Posso implantar um arquivo em lotes com a Diretiva de Grupo para ser executado como administrador?

Question

Posso implantar um arquivo em lotes com a Diretiva de Grupo para ser executado como administrador?

#1 resposta do (6 votos)
#2 resposta do (1 votos)
#3 resposta do (1 votos)

2

Eu criei um script em lotes que bloqueará o Facebook, alterando o arquivo hosts neste local C:\windows\system32\drivers\etc\hosts

Este é o conteúdo do arquivo em lote:

@echo off
echo 127.0.0.1 www.facebook.com >> C:\windows\system32\drivers\etc\hosts
exit

Eu testei esse arquivo em lote na minha máquina local e ele funciona, no entanto, ele só funciona quando eu o executo como administrador.

É possível implantar esse arquivo em lote em todos os computadores da minha rede, executando como administrador usando a Diretiva de Grupo?

Estou usando o Windows Server 2012.

domain-name-system batch-file group-policy

por pgunston 17.11.2014 / 00:50

3 respostas

Tags domain-name-system batch-file group-policy

Virtualizado Server 2003 vs Server 2008 R2 diferenças na taxa de transferência de arquivos? De repente, o comando shutdown não pode mais ser encontrado

score 6 · Answer 1

Sim, você pode implantar arquivos em lote por meio da Política de Grupo, que será executada no contexto do Sistema Local. Uma maneira muito comum de fazer isso é scripts de inicialização do computador. (Em oposição aos scripts de logon do usuário.)

Além disso, essa é provavelmente a pior maneira possível de bloquear o Facebook.

De link

Startup scripts are run under the Local System account, and they have the full rights that are associated with being able to run under the Local System account.

A conta do Sistema Local é essencialmente ainda mais poderosa que o Administrador.

score 1 · Answer 2

Você pode querer mudar isso para:

0.0.0.0 www.facebook.com

Se você usar o endereço de loopback, terá que esperar por um tempo limite, a menos que haja um servidor web local.

score 1 · Answer 3

Eu sei que este é um post antigo, mas que diabos. Eu não tenho certeza do que está acontecendo com os pessimistas. Apontar o domínio questionável para o endereço de loopback local parece ser uma maneira perfeita de bloquear o acesso. Isso impedirá que o DNS retorne o endereço real do site do Facebook e, se o usuário não for um administrador local, mesmo que saiba do arquivo hosts, o que eles provavelmente não sabem, eles não terão permissão para alterá-lo. .

O problema que vejo com a sua abordagem é que, se você a executar, você estará anexando a mesma linha ao seu arquivo de hosts repetidamente indefinidamente.

Se você for fazer isso, você deve ter um script que procure por aquela linha no arquivo, e só a acrescente se ela ainda não existir (e talvez edite se ela não disser o que você quero que seja).

Por fim, a execução da conta SYSTEM local não funcionará se o script precisar de acesso à rede, a menos que você conceda permissões adequadas ao grupo AD "Domain Computers" e esteja preparado para fazer uma pequena depuração.