我想知道是否有一种方法可以在不使用 GUI 工具(GPMC 或 GPO 编辑器 MMC 管理单元)的情况下更改帐户的组策略设置。换句话说,我可以通过注册表更改或使用 PowerShell 之类的工具来更改这些设置吗?这个想法是自动执行此操作,以便它可以快速应用于多个服务器,而无需启动 GUI。
我感兴趣的关键值是:
- 本地登录
- 作为服务登录
AskOverflow.Dev
我想知道是否有一种方法可以在不使用 GUI 工具(GPMC 或 GPO 编辑器 MMC 管理单元)的情况下更改帐户的组策略设置。换句话说,我可以通过注册表更改或使用 PowerShell 之类的工具来更改这些设置吗?这个想法是自动执行此操作,以便它可以快速应用于多个服务器,而无需启动 GUI。
我感兴趣的关键值是:
SECEDIT 是您想要做的事情的朋友。查看该工具的帮助。基本上,您将要构建一个包含您要查找的设置的模板。然后,您将该模板应用于您希望更改这些设置的计算机。
打开一个空的 Microsoft 管理控制台。使用文件/添加/删除管理单元添加“安全模板”管理单元。
打开“Security Templates”节点和下面的下一个节点(通常是“C:\WINDOWS\security\templates”)。
右键单击“C:\WINDOWS\security\templates”节点并选择“新建模板”。命名新模板并根据需要设置描述。
展开新模板。根据需要设置各种设置。
您创建的安全策略默认存储在“C:\WINDOWS\security\templates”目录中,以您选择的任何名称和“.INF”扩展名命名。将此文件复制到要应用设置的计算机。
在要应用设置的机器上,从“.INF”安全模板文件所在的目录运行以下命令:
这会将安全模板应用到本地安全数据库。您可以通过检查本地安全策略来验证“之前和之后”。(确保在 INF 文件的应用程序之间关闭/重新打开本地安全策略管理工具,因为,AFAIK,这些工具不会动态刷新自身。)
您可以在此处找到组策略使用的所有注册表项的列表:
http://go.microsoft.com/fwlink/?LinkID=54020
请注意,某些 GPO 不使用注册表项。
此外,如果您有需要设置策略的服务器 - 为什么不使用 GPO?更易于管理 - 您可以更改策略并从一台具有一个 GUI 的计算机推送。
您可以尝试找出这些特定策略设置在注册表中的存储位置,然后使用 reg.exe 在脚本中对其进行操作。但请记住,组策略将在每次刷新时覆盖您的设置。
我不知道任何基于命令行的 GPO 编辑工具,如果这就是你的意思的话。