Мне интересно, есть ли способ изменить параметры групповой политики для учетных записей без использования инструментов графического интерфейса (GPMC или оснастка MMC редактора GPO). Другими словами, могу ли я изменить эти настройки через изменение реестра или с помощью такого инструмента, как PowerShell? Идея состоит в том, чтобы автоматизировать это, чтобы его можно было быстро применить к ряду серверов без необходимости запускать графический интерфейс.
Ключевые ценности, которые меня интересуют:
SECEDIT - ваш друг в том, что вы пытаетесь сделать. Взгляните на справку по инструменту. По сути, вам нужно создать шаблон, содержащий нужные вам настройки. Затем вы примените этот шаблон к компьютерам, на которых вы хотите изменить эти настройки.
Откройте пустую консоль управления Microsoft. Добавьте оснастку «Шаблоны безопасности» с помощью оснастки File / Add / Remove.
Откройте узел «Шаблоны безопасности» и следующий ниже узел (обычно «C: \ WINDOWS \ security \ templates»).
Щелкните правой кнопкой мыши узел «C: \ WINDOWS \ security \ templates» и выберите «Новый шаблон». Назовите новый шаблон и задайте желаемое описание.
Разверните новый шаблон. Установите различные настройки по своему усмотрению.
Созданная вами политика безопасности по умолчанию хранится в каталоге «C: \ WINDOWS \ security \ templates» с любым выбранным вами именем и расширением «.INF». Скопируйте этот файл на машину, на которой вы хотите применить настройки.
На машине, на которой должны применяться настройки, выполните следующую команду из каталога, в котором находится ваш файл шаблона безопасности ".INF":
SECEDIT /configure /db secedit.sdb /cfg <path and filename of INF file>
Это применит шаблон безопасности к локальной базе данных безопасности. Вы можете проверить «до и после», изучив локальную политику безопасности. (Обязательно закройте / снова откройте инструмент управления локальной политикой безопасности между приложениями файла INF, потому что, AFAIK, эти инструменты не обновляются динамически.)
Вы можете найти список всех ключей реестра, используемых групповой политикой здесь:
http://go.microsoft.com/fwlink/?LinkID=54020
Имейте в виду, что некоторые объекты групповой политики не используют разделы реестра.
Кроме того, если у вас есть серверы, на которых нужно установить политики - почему бы не использовать GPO ??? Намного проще управлять - вы можете изменять политики и нажимать их с одного компьютера с помощью одного графического интерфейса.
Вы можете попытаться выяснить, где в реестре хранятся эти конкретные параметры политики, а затем управлять ими в сценарии с помощью reg.exe. Однако имейте в виду, что групповая политика будет переопределять ваши настройки при каждом обновлении.
Мне не известны какие-либо инструменты редактирования GPO на основе командной строки, если вы это имеете в виду.