As políticas de restrição de software definidas no registro não atualizam a Política de Grupo Local

Question

As políticas de restrição de software definidas no registro não atualizam a Política de Grupo Local

#1 resposta do (2 votos)

2

As alegrias de um domínio Samba ... A primeira política de Grupo de Domínios não pode ser usada até que o Samba 4 chegue.

Precisamos configurar Políticas de Restrição de Software (SRPs) na maioria dos computadores em nosso domínio Samba e gostaria de automatizar isso. (Estamos nos afastando apenas de desativar o instalador do Windows). A maneira tradicional é definir os SRPs usando a Política de Grupo Local (LGP) Computer Conf- > Windows Settings- > SRP mas isso envolve visitar todas as máquinas, pois elas não podem ser definidas usando o NTConfig.pol.

É possível tentar criar os SRPs diretamente no registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers2144\Paths\{30628f61-eb47-4d87-823b-6683a09eda87}]
"LastModified"=hex(b):40,a2,94,09,b5,5d,ca,01
"Description"=""
"SaferFlags"=dword:00000000
"ItemData"="C:\location\subfolder"

SaferFlags DWORD parece ser o que o ativa ou desativa, mas, embora isso pareça funcionar, ele não atualiza a Diretiva de Grupo Local - os SRPs ainda são exibidos como "Nenhum SRP Definido".

Onde o LGP armazena esta configuração - é mesmo no registro e, mais importante - Existe uma maneira mais inteligente de configurar os SRPs?

windows-xp samba domain windows-registry group-policy

por Jon Rhoades 14.03.2010 / 23:21

1 resposta

Tags windows-xp samba domain windows-registry group-policy

Configuração do SPF do arquivo de zona DNS para suportar o envio de mensagens de vários servidores e do gmail Por que o localizador do Mac OS X (10.6) não consegue se conectar a computadores Windows?

score 2 · Accepted Answer

Políticas de Grupo Local são armazenadas fora do registro em C: \ Windows \ System32 \ GroupPolicy e são mescladas no registro durante a inicialização (para diretivas de computador) ou logon (para diretivas de usuário). Você precisa visualizá-los como uma entidade separada que nem precisa existir para que uma configuração entre em vigor.

Quando você visualiza a política local em gpedit.msc, o que você está vendo é o que está na pasta C: \ Windows \ System32 \ GroupPolicy, não no que está atualmente no registro.

Uma sugestão seria modificar a política local para testar em uma máquina de teste e colocar os arquivos relevantes em suas outras máquinas, mas não testei isso e não posso confirmar que funcionaria. No geral, eu sinceramente acho que é melhor você morder a bala e colocar os controladores de domínio do Windows. Você pode estar economizando dinheiro com as taxas de licenciamento com a sua abordagem atual, mas está perdendo muito tempo na manutenção de uma elaborada (e potencialmente delicado) configuração que usando DCs do Windows seria totalmente ignorar. Infelizmente eu suspeito que o custo do tempo que você está perdendo seria múltiplos do custo de apenas implementar o Windows DC.