我正在尝试编写一个批处理文件实用程序,除其他功能外,它还将用户添加到“拒绝本地登录”本地安全策略中。此批处理文件将在数百台独立计算机上使用(不在域中,甚至不在同一网络上)。
我认为以下其中一个是我的选择,但也许还有一个我还没有想到的选择。
类似的命令行实用程序
net.exe
可以修改本地安全策略。执行相同操作的 VBScript 示例。
使用一些 WMI 或 Win32 调用来编写我自己的程序。如果没有必要,我宁愿不这样做。
答案1
您可以使用该ntrights
实用程序来编辑帐户权限。
您想要编辑的用户权限“SeDenyInteractiveLogonRight”可能是作为计算机登录的一部分。
以下命令将拒绝 jscott 交互式登录:
ntrights -u jscott +r SeDenyInteractiveLogonRight
答案2
你可以使用 GUI 导出模板
在参考电脑上进行所需的更改,
SECPOL.MSC > 操作 > 导出策略 > secpol.inf
然后使用
SECEDIT.exe /IMPORT
用您喜欢的脚本语言(Batch、PS、VBScript)包装它
它将覆盖当前策略
唯一值得担心的是,覆盖当前政策是否存在问题
我从未使用安全策略做过这件事,但之前使用电源配置文件做过,而且该过程看起来几乎相同,类似于 NET.exe 命令。
答案3
我也找了好久,终于找到答案了!
检查当前状态:
auditpol /get /subcategory:"Process Creation"
下一行将进行更改。它将进程创建设置为已启用。
auditpol /set /subcategory:"Process Creation"
再次检查状态,您将看到变化。
或者,您可以更改所有“详细跟踪”策略,因为“流程创建”是“详细跟踪”的子类别。如下所示:
auditpol /set /category:"Detailed Tracking"