iT邦幫忙

0

GPO改時間、禁止USB、派送 ??

請問各位大大有關於GPO問題如下,懇請各位大大指教
1.GPO哪裡有設定可讓用戶端自行更改時間呢 ??

2.有GPO能禁止用戶端使用USB嗎?

3.GPO除了可以派送MSI檔案之外,還可以派送哪些東西呢 (bat、reg??)

2 個回答

28
rickhsu
iT邦高手 6 級 ‧ 2010-07-06 10:33:10
最佳解答

1.GPO哪裡有設定可讓用戶端自行更改時間呢 ??
原則上,加入AD網域的用戶端PC或SERVER,會自動跟PDC Emulator同步時間,
這不僅僅只是同步時間而已,這還很重要...
因為AD網域間的機器時間差若超過5分鐘(我記得的應該是5分.實際上是多久我也忘了)
會有不可預期的情況發生!

2.有GPO能禁止用戶端使用USB嗎?
可以,有KB可參考~ http://support.microsoft.com/kb/555324/en-us
如果看不懂的話,建議可GOOGLE一下,會有實例~

3.GPO除了可以派送MSI檔案之外,還可以派送哪些東西呢 (bat、reg??)
AD Domain GPO軟體派送~只接受 MSI 封裝程式.
如果要使用靜態安裝.exe程式~可以採用 Batch file 來部署安裝~或是透過SMS 軟體派送來達成!!

6
tsaoshunyu
iT邦新手 4 級 ‧ 2010-07-06 16:13:43

樓上rickhsu大回答的很好~
小弟我針對第二點補充一下,我之前也是看microsoft網站的設定方式,若依Microsoft建議User本機只能有Power User權限,不然仍會被使用者輕易的破解.
如果使用者本機有administrators群組,要完全禁止必須同時設定禁止新增移除硬體.

我要發表回答

立即登入回答