如何从批处理文件编辑本地安全策略?

如何从批处理文件编辑本地安全策略?

我正在尝试编写一个批处理文件实用程序,除其他功能外,它还将用户添加到“拒绝本地登录”本地安全策略中。此批处理文件将在数百台独立计算机上使用(不在域中,甚至不在同一网络上)。

我认为以下其中一个是我的选择,但也许还有一个我还没有想到的选择。

  1. 类似的命令行实用程序net.exe可以修改本地安全策略。

  2. 执行相同操作的 VBScript 示例。

  3. 使用一些 WMI 或 Win32 调用来编写我自己的程序。如果没有必要,我宁愿不这样做。

答案1

您可以使用该ntrights实用程序来编辑帐户权限。

您想要编辑的用户权限“SeDenyInteractiveLogonRight”可能是作为计算机登录的一部分。

以下命令将拒绝 jscott 交互式登录:

ntrights -u jscott +r SeDenyInteractiveLogonRight

http://support.microsoft.com/kb/315276

http://ss64.com/nt/ntrights.html

答案2

你可以使用 GUI 导出模板

在参考电脑上进行所需的更改,

SECPOL.MSC > 操作 > 导出策略 > secpol.inf

然后使用

SECEDIT.exe /IMPORT 

用您喜欢的脚本语言(Batch、PS、VBScript)包装它

它将覆盖当前策略

唯一值得担心的是,覆盖当前政策是否存在问题

我从未使用安全策略做过这件事,但之前使用电源配置文件做过,而且该过程看起来几乎相同,类似于 NET.exe 命令。

答案3

我也找了好久,终于找到答案了!

检查当前状态:

auditpol /get /subcategory:"Process Creation"

下一行将进行更改。它将进程创建设置为已启用。

auditpol /set /subcategory:"Process Creation"

再次检查状态,您将看到变化。

或者,您可以更改所有“详细跟踪”策略,因为“流程创建”是“详细跟踪”的子类别。如下所示:

auditpol /set /category:"Detailed Tracking"

相关内容