Как включить параметры групповой политики MSS Windows Server 2012

Официально нельзя. (На Server 2012 R2 на момент написания этой статьи.)

Неофициально? Может быть...

Параметры групповой политики «MSS» не включены и никогда не включались в стандартную, готовую установку Active Directory. Они были дополнением, разработанным консалтинговой группой на местах, и настройки были сочтены настолько полезными, что были включены в «Ускоритель решений», известный как Security Compliance Manager. (Ранее он был известен под разными названиями, такими как «Набор средств управления соответствием безопасности Windows 7».)

Проблема в том, что диспетчер соответствия требованиям безопасности поставляется с целым набором ненужного вам мусора, например экземпляра SQL Express. Мусор, который вы действительно не хотите устанавливать на контроллер домена. Вы хотите извлечь из него только тот фрагмент, который вам нужен, а именно пакет «LocalGPO.msi».

Следующая проблема заключается в том, что Security Compliance Manager никогда не обновлялся для 2012 R2. 2012 год, да. 2012 R2, нет.

При этом вы все еще можете заставить его работать на 2012 R2, но будьте осторожны - это может привести к тому, что ваш сервер окажется в неподдерживаемом состоянии.

Загрузите Установка Security Compliance Manager. Запустите его на своем сервере.

Запустите .exe, но не продолжайте установку. Программа установки выкачивает некоторые файлы во временный каталог на жестком диске, например C:\a1b2c3d4e5f6a0b1c2 или D:\a1b2c3d4e5f6a0b1c2. В этом каталоге вы найдете data.cab файл. Откройте этот файл и извлеките файл с именем GPOMSI и переименуйте этот файл в LocalGPO.msi. Теперь отмените установщик SCM, и он удалит временные файлы.

Установите LocalGPO.msi на свой сервер. Затем запустите новый ярлык «Командная строка LocalGPO», который вы найдете на начальном экране. Запустите его от имени администратора. Тип cscript LocalGPO.wsf /ConfigSCE.

Вы получите сообщение об ошибке, что вы не используете поддерживаемую операционную систему.

Откройте LocalGPO.wsf в блокноте и закомментируйте процедуру ChkOSVer в скрипте, чтобы он не проверял вашу версию. Теперь снова запустите указанную выше команду.

Я видел множество отчетов об этом, работая с другими людьми, но у меня это не сработало. У меня все еще возникает ошибка VBscript в строке 2245 сценария в операторе WriteLine. Я не стал заниматься более глубокой отладкой, смирившись с тем, что он просто не был обновлен для 2012 R2.

Изменить 4/11/2016: Версия, размещенная на этот блог Microsoft написанный Аароном Маргозисом, содержит ссылка для скачивания к версии MSS Extension, которая работает для меня с 2012 R2 без необходимости «взлома». Это ссылка на zip-файл. Внутри zip-файла вы увидите каталог с именем «Local_Script». Внутри этой папки вы найдете подпапку с именем «MSS_Extension». Просто перенесите этот каталог MSS_Extension на контроллер домена 2012 R2. Затем откройте командную строку и перейдите в этот каталог. Затем запустите:

Cscript LocalGPO.wsf /ConfigSCE

Настройки безопасности MSS можно восстановить с помощью Диспетчер соответствия требованиям безопасности Microsoft 3.
Фактически это будет установлено на Server 2012, но вам потребуются установленные библиотеки времени выполнения MS SQL Express и Visual C ++ 2010. Он также будет жаловаться на совместимость программ, и вам, возможно, придется повторно запустить процедуру установки во второй раз.

После установки вы найдете файл с именем LocalGPO.msi в C: \ Program Files (x86) \ Microsoft Security Compliance Manager \ LGPO (или где бы вы ни установили Менеджер по обеспечению безопасности к.

Запустите этот файл MSI на своем сервере. Это будет установлено в C: \ Program Files (x86) \ LocalGPO (или где бы вы ни выбрали его для установки).

Бег: cscript LocalGPO.wsf /? покажет вам различные варианты, доступные с этим скриптом, в частности, включая:

/ConfigSCE       : Configures Security Configuration Editor (SCE) to display MSS settings.  

Итак, запустите эту команду:

C:\Program Files (x86)\LocalGPO>cscript LocalGPO.wsf /configsce
Microsoft (R) Windows Script Host Version 5.8
Copyright (C) Microsoft Corporation. All rights reserved.

Modifying the Security Configuration Editor to the include MSS settings...

Updating the registry
89 subkeys found.
Subkeys deleted successfully
Subkeys added successfully
Registering SceCli.dll to complete SCE modification

The Security Configuration Editor is updated.

Security Configuration Editor has been modified successfully!


The Security Configuration Editor is updated.

И теперь, когда ты бежишь gpedit.msc на вашем компьютере Server 2012 вы должны снова обнаружить, что все настройки MSS доступны.

Чтобы сделать это со всеми машинами, просто возьмите LocalGPO.MSI файл и установите его на них, а затем запустите LocalGPO.wsf скрипт на каждом из них, чтобы настройки были видны.

Есть обновление, которое включает в себя политики 2012 R2, как показано на рисунке ниже:

Убедитесь, что у вас установлена ​​версия 4 SCM.

Все решения такие же, как у RyanRes, но:

Для работы с 2012R2 мы не должны комментировать процедуру ChkOSVer, а отредактировать ее:

найдите подпрограмму под названием «ChkOSVersion», прокрутите вниз, вы найдете кучу операторов if. Вы захотите, чтобы он выглядел следующим образом:

If(Left(strOpVer,3) = "6.3") and (strProductType <> "1") then
strOs = "WS12"
ElseIf(Left(strOpVer,3) = "6.2") and (strProductType <> "1") then
strOS = "WS12"
ElseIf(Left(strOpVer,3) = "6.2") and (strProductType = "1") then
strOS = "Win8"
ElseIf(Left(strOpVer,3) = "6.1") and (strProductType <> "1") then
strOS = "WS08R2"
ElseIf(Left(strOpVer,3) = "6.1") and (strProductType = "1") then
strOS = "Win7"
ElseIf(Left(strOpVer,3) = "6.0") and (strProductType <> "1") then
strOS = "WS08"
ElseIf(Left(strOpVer,3) = "6.0") and (strProductType = "1") then
strOS = "VISTA"
ElseIf(Left(strOpVer,3) = "5.2") and (strProductType <> "1") then
strOS = "WS03"
ElseIf(Left(strOpVer,3) = "5.2") and (strProductType = "1") then
strOS = "XP"
ElseIf(Left(strOpVer,3) = "5.1") and (strProductType = "1") then
strOS = "XP"

Else

strMessage = DisplayMessage(conLABEL_CODE002)
Call MsgBox(strMessage, vbOKOnly + vbCritical, strTitle)
Call CleanupandExit

End If

Обратите внимание на первое утверждение. Убедитесь, что вы сохраняете файл в кодировке UTF-8 и что он по-прежнему находится в той же папке, что и зависимости от других файлов.

Затем щелкните правой кнопкой мыши значок «Командная строка LocalGPO» и выберите «Запуск от имени администратора».

В командной строке введите «cscript LocalGPO.wsf / ConfigSCE» и нажмите ввод.

Вот и все. У нас есть настройки MSS GP в нашем GPMC

Что я обнаружил как для Win10, так и для Server2K12R2, так это то, что LocalGPO.WSF необходимо изменить, чтобы файл INF, который он открывает для обновления записей, открывался и сохранялся как Unicode в подпрограмме UpdateSCEwithMSSValues. Это, по крайней мере, делает сценарий счастливым, и файл INF действительно обновляется в Windows / Inf. Однако мне еще предстоит увидеть скрытые записи MSS при запуске GPEDIT.MSC в разделе «Компьютер» / «Параметры Windows» / «Параметры безопасности» / «Локальные политики» / «Параметры безопасности», как в Win7. Чтобы получить доступ к записям, вам необходимо скопировать шаблоны ADMX и ADML в Windows / PolicyDefinitions, записи MSS появятся в разделе Компьютерные / Административные шаблоны. Мои 0,02 доллара