有没有办法通过 GPO 限制对 Hyper-V 管理员管理单元的访问?

有没有办法通过 GPO 限制对 Hyper-V 管理员管理单元的访问?

带有 Windows 10 Pro 客户端的 Windows Server 2012 R2 域。

我正在 GPO 中搜索

User Configuration -> Policies -> Administrative Templates -> Windows Components -> Microsoft Management Console -> Restricted/Permitted snap-ins

看起来是个完美的地方,但事实并非如此

我可以手动添加它吗?

答案1

您可以编辑管理模板文件"C:\Windows\PolicyDefinitions\MMCSnapins.admx",并查看启用该 GPO 部分中的任何设置后会发生什么变化。它会显示它正在使用管理单元的 ID 和值为Restrict_Run的值1

  1. 在 Google 中搜索“mmc snap-in 注册表位置”
  2. 打开 regedit 并转到 HKEY_LOCAL_MACHINE\Software\Microsoft\MMC\Snapins
  3. 安装 Hyper-V 管理工具并检查此位置中的新管理单元的 ID
  4. 如果已安装管理单元,只需浏览密钥并找到相关的管理单元及其 ID

现在您知道了管理单元的 ID,您需要在 GPO 中使用它。有几种方法可以做到这一点。

您可以编辑之前使用的管理模板文件("C:\Windows\PolicyDefinitions\MMCSnapins.admx")并使用 Hyper-V 管理单元的 ID 添加新的策略部分,或者,您可以使用 admx 文件来查看在更改组策略设置时注册表中修改了什么,并使用 GP 首选项部署正确的设置。

相反,我只是使用 gpedit.msc 更改了其中一个设置,"C:\Windows\System32\GroupPolicy\User\Registry.pol"在记事本中打开以查看它更改了什么,打开 regedit 并使用管理单元的 ID 和值添加了新的密钥。

测试是否有效后,您可以导出它并使用 GP 偏好设置进行部署。

SOFTWARE\Policies\Microsoft\MMC\FX:{922180d7-b74e-45f6-8c74-4b560cc100a5}
"Restrict_Run"=dword:00000001

相关内容