Назад | Перейти на главную страницу

Изменить параметры групповой политики для учетных записей?

Мне интересно, есть ли способ изменить параметры групповой политики для учетных записей без использования инструментов графического интерфейса (GPMC или оснастка MMC редактора GPO). Другими словами, могу ли я изменить эти настройки через изменение реестра или с помощью такого инструмента, как PowerShell? Идея состоит в том, чтобы автоматизировать это, чтобы его можно было быстро применить к ряду серверов без необходимости запускать графический интерфейс.

Ключевые ценности, которые меня интересуют:

SECEDIT - ваш друг в том, что вы пытаетесь сделать. Взгляните на справку по инструменту. По сути, вам нужно создать шаблон, содержащий нужные вам настройки. Затем вы примените этот шаблон к компьютерам, на которых вы хотите изменить эти настройки.

  • Откройте пустую консоль управления Microsoft. Добавьте оснастку «Шаблоны безопасности» с помощью оснастки File / Add / Remove.

  • Откройте узел «Шаблоны безопасности» и следующий ниже узел (обычно «C: \ WINDOWS \ security \ templates»).

  • Щелкните правой кнопкой мыши узел «C: \ WINDOWS \ security \ templates» и выберите «Новый шаблон». Назовите новый шаблон и задайте желаемое описание.

  • Разверните новый шаблон. Установите различные настройки по своему усмотрению.

Созданная вами политика безопасности по умолчанию хранится в каталоге «C: \ WINDOWS \ security \ templates» с любым выбранным вами именем и расширением «.INF». Скопируйте этот файл на машину, на которой вы хотите применить настройки.

На машине, на которой должны применяться настройки, выполните следующую команду из каталога, в котором находится ваш файл шаблона безопасности ".INF":

SECEDIT /configure /db secedit.sdb /cfg <path and filename of INF file>

Это применит шаблон безопасности к локальной базе данных безопасности. Вы можете проверить «до и после», изучив локальную политику безопасности. (Обязательно закройте / снова откройте инструмент управления локальной политикой безопасности между приложениями файла INF, потому что, AFAIK, эти инструменты не обновляются динамически.)

Вы можете найти список всех ключей реестра, используемых групповой политикой здесь:

http://go.microsoft.com/fwlink/?LinkID=54020

Имейте в виду, что некоторые объекты групповой политики не используют разделы реестра.

Кроме того, если у вас есть серверы, на которых нужно установить политики - почему бы не использовать GPO ??? Намного проще управлять - вы можете изменять политики и нажимать их с одного компьютера с помощью одного графического интерфейса.

Вы можете попытаться выяснить, где в реестре хранятся эти конкретные параметры политики, а затем управлять ими в сценарии с помощью reg.exe. Однако имейте в виду, что групповая политика будет переопределять ваши настройки при каждом обновлении.

Мне не известны какие-либо инструменты редактирования GPO на основе командной строки, если вы это имеете в виду.