Samba 域的乐趣...首先,在 Samba 4 推出之前,域组策略不能使用。
我们需要在 Samba 域中的大多数计算机上设置软件限制策略 (SRP),我非常希望能够自动执行此操作。(我们正在逐步放弃禁用 Windows 安装程序)。传统方法是使用本地组策略 (LGP) 设置 SRP计算机配置->Windows 设置->SRP 但这涉及访问每台机器,因为无法在 NTConfig.pol 中进行设置。
可以尝试直接在注册表中创建 SRP:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\262144\Paths\{30628f61-eb47-4d87-823b-6683a09eda87}]
"LastModified"=hex(b):40,a2,94,09,b5,5d,ca,01
"Description"=""
"SaferFlags"=dword:00000000
"ItemData"="C:\\location\\subfolder"
SaferFlags DWORD 似乎可以打开或关闭它,但尽管这似乎有效,但它不会更新本地组策略 - SRP 仍然显示为“未定义 SRP”。
LGP 将此设置存储在哪里 - 它是否在注册表中?更重要的是 - 是否有更巧妙的方法来设置 SRP?
答案1
本地组策略存储在注册表之外的 C:\Windows\System32\GroupPolicy 中,并在启动(对于计算机策略)或登录(对于用户策略)期间合并到注册表中。您需要将它们视为一个单独的实体,即使设置实际上并不存在,它们也必须存在才能生效。
当您在 gpedit.msc 中查看本地策略时,您查看的是 C:\Windows\System32\GroupPolicy 文件夹中的内容,而不是注册表中当前的内容。
一个建议是修改本地策略以在测试机器上试用,然后将相关文件放到其他机器上,但我还没有测试过,无法确认它是否有效。总的来说,我真诚地认为你最好咬紧牙关,把 Windows 域控制器放进去。使用当前的方法,你可能会节省许可费,但你只是在维护一个复杂(且可能很微妙)的设置上浪费了大量时间,而使用 Windows DC 可以完全绕过这个设置。不幸的是,我怀疑你浪费的时间成本将是仅仅实施 Windows DC 成本的数倍。