Мне нужно написать скрипт, который удалит всех пользователей под Local Computer Policy > Computer Configuration > Windows Settings > Security Settings > User Rights Assignment > Change the system time из локальной групповой политики (gpedit.msc) на всех компьютерах с Windows XP. Эти машины не входят в домен. У меня ДЕЙСТВИТЕЛЬНО есть способ распространять и запускать скрипт автоматически. Может ли кто-нибудь указать мне правильное направление для создания такого сценария?
Ну, не считая того, что администратор может просто поменять обратно ..;)
В secedit инструмент должен обеспечивать необходимую вам функциональность. Использовать /areas SECURITYPOLICY.
Поздний ответ, но может быть полезно. Вы также можете попробовать сделать это с помощью утилиты из Инструменты набора ресурсов Windows Server 2003 ntrights.exe.
Пример скрипта (протестирован на Windows XP Professional SP3):
@echo off
echo Start process %date% %time% >> %~dp0%~n0.log
cd /d "c:\work"
rem Revokes "Change system time" right from Administrators
ntrights.exe -r SeSystemtimePrivilege -u "Administrators" >> %~dp0%~n0.log
rem Revokes "Change system time" right from Power users
ntrights.exe -r SeSystemtimePrivilege -u "Power Users" >> %~dp0%~n0.log
rem Revokes "Change system time" right from user2
ntrights.exe -r SeSystemtimePrivilege -u "user2" >> %~dp0%~n0.log
rem Grant "Change system time" right to user1
ntrights.exe +r SeSystemtimePrivilege -u "user1" >> %~dp0%~n0.log
echo End process %date% %time% >> %~dp0%~n0.log
rem Reboot if you need
shutdown /r /t 10