Alterar configurações de política de grupo para contas?

2

Eu estou querendo saber se há uma maneira de alterar as configurações de diretiva de grupo para contas sem usar as ferramentas da GUI (o snap-in MMC do editor de GPO ou do GPO). Em outras palavras, posso alterar essas configurações através de uma alteração no registro ou usando uma ferramenta como o PowerShell? A ideia é automatizar isso para que possa ser aplicado a um número de servidores rapidamente sem precisar ativar uma GUI.

Os principais valores em que tenho interesse são:

  • Fazer logon localmente
  • Fazer logon como um serviço
por Robert MacLean 06.06.2009 / 20:46

3 respostas

3

A SECEDIT é sua amiga pelo que você está tentando fazer. Dê uma olhada na ajuda da ferramenta. Basicamente, você vai querer construir um modelo contendo as configurações que você está procurando. Em seguida, você aplicará esse modelo a computadores nos quais gostaria de alterar essas configurações.

  • Abra um Gerenciamento Microsoft vazio Console. Adicionar um "Modelos de segurança" snap-in com Arquivo / Adicionar / Remover Snap-in.

  • Abra o nó "Modelos de segurança" e o próximo nó embaixo (normalmente "C: \ WINDOWS \ security \ templates").

  • Clique com o botão direito do Nó "C: \ WINDOWS \ security \ templates" e escolha "Novo modelo". Nomeie o novo modelo e defina a descrição como você deseja.

  • Expanda o novo modelo. Colocou o várias configurações como você gostaria.

A diretiva de segurança que você criou é armazenada no diretório "C: \ WINDOWS \ security \ templates" por padrão, nomeada com qualquer nome que você escolher e uma extensão ".INF". Copie este arquivo para uma máquina onde você deseja aplicar as configurações.

Na máquina em que as configurações devem ser aplicadas, execute o seguinte comando no diretório em que seu arquivo de modelo de segurança ".INF" está localizado:

SECEDIT /configure /db secedit.sdb /cfg <path and filename of INF file>

Isso aplicará o modelo de segurança ao banco de dados de segurança local. Você pode verificar o "antes e depois" examinando a política de segurança local. (Certifique-se de fechar / reabrir a ferramenta de gerenciamento de política de segurança local entre os aplicativos do arquivo INF, porque, AFAIK, essas ferramentas não se atualizam dinamicamente.)

    
por 08.06.2009 / 20:23
1

Você pode encontrar uma lista de todas as chaves de registro usadas pela Diretiva de Grupo aqui:

link

Lembre-se de que alguns GPOs não usam chaves do Registro.

Além disso, se você tiver servidores em que precise definir políticas - por que não usar GPOs ??? Muito mais fácil de gerenciar - você pode alterar políticas e enviar de um computador com uma GUI.

    
por 09.06.2009 / 01:53
0

Você pode tentar descobrir em que parte do registro essas configurações específicas de diretiva estão armazenadas e, em seguida, manipulá-las em um script usando reg.exe. No entanto, lembre-se de que a Política de Grupo substituirá suas configurações a cada atualização.

Não tenho conhecimento de nenhuma ferramenta de edição de GPO baseada em linha de comando, se é isso que você quer dizer.

    
por 06.06.2009 / 20:57