更改帐户的组策略设置?

更改帐户的组策略设置?

我想知道是否有一种方法可以在不使用 GUI 工具(GPMC 或 GPO 编辑器 MMC 管理单元)的情况下更改帐户的组策略设置。换句话说,我可以通过注册表更改或使用 PowerShell 之类的工具来更改这些设置吗?我们的想法是将其自动化,以便可以快速将其应用于多个服务器,而无需启动 GUI。

我感兴趣的关键价值是:

  • 本地登录Logon local
  • 作为服务登录

答案1

SECEDIT 是帮助您完成任务的好帮手。请查看该工具的帮助。基本上,您需要构建一个包含所需设置的模板。然后,您将该模板应用到要更改这些设置的计算机上。

  • 打开一个空的 Microsoft 管理控制台。使用文件/添加/删除管理单元添加“安全模板”管理单元。

  • 打开“安全模板”节点和下面的下一个节点(通常为“C:\WINDOWS\security\templates”)。

  • 右键点击“C:\WINDOWS\security\templates”节点,选择“新建模板”。为新模板命名,并根据需要设置描述。

  • 展开新模板。根据需要设置各种设置。

您创建的安全策略默认存储在“C:\WINDOWS\security\templates”目录中,以您选择的名称命名,并带有“.INF”扩展名。将此文件复制到您想要应用设置的机器上。

在要应用设置的计算机上,从“.INF”安全模板文件所在的目录运行以下命令:

SECEDIT /configure /db secedit.sdb /cfg <path and filename of INF file>

这会将安全模板应用于本地安全数据库。您可以通过检查本地安全策略来验证“前后”情况。(请确保在 INF 文件的应用程序之间关闭/重新打开本地安全策略管理工具,因为据我所知,这些工具不会动态刷新。)

答案2

您可以在此处找到组策略使用的所有注册表项的列表:

http://go.microsoft.com/fwlink/?LinkID=54020

请注意,某些 GPO 不使用注册表项。

另外,如果您有需要设置策略的服务器 - 为什么不使用 GPO???更容易管理 - 您可以使用一个 GUI 从一台计算机更改策略和推送。

答案3

您可以尝试找出注册表中存储这些特定策略设置的位置,然后使用 reg.exe 在脚本中操作它们。但请记住,组策略将在每次刷新时覆盖您的设置。

如果您指的是这个的话,我不知道任何基于命令行的 GPO 编辑工具。

相关内容