Use o script para editar a diretiva de grupo local do Windows Server 2012

4

Estou fortalecendo uma máquina Windows Server 2012 R2 para oferecer páginas da Web seguras e seguindo um guia que define várias configurações de diretiva de grupo local e configurações de registro.

Ao pesquisar como automatizar esse processo, só encontro maneiras de exportar e importar a Diretiva de Grupo usando o Powershell da seguinte maneira: link

Esta máquina do servidor não faz parte de um domínio e não possui o Console de Gerenciamento de Diretiva de Grupo instalado. Infelizmente, não encontrei um recurso para usar um método automático (script, código) para alterar as configurações da Diretiva de Grupo Local, como:

Local Group Policy Editor -> Computer Configuration -> Windows Settings -> Security Settings -> Advanced Audit Policy Configuration -> System Audit Policies -> Global Object Access Auditing -> Defined this Policy -> Configure

Local Group Policy Editor -> Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Network access: Do not allow anonymous enumeration of SAM accounts and shares

Meu objetivo final é criar um processo ou script que possa definir cerca de 100 configurações de registro e configurações de diretiva de grupo diferentes em uma máquina de servidor para bloqueá-lo. Evitando configurar manualmente cada um deles.

    
por ibsk8in31 25.03.2015 / 13:59

5 respostas

2

Eu pude pesquisar e encontrar o que preciso para esse objetivo! O recurso do qual encontrei a melhor direção foi o seguinte:

link

As configurações da política do grupo local e as configurações de segurança podem ser transferidas em algumas etapas:

1. Configurações de segurança:

Clique com o botão direito do mouse em Configurações de segurança no Editor de diretiva de grupo local (Editar diretiva de grupo) e selecione Exportar diretiva ... Salve o arquivo .inf e transfira para a máquina que você deseja usar as mesmas configurações. Na nova máquina, abra um prompt de comando e use o comando secedit

secedit /configure /db c:\windows\security\local.sdb /cfg {.\path\to.inf}

Revise os erros que voltaram, eu estava lidando com contas de usuários que tentavam ser configuradas para permissões que não existiam na nova máquina.

2. O restante da Política de Grupo Local

Localize a pasta% systemroot% \ system32 \ grouppolicy \ hidden e copie as subpastas para a máquina de destino no mesmo local.

Abra um prompt de comando e use

gpupdate /force

3. Os restos

Para os miscelâneos, pude usar comandos do powershell para adicionar ou editar chaves de registro:

Adicionar:

New-Item -Path HKCU:\Software -Name hsg –Force

Editar:

PS C:> Push-Location

PS C:> Set-Location HKCU:\Software\hsg

PS HKCU:\Software\hsg> Set-ItemProperty . newproperty "mynewvalue"

    
por 25.03.2015 / 22:26
1

Para computadores que não são de domínio, você define essas configurações por meio da Política de segurança local, não da Diretiva de grupo. E esses, você pode importar e exportar usando o MMC adequado ( secpol.msc )

    
por 25.03.2015 / 15:01
0

use a ferramenta GPOpack do SCM para implantar configurações em máquinas não associadas ao domínio. Se você tiver edições diretas do registro que não estejam na política de grupo, você terá que adicionar os comandos reg.exe

    
por 25.03.2015 / 17:55
0

Use a nova ferramenta LGPO.EXE. Está documentado e pode ser baixado daqui: link

Indo por alguns dos comentários no link, ele não é abrangente e atendeu completamente às minhas necessidades.

Ele também funciona no Windows Server 2016, o que LocalGPO.Exe na ferramenta SCM 3.0, supostamente não. E, de fato, o LocalGPO.EXE não é mais fornecido no SCM 4.0, embora ainda haja um link para o texto de ajuda para ele no SCM!

    
por 13.04.2017 / 01:05
0

Adição tardia: considere o uso de auditpol.exe para criação de scripts. Alguém escreveu um exemplo de powershell usando o auditpol que verifica a configuração em relação aos valores esperados.

Configuração :

auditpol /set /category:Logon/Logoff /subcategory:"Account Lockout" /Success:enable /failure:disable

Como chegar :

PS C:\Windows\system32> auditpol /get /category:* /r 
Machine Name,Policy Target,Subcategory,Subcategory GUID,Inclusion Setting,Exclusion Setting

DESKTOP-7Q0D9I7,System,Logon,{0CCE9215-69AE-11D9-BED3-505054503030},Success and Failure,
DESKTOP-7Q0D9I7,System,User / Device Claims,{0CCE9247-69AE-11D9-BED3-505054503030},No Auditing,
...
    
por 06.07.2017 / 19:25