原來權限這樣設定

 有時, 公司為提供不同空間給員工儲存資料, 有鑑於伺服器儲存空間昂貴, 會選擇使用NAS來代替。但原來在權限設定上有些不同。 一不小心, 可能做成非預想的情況。 

以下是一個看似合理, 但原來不成的例子:

1) NAS加入DOMAIN後, 分享一個文件夾。

2) 在Windows Server中把文件夾選定那上用戶是唯讀, 那些是完全控制。

在此例子Windows Server中的權限設定看上去完全是正確。 但運作時發現, 完全控制用戶卻出現沒有權限。 

就這個問題, 困擾了三天, 最後發現問題出於NAS的設定中。

原來NAS是不容許直接交給Windows Server做設定, 也許Windows Server設定完全正確。 NAS背後也會把權限卡死了。

解決方法是必須在NAS中, 把相關的使用者都加上去及給予完全控制。 次後用Windows Server按自己的要求做設定, 才不會出現沒有權限的情況。

如何利用GPO移除登入時按CTRL-ALT-DEL (How to disable CTRL-ALT-DEL by GPO)

 已加入DOMAIN的電腦, 用戶要CTRL-ALT-DEL才可輸入登入資料是非常煩人的事, GPO是否可以把"CTRL-ALT-DEL"取消呢? 答案是可以的,如下:

1) 打開相關的GPO

2) 去【電腦設定】-->【原則】-->【Windows設定】-->【安全性設定】-->【本機原則】-->【安全性選項】中找【互動式登入:不要永按CTRL-ALT-DEL鍵]

3) 剔【定義這個原則設定】左方的方格

4) 選【已啟用】

5)按確定

當GPO更新後就可以囉~

Procedure

1) Open related GPO

2) Computer Configuration --> Policies --> Windows Settings -> Security Settings -> Local Policies -> Security Options , Click Interactive Logon: Do not require CTRL ALT DEL

3) Click Define

4) Enable

After Confirm, all client computer will be disabled.

App推介: 

Syu Beng WhatsApp Sticker

利用GPO推送安裝總是沒成功的成因

近日一直嘗試如何利用WINDOWS SERVER的GPO推送安裝軟件, 看過YOUTUBE, 看過書。跟隨步驟還是不成功…… 

到近日終成功了, 因此記下來, 希望能幫到其他人。

首先, 要實行GPO推送安裝, 所有電腦, SERVER, NAS必須已經在同一網域內。之後, 決定MSI放在那裡 (MSI文件也稱為Windows安裝程序包文件，這是用來分發Windows更新和第三方程序安裝的是為基於Windows的系統開發。), 例如今次, 本人是放NAS中一個叫SOFTWARE的文件。

1) 在NAS的ADMIN CONSOLE中FILE STATION中建一個文件夾。(這裡例子:SOFTWARE)

2) SOFTWARE文件夾加入網路群組中DOMAIN COMPUTERS及DOMAIN USERS的可讀取權限。

3) 下載軟件的MSI (這裡例子:7-zip), 並放於SOFTWARE文件夾中, 這樣, NAS這部份設定已完成。

4) 在SERVER打開AD使用者和電腦。

5) 建立一個組織單位。(這裡例子:ComputerRoom)

6) 把"COMPUTERS"文件夾內你想安裝軟件的電腦移到剛新建的組織單位"ComputerRoom"中 , 這樣, AD使用者和電腦這部份設定已完成。

7) 現在到GPO了, 打開群組原則管理, 在群組原則物件中建立新GPO, 並編揖。 (這裡例子:Install-Software - ComputerRoom)

8) 打開電腦設定 | 原則 | 軟體設定 , 鼠標對著"軟體安裝", 按右滑鼠鍵, 選"內容"

9) 在內容中, 預設封裝位置, 填上NAS中建立的文件夾, 這裡舉個例子"\\192.168.0.200\SOFTWARE", 其確定。

10) 鼠標對著"軟體安裝", 按右滑鼠鍵, 選"新增" | "封裝"

11) 選擇要安裝的MSI檔, 並按開啟。 如看不見或出現問題, 多是第9點的"預設封裝位置"出錯

12) 加入完成

13)  在右方再選擇你的軟件, 按右滑鼠鍵, 選"內容"

14) 在部署中, 鈎選"在部署這個封裝時略過語言設定及確定。

, 

15) 在左方選COMPUTERROOM, 按右滑鼠鍵並選"連結到現有的GPO, 並選所建立的GPO

16) 連結後設定便完成

留意 ! 什麼時候它才會安裝? 要用戶端電腦更新Group Policy後, 電腦重啟了, 它便會自動安裝。記得, 是重啟才會安裝啊。如果更新Group Policy後, 但不重啟, 是一直不會安裝的。

至於題目的答案, 多出於第2點權限未設定好。

更改SERVER NTP

當SERVER加入DOMAIN, SERVER上"日期和時間"中的"網際網路時間"就會強逼不能更改。若好像本人想用本地的NTP, 就必須在REGISTER中更改, 方法如下:
例如想連上香港天文台(stdtime.gov.hk)的NTP.
1) CMD中鍵入REGEDIT
2) 去HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
3) 在右方"NTPSERVER"中應見到"time.windows.com"
4) 把time.windows.com改成你要連上的NTP
5) time.windows.com旁的0xAA(16進位數), 可按下面的意思更改:
    • 0x01 SpecialInterval
    • 0x02 UseAsFallbackOnly
    • 0x04 SymmatricActive
    • 0x08 Client
6) 退出REGEDIT
7) 在CMD跑w32tm /config /update更新一下

有人可能問何解不用"time.windows.com", 其實發現"time.windows.com"同"stdtime.gov.hk"有時間差情況, 約20~30秒，正常用戶是沒有所謂, 但若對必要性的公司來說, 就重要及影響大了。

WSUSPOOL經常停止

如果WSUSPOOL經常停止, 可到IIS中的"應用程式集區"在WsusPool右MOUSE, 選"進階設定", 把"專用記憶體限制"改大或改成0 (自動調節)及"回定時間間隔(分鐘)"改少。

Windows 7 及 10的CMD更新指令

Windows 10 :

檢查更新:
UsoClient StartScan

下載更新:
UsoClient StartDownload

下載並進行更新:
UsoClient StartInstall

更新後自動重啟:
UsoClient RestartDevice

檢查, 下載及更新:
UsoClient ScanInstallWait

【如果上面未能成功, 建議改用POWERSHELL, 可看本分享文章】


Windows 7或之前版本 :

檢查更新:
wuauclt /detectnow

下載並進行更新:
wuauclt /updatenow

檢查, 下載及更新:
wuauclt /detectnow /updatenow


通用:

直入系統內容
sysdm.cpl

直入網路連線
ncpa.cpl

直入裝置管理員
devmgmt

直入排程
taskschd

直入電腦管理
compmgmt

直入認證管理員

rundll32.exe keymgr.dll, KRShowKeyMgr

control /name Microsoft.CredentialManager

事件檢視器

eventvwr

音樂混音程式

sndvol

啟動的位置

Shell:Startup

代號 :

%appdata%           C:\Users\用戶名\AppData\Roaming

%username%        用戶名

%userprofile%      C:\Users\用戶名\

%Path%                 Path內容

%SystemDrive%   Windows系統安裝在那個DRIVE

DNS的設定錯誤

在網上教學中, 經常看到DNS設定IPV4時, 要求在"慣用DNS伺服器"填寫本機IP, "其他DNS伺服器"填寫8.8.8.8(GOOGLE)。其實這是很大的錯誤, WINDOW SERVER也會有錯誤提醒。問題出於"其他DNS伺服器"不是給用戶填8.8.8.8, 而是當有備用伺服器時填上使用的。那麼, 8.8.8.8應填在哪裡? 答案是放"轉寄站"中, 如下圖: