Showing posts with label GPO. Show all posts
Showing posts with label GPO. Show all posts

October 5, 2018

[Fixed] - One or more of the characters you typed in this field are invalid. Try typing different characters in GPO

How to solve " One or more of the characters you typed in this field are invalid. Try typing different characters. " error in Windows Server 2012 R2


Khi tạo GPO để tùy chỉnh ngày tháng theo mặc định của công ty hay dùng thì gặp lỗi bên dưới:

" One or more of the characters you typed in this field are invalid. Try typing different characters."



Lỗi này do chọn sai định dạng có sẵn của windows

Hướng giải quyết:

- viết hoa 2 chữ MM (ký tự tháng), trên mục short date sample xuất hiện thông tin năm/tháng/ngày là được


Done!

August 31, 2017

Disable/Block Skype file Transfer

Do you want to use Skype for your Business, but prevent any Data transfer through Skype?
It is possible.

Method 1:
first you should install the newest Version of Skype
Quit the application
Now press the Windows Key and R to open a RUN Windows
type in following command:  gpedit.msc /s  and press ENTER
Right Click Administrative Templates >> Add / Remove Templates >> Add >> Locate the .adm file and add it.
Now go to the Classic Administrative Templates >> Skype >> Phone >> Functionality
Double click Disable file transfer >> Select Enabled >> Apply >> OK.


Try to send a File and you will get a Message like you see here:


Method 2: 
Open Regedit
Migrate to following path :HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Phone
add a new DWORD value having the name DisableFileTransfer. Setting DisableFileTransfer to 1 will disable Skype file transfer.



Thanks for reading.


October 20, 2016

GPO - Enable the WMI entry in the firewall configuration using GPO



1. Edit the group policy object you wish to put these settings into. 
2. Expand the Computer Config > Policies > Windows Settings > Security Settings > Windows Firewall with Advanced Security > Windows Firewall with Advanced Security > Inbound Rules node. 
3. Right-click in the working area and choose New Rule..
4. Choose the Predefined option, and select Windows Management Instrumentation (WMI) from the drop-down list, Next. 
5. There are a number of options here, but I tend to just select one: the (WMI-In) option with the Domain profile value. If you aren't sure what you need, then just remember you can come back and add the others later. Next button. 
6. Allow the connection > Finish


#netsh advfirewall firewall set rule group="windows management instrumentation (WMI)" new enable=Yes

This works too. It enabled the entire group.

References on internet

September 28, 2016

GPO - How to Detect Who Unlocked a User Account in Active Directory

1. Run gpedit.msc → Create a new GPO → Edit it: Go to "Computer Configuration" → Policies → Windows Settings → Security Settings → Advanced Audit Policy Configuration → Audit Policies → Account Management:
  • Audit User Account Management → Define → Success and Failures.
2. Go to Event Log → Define:
  • Maximum security log size to 4gb
  • Retention method for security log to "Overwrite events as needed".
3. Link the new GPO: Go to "Group Policy Management" → Right-click domain or OU → Choose Link an Existing GPO → Choose the GPO that you created.
4. Force the group policy update: In "Group Policy Management" right click on the defined OU → Click "Group Policy Update".
5. Open Event Viewer → Search security log for event ID 4767 (A user account was unlocked).



Reference: http://social.technet.microsoft.com/wiki/contents/articles/32929.how-to-detect-who-unlocked-a-user-account-in-active-directory.aspx

September 27, 2016

GPO - Adding Local intranet, Trusted Sites to Internet Explorer Using Group Policy

Create a new Group Policy Object and browse to 
User Settings -> Polices -> Administrative Templates -> Windows Components -> Internet Explorer -> Internet Control Panel -> Security Page.




Double click on the Site to Zone Assignment List, select enable and choose show to configure the options.

Note the numbering of the Security Zones:
1 for Local Intranet, 
2 for Trusted Sites, 
3 for Internet Zone 
4 for Restricted Sites Zone.

In this example I have added http://****.us to the Local intranet (1) and http://****.com to the Trusted sites (2).


clicking OK

You can run gpupdate /force to update GPO

Test on client,



Enjoyed!




September 22, 2016

GPO - How To Configure Legal Notices On Domain Computers Using Group Policy

How To Configure Legal Notices On Domain Computers Using Group Policy – Few years ago when i was working on Windows Server 2008 R2, I was told by my manager to configure a logon banner. What came to my mind was to write a script for it and run the script at logon. There are 2 ways to configure legal notices on domain computers, you can configure it by writing a script and executing it at the logon or configuring legal notice using a group policy. I believe the second method is very easy. You can configure Windows Server to display a message to users when they log on. You can use the message display functionality to personalize the logon process, provide news or information, and for other similar purposes. The message appears after the user presses CTRL+ALT+DEL and disappears after the user clicks OK.
In this post we will see on how to configure legal notices on domain computers using group policy. We will create a group policy, modify the policy settings and link it to the domain. I am configuring this policy on a domain controller running Windows server 2008 R2 SP1 edition.
Login to the domain controller machine with the administrator account. Click on Start, Click on Administrative Tools, Click on Group Policy Management. Under Domains, right click your domain and click on Create a GPO in this domain, and link it here.

We will create a policy named Logon_Banner. Click on OK.

Right the policy Logon_Banner and click on Edit. On Group Policy Management Editor, click on Computer Configuration, expand Policies, expand Windows Setttings, expand Security Settings, expand Local Policies, click on Security Options.

On the right pane look for the policy Interactive Logon : Message text for users attempting to log on. This security setting specifies a text message that is displayed to users when they log on. You can paste the Logon text that is to be displayed to the users before they log in. Click on Apply and OK.

On the right pane look for the policy Interactive Logon : Message title for users attempting to log on. This security setting allows the title to appear in the title bar of the window that contains the Interactive logon.Type the title text and click on Apply and OK.

On the client computer open the command prompt and run the command gpupdate.

Log off from the client computer. Hold CTRL+ALT and press DEL. You must find the logon banner. Click on OK to login to the computer.

Reference: http://prajwaldesai.com/how-to-configure-legal-notices-on-domain-computers-using-group-policy/

August 5, 2016

GPO - How to use Group Policy to remove the Adobe Reader desktop shortcut


So below I go through how to use one of the new Group Policy Preferences options is called “Shortcuts” to remove the icon when ever it is re-instated (see below). While in this example I use (pick on) Adobe Reader it can also be used as a guide for removing any other shortcut that you so desire.
Step 1. Edit a GPO that targets the computers that you want to apply the home page setting.
Step 2. Navigate to User Configuration > Preferences > Control Panel Settings > Windows Settings
Step 3. Click on the “Action” menu and click on “New” and then click on “Shortcut”
Step 4. Change the Action to “Delete” then select “All Users Desktop” and then type “Adobe Reader 9” in the name field.
image
Now wait time you install an Adobe Reader update all you have to do is wait for the next group policy refresh and the shortcut will be gone… (Yes).
image

March 4, 2016

GPO - Turn off Office 2010 Protected View with Group Policy

Introduction

Had a fun time trying to work out how to disable Protected View with Group Policy. While it was staring me in the face and I was being a little silly there are lots of settings and a few ways of doing it.
This was worked for me and stopped all files being opened in protected view, this may not be right for your network if you have a strong security policy as any file downloaded from the internet would open without protected view.
This was needed for us with lots of files being uploaded and downloaded from out client sites we host.

Steps (6 total)

1

Open Group Policy Editing

And find the policy you want to edit, as a general rule don't edit the default policy. Create your own.
If you don't know much about group policy checkout other how to's and online bits about how to setup your own policy. It can break your whole network (yes thats from experience)
2

Download the ADM templates

http://shink.in/70dB4
Extract the files to somewhere safe that you can reference again later if needed.
3

Add the template into the group policy into user configuration

You can do this by:
User configuration
Right click Admin templates
Add/Remove template
Add
Point it at the templates you downloaded
Ok
Close
Ta-Da
4

Turn off protected view

Navigate into the new template will be called Microsoft Word 2010
Word Options
Security
Trust Center
Protected View
Disable - Open files on local intranet UNC in protected view
Enable - Do not open files in unsafe locations
Enable - Do not open files from internet zone
Enable - Turn off protected view for attachments opened from outlook
5

Do the same for excel and powerpoint

Its in the same place as above (well other than being called excel or powerpoint)
6

Run a GP update

and your done!

Conclusion

This is how i fixed the issue of protected view on my network it may not be the right way and it may not do what you want it to but works perfect for me and how my network needs it to :-)
Source: https://community.spiceworks.com/how_to/3687-turn-off-office-2010-protected-view-with-group-policy
Summary: 
The Protected View settings are specific to each application in Office (Word, Excel and Powerpoint only), and to each year (2010 and 2013 only).
Grab the ADMX templates, install them to the PolicyDefinitions folder for the domain, or add them individually to a GPO in Group Policy Management.
The settings are in: User Configuration, Policies, Administrative templates, Microsoft $PRODUCT $YEAR, $PRODUCT Options, Security, Trust Center, Protected View, "Do not open files in unsafe locations in Protected View", Enable.

September 8, 2015

Triển khai máy in thông qua Print Server Bằng GPO

PRINT SERVER ?

Cài đặt máy in là vấn đề muôn thuở mà anh em IT từ nhỏ đến lớn, từ lính lác đến các bác làm to đều làm qua. Về cơ bản thì cũng khá đơn giản và hầu hết ai cũng làm được: đó  là cài đặt driver cho máy in ở 1 máy làm máy chủ máy in sau đó share lên vào user network access đến và bấm vào Connect và install driver để dùng… nhìn chung thì chỉ vậy thôi.
Tuy nhiên bạn thử nhìn nhận vấn đề ở góc độ :
– Công ty bạn có 15 lầu, mỗi lầu có các loại máy in khác nhau. Bây giờ user luân chuyển công tác và  đưa ra yêu cầu, tôi lên lâu 2 thì sẽ load về cho tui máy in ở lầu 2, tui lên lầu 14 thì load cho tôi máy in lầu 14. Nếu như vậy chẳng lẽ mỗi lần họ đổi lầu công tác bạn lại chạy theo họ cài lại máy in bạn rủa => thiệt là phiền phức ông user đó quá đi.
– Hay đơn giản giờ công ty mua thêm máy in mới, phòng ban họ gắn thêm máy in và yêu cầu cài đặt cho họ sài, vậy là bạn vẫn phải tọc tạch xuống user connect vào rồi bấn install driver như cách truyền thống => hết sức mệt và phiền mỗi lần như vậy.
Bạn bắt tay lên đầu  tự hỏi ngược lại liệu về mặt IT có cách nào kết thúc chuyện nầy sớm được hay không. Xin thưa với bạn là điều đó nằm trong tầm tay của bạn nếu hệ thống của bạn vận hành trên  AD ( Active Directory).
Thông qua dịch vụ Print Server trên Windows Server 2008/2003 bạn có thể triển khai xuống cho từng user/ từng máy tính mà không cần đặt ass xuống dưới :) . Mọi thứ automatic trên Server, và mọi thay đổi trên server cũng apply xuống user hết. Bạn chỉ việc ngồi 1 chổ và làm vài click là xong.

Chuẩn bị  trước khi triển khai print server :

– Bạn có sẳn 1 máy Windows Server 2008 đã nâng cấp lên domain và tạo sẳn 1 OU và tạo user nằm trong OU đó
– 1 Máy trạm để test. Ở đây trong bài lab mình sử dụng Windows 7
– 1 Máy in. Ở trong bài lab nầy mình sử dụng máy in chạy qua port tcp.

Các bước triển khai Print Server :

1. Tạo Policy deploy trên AD
2. Cài đặt dịch vụ Print Server
3.Cài đặt port cho máy in + máy in
4. Triển khai máy in qua GPO ( Group Policy Oject )
5. Test tại đầu user

==================================
1. Tạo Policy deploy trên AD:
- Tại Active Directory
Bước 1:
- Bạn Mở Administrator Tool >  Group Policy Management
- Click chuột phải vào OU mình đã tạo trước, sau đó click chọn Create a GPO in this domain, and Link it here…
Cau-Hinh-Print-Server_Tao-GPO-1
Hình : Triển khai máy in qua print server
Bước 2:
- Hộp thoại New GPO xuất hiện bạn Đặt tên cho GPO rồi bấm OK
Cau-Hinh-Print-Server_Tao-GPO-2
Hình : Triển khai máy in qua print server
2. Cài đặt dịch vụ Print Server :
- Tại máy Windows Server đã Join domain bạn login vào user có quyền setup trên OU bạn tạo ra và add user đó thành local admin của máy để có quyền cài đặt dịch vụ.
- Bạn vào Administrator Tool > Server Manager
- Bạn click chuột trái vào Roles và click vào New Roles ở góc bên phải panel.
Cau-Hinh-Print-Server-1
Hình : Triển khai máy in qua print server
- Hộp thoại Add Roles Wizard xuất hiện bạn chọn Print and Document Services
- Và Chọn Next
Cau-Hinh-Print-Server-2
Hình : Triển khai máy in qua print server
- Hộp thoại Print and Document Service xuất hiện bạn chọn Next
Cau-Hinh-Print-Server-3
Hình : Triển khai máy in qua print server
- Hộp thoại Select Role Services xuất hiện bạn tick vào Print Server và click Next để tiếp tục.
Cau-Hinh-Print-Server-4
Hình : Triển khai máy in qua print server
- Hộp thoại Confirm Installation Selections xuất hiện bạn chọn Install để cài đặt
Cau-Hinh-Print-Server-5
Hình : Triển khai máy in qua print server
- Và bạn bấm Close để hoàn tất quá trình cài đặt.
Cau-Hinh-Print-Server-6
Hình : Triển khai máy in qua print server
3.Cài đặt port cho máy in + máy in :
Tại máy print server:
3.1 Cài port cho máy in :
Bước 1:
– Bạn vào Administrator Tool > Print Management
– Bạn chọn Print Servers > Click chọn Ports và click chuột phải Add Port .

Cau-Hinh-Print-Server-7
Hình : Triển khai máy in qua print server
- Hộp thoại Printer Ports xuất hiện bạn chọn loại port bạn cần add, ở đây mình sử dụng máy in sài port tcp nên mình chọn TCP/IP Port.
- Đối với trường hợp sử dụng các máy in sử dụng cắm trực tiếp qua cổng COM, USB thì bạn chọn local port và chọn tương ứng port đó. Với các loại máy in nầy lời khuyên tốt nhất cho bạn là bạn nên sẳn 1 cục print server ( giá thành khoảng 1 ~ 2 tr đổ lại, như ngược lại bạn tiết kiệm được 1 máy làm print server. Từ thiết bị print server bạn có thể gán máy in sử dụng cổng COM hay usb vào, rồi thông qua print server có thể add vào được.
- Sau đó click vào New Port …
Cau-Hinh-Print-Server-8
Hình : Triển khai máy in qua print server

Bước 2 add TCP port:
– Hộp thoại Add Stard TCP/IP Printer Port Wizard
– Bạn chọn Next để tiếp tục.
Cau-Hinh-Print-Server-9
Hình : Triển khai máy in qua print server
– Hộp thoại Add port xuất hiện: + Printer Name or IP Address: bạn gõ địa chỉ máy in + Port Name bạn đặt tên cho port.
– Và click vào Next để tiếp tục quá trình triển khai.
Cau-Hinh-Print-Server-10
Hình : Triển khai máy in qua print server
– Và bạn Chọn Finish để hoàn tất.
Cau-Hinh-Print-Server-11

Hình : Triển khai máy in qua print server
3.2. Cài đặt máy In:
- Tại print server > Print Management > Print Servers > click chuột phải Printers chọn Add Printer …
Cau-Hinh-Print-Server-12
Hình : Triển khai máy in qua print server
- Hộp thoại Printer Installation xuất hiện chọn Add a new printer using an existing port :
- Và xổ chọn port đã HP 3005 đã tạo trước đó
Cau-Hinh-Print-Server-13
Hình : Triển khai máy in qua print server
- Hộp thoại Printer Driver xuất hiện bạn chọn Install a new driver.
- Và click vào Next để tiếp tục quá trình cài đặt.
Cau-Hinh-Print-Server-14
Hình : Triển khai máy in qua print server
- Hộp thoại printer installation xuất hiện bạn chọn Driver tương ứng, hoặc nếu driver của bạn không có sẳn trong list driver của Microsoft thì bạn chọn Have Disk và browse đến thư mục cài đặt.
- Sau đó bạn click vào Next để tiếp tục quá trình cài đặt máy in.
Cau-Hinh-Print-Server-15
Hình : Triển khai máy in qua print server
- Hộp thoại Printer Name and Sharing Settings xuất hiện bạn đặt tên cho máy in và click Next để tiếp tục quá trình.
Cau-Hinh-Print-Server-16
Hình : Triển khai máy in qua print server
4. Triển khai máy in qua GPO ( Group Policy Oject ) :
Tại print server.
– Administrator Tool > Print Management > Printer > click chuột phải vào máy in vừa cài đặt chọn Deploy with Group Policy …
Cau-Hinh-Print-Server-17
Hình : Triển khai máy in qua print server
– GPO Name : bấm vào browse.. và click chọn Policy đã tạo trước ở OU MRTAI.
– Và click vào OK
Cau-Hinh-Print-Server-18

Hình : Triển khai máy in qua print server
– Sau khi chọn GPO name tick chọn The users that this GPO applies to ( per user ) 
– Và click vào Add và OK 3 lần để hoàn tất việc gán máy in vào GPO
Cau-Hinh-Print-Server-19
Hình : Triển khai máy in qua print server
5. Test tại đầu user :
Tại máy user sử dụng windows 7 đã Join domain bạn login bằng user đã tạo trong OU và bạn vào Devices and Printers 
Cau-Hinh-Print-Server-20

Hình : Triển khai máy in qua print server
Và thấy máy in đã được tự động cài đặt vào
NGUYỄN VĂN TÀI – ITDOCVN.COM

http://www.slideshare.net/laonap166/trin-khai-my-in-thng-qua-print-server-bng-gpo-it-documents-website