我正在尝试轻松地将 LogOff 脚本添加到组策略中,但很难找到有关通过脚本添加组策略的任何信息。
我已经有了要在注销时运行的脚本,我知道如何通过组策略运行脚本。我想知道组策略本身是否可以通过脚本进行管理。
我无权修改域或我的 OU 的组策略,但是,我可以将条目添加到本地计算机策略中。
我曾尝试隔离在添加组策略脚本时创建和更改的注册表项,但很快发现这太困难和复杂了。也许我理解错了比较,但似乎仅在一次组策略更改中就发生了很大变化。
所以我又回到了脚本。使用 VBScript 或 Batch,我可以使用脚本向本地计算机策略\用户配置\脚本\注销添加条目吗?
更新:如果这是唯一(或最佳)的方法,那么关于如何更好地隔离 GP 更改期间所做的注册表更改的任何提示都将不胜感激。
答案1
据我所知,没有 API 可以自动更改 Windows XP 上的本地组策略对象(在较新版本的 Windows 中称为“本地组策略”)。
我已经成功地在计算机之间手动复制 %SystemRoot%\System32\GroupPolicy 文件夹的内容。只要您没有特定于计算机的条目(引用计算机 SID),这应该是可能的。不过,微软不会以任何方式“支持”这一点,如果它坏了,您可以保留碎片。
以下是修改本地组策略的脚本示例您可能也想看看。它没有使用任何“受支持的”API——它只是在 GPT.INI 文件上敲打。这可能有效,但肯定也是“不受支持的”。
根据您对 @Zoredache 的评论,我认为您最好手动对几台计算机执行此操作,而不是尝试将其编写脚本应用于一堆计算机。如果负责域组策略的人员或部门必须撤消客户端计算机上的大量本地更改(撤消这些更改与一开始进行更改一样困难),您最终会让负责域组策略的人员或部门非常不高兴。
答案2
我就是您回答中提到的脚本的编写者,我只是想澄清一下,虽然有人说它不受支持,并且“只是敲击 GPT.INI 文件”,但它所做的正是手动更改所做的。您可以通过简单地手动进行更改并跟踪其所做的操作来证明这一点。脚本中还有很多我当时进行的研究的注释。
或者,看看部署新 Microsoft Security Compliance Manager v2 附带的“LocalGPO”命令行工具: http://blogs.technet.com/b/secguide/archive/2011/06/27/scm-v2-beta-new-baselines-available-to-download.aspx http://www.grouppolicy.biz/2011/03/introducing-microsoft-security-compliance-manager-v2/
希望有所帮助。
干杯,杰里米。