Alterar política de grupo usando o Windows CMD

Mark Russinovich tem um excelente artigo sobre como contornar as mudanças na Política de Grupo .

Group policy settings are an integral part of any Windows-based IT environment. If you’re a network administrator you use them to enforce corporate security and desktop management policy, and if you’re a user you’ve almost certainly been frustrated by the limitations imposed by those policies. Regardless of which you are, you should be aware that if the users in your network belong to the local administrator’s group they can get around policies any time they want.

There are two steps to circumventing a group policy setting: identifying the setting’s location and preventing the setting from being applied. There are many group policy references available, but since machine group policy settings store in the HKEY_LOCAL_MACHINE branch of the Registry and per-user group policy settings store in HKEY_CURRENT_USER, if you don’t know the location of the setting that’s preventing you from doing something you want you can use Regmon to find it.

The number of desktop lockdown settings available to group policy administrators is enormous. They can prevent you from doing anything from changing your desktop appearance and start menu to running certain applications. Two commonly applied settings include a pre-configured screen saver program so that users don’t waste resources on frivolous screen savers, and a screen saver timeout so that systems aren’t left indefinitely accessible when a user steps away. When these settings are in effect Windows omits the screen saver tab of display properties control panel applet or doesn’t let you modify the screen saver or its timeout. I’m going to show you how to use the power of being a local administrator and Regmon to track down these settings and override them on your own system.

Embora ele vá para o Monitor do Registro, o Monitor de processo também existe atualmente, o que combina várias ferramentas de monitoramento dentro de um. Ele permite que você encontre as chaves do registro que estão sendo modificadas. Basta pular para as chaves do registro relevantes e alterar suas permissões de modo que elas não possam mais ser atualizadas ...

Confira o que você pode fazer com o comando reg ; você pode verificar o acesso com accesschk .

A política de grupo para a máquina local é armazenada no registro.

A abordagem lame para modificá-lo, é através do prompt de comando usando o comando reg. Isso é menos do que prático, porque requer conhecimento absoluto de toda e qualquer configuração de registro de política local, e os erros aqui podem ser bastante desastrosos.

A ferramenta a ser usada é o PowerShell , o sucessor da Microsoft para o Prompt de Comando.

Alguns artigos que podem iniciar você no caminho para o uso de Os cmdlets do PowerShell para alterações de políticas locais são:

Use o Windows PowerShell para gerenciar a diretiva de grupo
Cmdlets do PowerShell do Windows para diretiva de grupo
Gerenciamento de diretiva de grupo para profissionais de TI
Diretiva de Grupo
Referência de configurações de política de grupo para Windows e Windows Server

A seguinte ferramenta, do Microsoft TechNet , permite o gerenciamento da Diretiva de Grupo por meio da linha de comando e, portanto, da criação de scripts:

Utilitário de objeto de política de grupo local, v1.0

Como alternativa, você pode executar gpedit.msc . Como em Iniciar - r gpedit.msc Digite .

Você pode escolher um WSUS alternativo para a instalação da atualização usando a opção / use_wsus da ferramenta de linha de comando WuInstall , que muda exatamente valores - no entanto, após a execução do WuInstall os valores são alterados de volta para o valor antigo