Я пытаюсь упростить добавление сценария выхода из системы в групповую политику, и мне трудно найти какую-либо информацию о добавлении групповой политики с помощью сценария.
У меня уже есть сценарий, который я хочу запустить при выходе из системы, я знаю, как запускать сценарии через групповую политику. Я хочу знать, можно ли управлять самой групповой политикой с помощью сценария.
У меня нет доступа для изменения групповой политики для домена или даже для моего OU, однако я могу добавлять записи в политику локального компьютера.
Я пробовал изолировать записи реестра, созданные и измененные при добавлении сценария групповой политики, но быстро обнаружил, что это недопустимо по своей сложности и сложности. Возможно, я неправильно прочитал сравнение, но казалось, что всего за одно изменение групповой политики изменилось совсем немного.
Итак, я вернулся к написанию сценариев. Могу ли я добавить запись в политику локального компьютера \ User Configuration \ Scripts \ Logoff с помощью сценария, используя VBScript или Batch?
ОБНОВЛЕНИЕ: Любые советы о том, как лучше изолировать изменения реестра, сделанные во время изменения GP, будут оценены, если это единственный (или лучший) способ.
Я не знаю API для автоматического внесения изменений в локальный объект групповой политики в Windows XP (в новых версиях Windows он называется «Локальная групповая политика»).
Мне удалось вручную скопировать содержимое папки% SystemRoot% \ System32 \ GroupPolicy между машинами. Если у вас нет там записей, относящихся к машине (со ссылкой на SID машины), это должно быть возможно. Однако это никоим образом не будет «поддерживаться» Microsoft, и если он сломается, вы останетесь на своем месте.
Вот пример сценария, изменяющего локальную групповую политику что вы тоже можете захотеть посмотреть. Он не использует никаких «поддерживаемых» API - он просто работает с файлом GPT.INI. Это может работать, но определенно "не поддерживается".
Основываясь на вашем комментарии к @Zoredache, я думаю, вам лучше вручную сделать это на нескольких компьютерах, чем пытаться записать это на несколько компьютеров. Вы в конечном итоге сделаете человека или отдел, который занимается групповой политикой домена, очень недовольным, если ему придется отменить кучу локальных изменений на клиентских компьютерах (которые так же сложно отменить, как и сделать в первую очередь) .
Я тот человек, который написал сценарий, упомянутый в вашем ответе, и просто хотел уточнить, что, хотя было высказано предположение, что он не поддерживается и "просто ударил по файлу GPT.INI", он делает именно то, что делает ручное изменение. Вы можете доказать это, просто внося изменения вручную и отслеживая, что они делают. В сценарии также есть много примечаний к исследованиям, которые я проводил в то время.
В качестве альтернативы рассмотрите развертывание инструмента командной строки LocalGPO, который поставляется с новым Microsoft Security Compliance Manager v2: http://blogs.technet.com/b/secguide/archive/2011/06/27/scm-v2-beta-new-baselines-available-to-download.aspx http://www.grouppolicy.biz/2011/03/introduction-microsoft-security-compliance-manager-v2/
Надеюсь, это поможет.
Привет, Джереми.