带有 Windows 10 Pro 客户端的 Windows Server 2012 R2 域。
我正在 GPO 中搜索
User Configuration -> Policies -> Administrative Templates -> Windows Components -> Microsoft Management Console -> Restricted/Permitted snap-ins
看起来是个完美的地方,但事实并非如此
我可以手动添加它吗?
答案1
您可以编辑管理模板文件"C:\Windows\PolicyDefinitions\MMCSnapins.admx",并查看启用该 GPO 部分中的任何设置后会发生什么变化。它会显示它正在使用管理单元的 ID 和值为Restrict_Run的值1。
- 在 Google 中搜索“mmc snap-in 注册表位置”
- 打开 regedit 并转到 HKEY_LOCAL_MACHINE\Software\Microsoft\MMC\Snapins
- 安装 Hyper-V 管理工具并检查此位置中的新管理单元的 ID
- 如果已安装管理单元,只需浏览密钥并找到相关的管理单元及其 ID
现在您知道了管理单元的 ID,您需要在 GPO 中使用它。有几种方法可以做到这一点。
您可以编辑之前使用的管理模板文件("C:\Windows\PolicyDefinitions\MMCSnapins.admx")并使用 Hyper-V 管理单元的 ID 添加新的策略部分,或者,您可以使用 admx 文件来查看在更改组策略设置时注册表中修改了什么,并使用 GP 首选项部署正确的设置。
相反,我只是使用 gpedit.msc 更改了其中一个设置,"C:\Windows\System32\GroupPolicy\User\Registry.pol"在记事本中打开以查看它更改了什么,打开 regedit 并使用管理单元的 ID 和值添加了新的密钥。
测试是否有效后,您可以导出它并使用 GP 偏好设置进行部署。
SOFTWARE\Policies\Microsoft\MMC\FX:{922180d7-b74e-45f6-8c74-4b560cc100a5}
"Restrict_Run"=dword:00000001