Zmień zasady grupy za pomocą Windows CMD


15

Chcę zmienić ustawienie zasad grupy, które stosuje wartość lokalizacji serwera WindowsUS WSUS HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUServeri HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUStatusServer.

Zmiana ich bezpośrednio w rejestrze nie zastąpi tego, co zostało ustawione w zasadach grupy, więc chciałbym wiedzieć, jakich poleceń mogę użyć do zmiany danych wejściowych zasad grupy tych wartości?

Odpowiedzi:


11

Mark Russinovich ma doskonały artykuł na temat obchodzenia zmian zasad grupy .

Ustawienia zasad grupy są integralną częścią każdego środowiska IT opartego na systemie Windows. Jeśli jesteś administratorem sieci, używasz ich do egzekwowania zasad bezpieczeństwa korporacyjnego i zarządzania pulpitem, a jeśli jesteś użytkownikiem, prawie na pewno frustrują Cię ograniczenia nałożone przez te zasady. Niezależnie od tego, kim jesteś, należy pamiętać, że jeśli użytkownicy w sieci należą do grupy lokalnego administratora, mogą ominąć zasady w dowolnym momencie.

Aby obejść ustawienie zasad grupy, należy wykonać dwa kroki: zidentyfikować lokalizację ustawienia i uniemożliwić zastosowanie ustawienia. Dostępnych jest wiele odniesień do zasad grupy, ale ponieważ ustawienia zasad grupy komputera są przechowywane w gałęzi HKEY_LOCAL_MACHINE rejestru i ustawienia zasad grupy dla użytkownika w HKEY_CURRENT_USER, jeśli nie znasz położenia ustawienia, które uniemożliwia ci zrobienie czegoś chcesz użyć Regmon, aby go znaleźć.

Liczba ustawień blokowania pulpitu dostępnych dla administratorów zasad grupy jest ogromna. Mogą uniemożliwić cokolwiek, od zmiany wyglądu pulpitu i menu Start do uruchamiania niektórych aplikacji. Dwa powszechnie stosowane ustawienia obejmują wstępnie skonfigurowany program wygaszacza ekranu, aby użytkownicy nie marnowali zasobów na frywolne wygaszacze ekranu oraz limit czasu wygaszacza ekranu, aby systemy nie były dostępne w nieskończoność, gdy użytkownik odejdzie. Gdy te ustawienia są aktywne, system Windows pomija zakładkę wygaszacza ekranu apletu panelu sterowania właściwościami wyświetlania lub nie pozwala modyfikować wygaszacza ekranu ani jego limitu czasu. Pokażę ci, jak wykorzystać moc bycia lokalnym administratorem i Regmonem, aby wyśledzić te ustawienia i zastąpić je we własnym systemie.

Mimo że przechodzi do Monitora rejestru, Monitor procesów istnieje również w dzisiejszych czasach, który łączy kilka narzędzi monitorowania w jedno. Pozwala znaleźć modyfikowane klucze rejestru. Wystarczy przejść do odpowiednich kluczy rejestru i zmienić ich uprawnienia, aby nie można było ich już aktualizować ...

Sprawdź, co możesz zrobić z regpoleceniem; możesz zweryfikować dostęp za pomocą accesschk.


Dzięki za metodę, Tom. Ale przechwytuje zbyt wiele danych w przypadku zmian wprowadzonych przez gpedit.msc. Myślę, że to raczej inne pytanie, więc otworzyłem nowy wątek tutaj: superuser.com/questions/946123/…
Sopalajo de Arrierez

7

Zasady grupy dla komputera lokalnego są przechowywane w rejestrze.

Lame podejście do jego modyfikacji odbywa się za pomocą wiersza polecenia za pomocą polecenia reg. Jest to mniej niż praktyczne, ponieważ wymaga bezwzględnej znajomości każdego ustawienia lokalnego rejestru zasad, a błędy tutaj mogą być katastrofalne.

Narzędziem, którego należy użyć, jest PowerShell , następca Microsoft w wierszu polecenia.

Niektóre artykuły, które mogą Cię uruchomić na drodze do używania poleceń cmdlet programu PowerShell do lokalnych zmian zasad:

Użyj Windows PowerShell do zarządzania zasadami grupy
Polecenia cmdlet programu Windows PowerShell dla zasad
grupy Zarządzanie zasadami grupy dla specjalistów IT
Zasady grupy Ustawienia zasad
grupy Dokumentacja dla systemu Windows i Windows Server


1
Wydaje się (i zaskakujące), że tak atrakcyjne, jak wydaje się polecenie cmdlet programu PowerShell GroupPolicy, w najprostszym przypadku, a mianowicie do zarządzania zasadami komputera lokalnego lub polityką użytkownika na maszynie przyłączonej do domeny. Rzeczywiście, twój pierwszy link stwierdza, że ​​polecenie cmdlet wymaga AD, ale zanim to zauważyłem, starałem się, aby polecenie cmdlet GP działało na samodzielnym kliencie Windows 10 Pro i najnowszym programie PowerShell. Na początku byłem zachęcany, że RSAT (warunek wstępny polecenia cmdlet GP) został pomyślnie zainstalowany, ale ostatecznie cmdlet nigdy nie był zadowolony z siły poświadczeń lokalnego administratora.
Glenn Slayden

@GlennSlayden, czy mógłbyś powiedzieć więcej o swoich napięciach? Zainstalowałeś RSAT, ale i tak nie powiodło się, ponieważ twój komputer nie był w domenie z powodu słabego hasła? Dlaczego?
Suncatcher

@Suncatcher Domyślam się, że było tak, ponieważ jest to samodzielna maszyna bez domeny. Jak wspomniałem, pierwotnie albo nie zauważyłem tego wymogu (albo być może nie wierzyłem, że to będzie showstopper).
Glenn Slayden,


1

Alternatywnie możesz biegać gpedit.msc. Jak w Start - r gpedit.msc Enter.


0

Możesz wybrać alternatywny program WSUS do instalacji aktualizacji, używając opcji / use_wsus narzędzia wiersza polecenia WuInstall , która zmienia dokładnie te wartości - jednak po wykonaniu WuInstall wartości są przywracane do starej wartości


1
Nie określiłem, ale jest to środowisko korporacyjne, a zależności są niedopuszczalne (tzn. Narzędzia niewłączające).
Mechaflash
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.