShell 登录脚本。这是由于我需要触发的应用程序的一些奇怪的依赖关系。

我尝试禁用根据描述应该允许同时运行文件资源管理器和脚本的设置。不幸的是，它没有（是的，我重新启动和 gpupdates ......）

所以我尝试在我的 PowerShell 登录脚本中添加一个名为 wait-for-explorer() 的函数。它会while循环休眠，直到 explorer.exe 运行。但是，这似乎不起作用。

解决这个问题的最好和最干净的方法是什么？是否有我忽略的 GPO 设置？

这是代码的样子：

Function Wait-For-Explorer
{   
    $process = 'explorer.exe'
    $waitTime = 1

    While ($owner.User -ne $env:USERNAME) 
    {   
        try 
        {     
            $owner = (Get-WmiObject -class win32_process | where { $_.ProcessName -eq $process }).GetOwner() | Select -Property User
        }
        catch
        {
            Write-Host "Zzzzz...."
            Start-Sleep -Seconds $waitTime
        }
    }

    Write-Host "Process ${process} is …

我在以下配置了几个高级审计策略设置：

Computer Configuration => Policies => Windows Settings => Security Settings => 
Advanced Audit policy Configuration => Audit Policies => ...

此外，以下设置设置为“已启用”：

Computer Configuration => Policies => Windows Settings => Security Settings =>
Local Policies => Security Options => Audit: Force audit policy subcategory settings
(Windows Vista or later) to override audit policy category settings.

但是，没有应用任何高级审核设置。跑步

auditpol /get /category:* 

显示所有设置为“无审计”的选项。此外，没有任何已弃用的审计策略集。

令我惊讶的是，gpresult和rsop.msc都没有显示“高级审计策略”类别。我在这里做错了什么？我的想法不多了。预先感谢您的意见！

[1. 附录]

1. 正在应用同一组策略对象中配置的其他设置。因此可以排除常见的陷阱。

2. 最初的 GPO 包含 MSS 设置

3. 创建一个新的、空的 GPO 并且只设置高级审计配置项，使它们出现在目标服务器上（用 auditpol 检查）。所以GPO本身一定有问题。

[2. 附录] …

为什么不Get-Computers -OperatingSystem "Windows VistaT Business"返回任何东西？它适用于所有其他操作系统类型。

Function Get-Computers
{
    Param($OperatingSystem)

    Get-AdComputer -Filter 'OperatingSystem -eq ${OperatingSystem}' -SearchBase "OU=Departement,DC=contoso,DC=com"
}

#Get-Computers -OperatingSystem "Windows Server 2012 R2 Standard"
#Get-Computers -OperatingSystem "Windows Server 2008 R2 Standard"
#Get-Computers -OperatingSystem "Windows 7 Professional"
Get-Computers -OperatingSystem "Windows VistaT Business"

我肯定有 Vista 客户端，要查找的字符串是Windows VistaT Business.

PS C:\> (get-adcomputer ClientA -Properties *).OperatingSystem
Windows 7 Professional
PS C:\> (get-adcomputer ClientB -Properties *).OperatingSystem
Windows VistaT Business

我们有几个 GPO，其中包含许多随时间累积的设置。我抽查了其中一些并偶然发现了仅适用于 Windows XP 的设置（我们专门运行 Vista 和 Win7 客户端）。由于 GPO 过载导致我们遇到严重的性能问题，因此我需要摆脱此设置。

如何过滤/显示 GPO 中仅适用于 Windows XP 的所有设置？

我知道 GPMC 过滤功能，但它不能满足我的要求。

背景：

目前，我们管理着大约 300 个站点，每个站点托管一台安装了 DNS 服务器角色的 2012 R2 机器。

所有站点本地客户端都指向其各自的站点本地 DNS 服务器。反过来，这些服务器被配置为指向 10 个 DC 中的 2 个（也是 2012 R2 机器）的转发器，这些 DC 托管在数据中心。我们只有一个域。

问题：

DNS 利用率在数据中心内的 DNS 服务器之间分布不均/负载均衡。

题：

如果我将每个站点本地 DNS 转发器配置为包含所有 DC 的 IP 地址（而不仅仅是其中两个），站点本地 DNS 转发器是否会平衡（以循环方式）对 DC 的查询？在这种情况下，您还能提供哪些其他建议来优化 DNS 查询/WAN 流量？我希望你能得到我的问题。

如何在组策略中定义内置管理员组？例如

Computer Configuration => Policies => Windows Settings => Security Options => Local Policies => User Rights Assignment => Adjust memory quotas for a process

我需要设置字符串“ BUILTIN\Administrators ”还是只设置“ Administrators ”？

“本地服务”和“网络服务”呢？

我需要设置“ NT AUTHORITY\LOCAL SERVICE ”还是只设置“ LOCAL SERVICE ”？

Microsoft 文档在这方面非常具有误导性和不完整。提前致谢！

我目前正在建立一个实验室以熟悉 Microsoft 的新“工作文件夹”功能。我正在寻找一种放弃文件夹重定向和脱机文件的方法。

到目前为止，我有一个 Windows 7 客户端连接到我的服务器同步共享（必须安装一个额外的包）。此工作文件夹显示在Desktop => User => Work Folders下、Documents 下等。到目前为止一切顺利。

现在我想知道如何将所有用户文件夹（文档、下载、收藏夹等）移动到这个工作文件夹。是否有任何最佳实践或现实生活经验？

我在这里有点困惑......有人可以对此有所了解吗？提前致谢

[附录]

在我的实验室环境中效果很好的是应用 GPO 将文档、下载、...重定向到 C:\Users\%username%\Work Folders\Documents。我什至得到了性能的提升，因为 IOPS 只发生在本地，而不必通过网络传输。

我认为在这种情况下没有办法绕过文件夹重定向。

我知道我可以通过使用以下脚本块来确保特定注册表值的存在：

    Registry ConfigureRegistry
    {
        Ensure    = 'Present'
        Key       = 'HKEY_LOCAL_MACHINE\SOFTWARE\SomeKey'
        ValueName = 'MachineType'
        ValueData = 'Hyper-V'
    }

但是如何删除注册表项SomeKey？如果我只将关键字更改Ensure = "Present"为Ensure = "Absent"它会留下密钥SomeKey......