Samba 域的乐趣... 首先,在 Samba 4 到来之前,不能使用域组策略。
我们需要在我们 Samba 域中的大多数计算机上设置软件限制策略 (SRP),我非常希望将其自动化。(我们不再只是禁用 Windows 安装程序)。传统的方法是使用本地组策略 (LGP)计算机配置->Windows 设置->SRP 设置 SRP ,但这涉及访问每台机器,因为它无法在 NTConfig.pol 中设置。
可以尝试直接在注册表中创建 SRP:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\262144\Paths\{30628f61-eb47-4d87-823b-6683a09eda87}]
"LastModified"=hex(b):40,a2,94,09,b5,5d,ca,01
"Description"=""
"SaferFlags"=dword:00000000
"ItemData"="C:\\location\\subfolder"
SaferFlags DWORD 似乎是打开或关闭它的原因,但尽管这似乎有效,但它不会更新本地组策略 - SRP 仍显示为“未定义 SRP”。
LGP 将此设置存储在哪里 - 甚至在注册表中,更重要的是 - 是否有更聪明的方法来设置 SRP?
本地组策略存储在注册表之外的 C:\Windows\System32\GroupPolicy 中,并在启动(用于计算机策略)或登录(用于用户策略)期间合并到注册表中。您需要将它们视为一个单独的实体,甚至不需要实际存在才能使设置生效。
当您查看 gpedit.msc 中的本地策略时,您正在查看的是 C:\Windows\System32\GroupPolicy 文件夹中的内容,而不是当前注册表中的内容。
一个建议是修改本地策略以在测试机器上品尝并将相关文件放到您的其他机器上,但我尚未对此进行测试并且无法确认它是否有效。总的来说,虽然我老实说我认为你最好还是硬着头皮把 Windows 域控制器放进去。你现在的方法可能会节省许可证费用,但你只是在维护一个复杂的(和潜在的微妙)设置,使用 Windows DC 将完全绕过。不幸的是,我怀疑您损失的时间成本将是仅实施 Windows DC 成本的数倍。