如何启用MSS组策略设置Windows Server 2012

官方，你不能。 （在本文撰写之时，在Server 2012 R2上）。

非官方？ 也许…

“MSS”组策略设置不是也不会包含在Active Directory的默认即装即用安装中。 他们是一个由该领域的咨询小组开发的附加组件，这些设置被认为非常有用，以至于被称为“安全合规经理”的“解决scheme加速器”。 （之前已经有很多相似的名字，比如“Windows 7 Security Compliance Management Toolkit”）。

问题是，安全合规性pipe理器带有一大堆你不想要的垃圾，比如SQL Express实例。 垃圾，你真的不想安装在域控制器上。 您只想从中提取您想要的部分，即“LocalGPO.msi”包。

接下来的问题是安全合规性经理从未更新过2012 R2。 2012年，是的。 2012 R2，没有。

话虽如此，你可能仍然能够在2012 R2上运行，但要小心 – 这样做可能会使服务器处于不受支持的状态。

下载安全合规性pipe理器安装 。 在你的服务器上运行它。

运行.exe，但不要继续安装。 安装程序将一些文件解压缩到硬盘上的临时目录中，例如C:\a1b2c3d4e5f6a0b1c2或D:\a1b2c3d4e5f6a0b1c2 。 在那个目录中你会find一个data.cab文件。 打开该文件，并提取名为GPOMSI文件，并将该文件重命名为LocalGPO.msi 。 现在取消SCM安装程序，它会删除临时文件。

在您的服务器上安装LocalGPO.msi。 然后启动您将在开始屏幕中find的新“LocalGPO命令行”快捷方式。 以pipe理员身份运行。 inputcscript LocalGPO.wsf /ConfigSCE 。

您将得到一个错误，说明您没有运行受支持的操作系统。

在记事本中打开LocalGPO.wsf，并在脚本中注释ChkOSVer过程，以便它不会检查您的版本。 现在再次运行上面的命令。

我已经看到多个这方面的工作为其他人的报告，但它不适合我。 在WriteLine语句中，脚本的第2245行仍然出现VBscript错误。 我没有打扰到更深入的debugging，因为这个事实根本没有被更新为2012 R2。

编辑4/11/2016：由Aaron Margosis编写的此Microsoft博客上托pipe的版本包含一个下载链接到MSS扩展的版本，适用于2012 R2，无需“黑客”。 这是一个链接到一个zip文件。 在zip文件中，您将看到一个名为“Local_Script”的目录。 在该文件夹中，您将find一个名为“MSS_Extension”的子文件夹。 只需将该MSS_Extension目录转移到您的2012 R2域控制器。 然后打开命令提示符并浏览到该目录。 然后运行：

Cscript LocalGPO.wsf /ConfigSCE

可以使用Microsoft安全合规性pipe理器3来恢复MSS安全设置。
这实际上将在Server 2012上安装，但是您需要安装MS SQL Express和Visual C ++ 2010运行时库。 它也会抱怨程序兼容性，你可能需要重新运行安装例程。

安装完成后，您将在C：\ Program Files（x86）\ Microsoft Security Compliance Manager \ LGPO （或您将安全合规性pipe理器安装到的任何位置）中find名为LocalGPO.msi的文件。

在你的服务器上运行这个MSI文件。 这将安装到C：\ Program Files文件（x86）\ LocalGPO （或您select安装它的任何地方）。

运行： cscript LocalGPO.wsf /？ 将向您展示该脚本提供的各种选项，特别包括：

 /ConfigSCE : Configures Security Configuration Editor (SCE) to display MSS settings. 

所以，运行这个命令：

 C:\Program Files (x86)\LocalGPO>cscript LocalGPO.wsf /configsce Microsoft (R) Windows Script Host Version 5.8 Copyright (C) Microsoft Corporation. All rights reserved. Modifying the Security Configuration Editor to the include MSS settings... Updating the registry 89 subkeys found. Subkeys deleted successfully Subkeys added successfully Registering SceCli.dll to complete SCE modification The Security Configuration Editor is updated. Security Configuration Editor has been modified successfully! The Security Configuration Editor is updated. 

而现在，当您在Server 2012机器上运行gpedit.msc时，您应该会发现所有MSS设置都可以再次使用。

要对所有机器执行此操作，只需将LocalGPO.MSI文件安装到它们上，然后在每个机器上运行LocalGPO.wsf脚本以使设置可见即可。

所有的解决scheme都与RyanRes相同，但是：

要运行2012R2，我们不能评论ChkOSVer程序，但编辑它：

search名为“ChkOSVersion”的例程，向下滚动，您会发现一堆if语句。 你会希望它看起来如下所示：

 If(Left(strOpVer,3) = "6.3") and (strProductType <> "1") then strOs = "WS12" ElseIf(Left(strOpVer,3) = "6.2") and (strProductType <> "1") then strOS = "WS12" ElseIf(Left(strOpVer,3) = "6.2") and (strProductType = "1") then strOS = "Win8" ElseIf(Left(strOpVer,3) = "6.1") and (strProductType <> "1") then strOS = "WS08R2" ElseIf(Left(strOpVer,3) = "6.1") and (strProductType = "1") then strOS = "Win7" ElseIf(Left(strOpVer,3) = "6.0") and (strProductType <> "1") then strOS = "WS08" ElseIf(Left(strOpVer,3) = "6.0") and (strProductType = "1") then strOS = "VISTA" ElseIf(Left(strOpVer,3) = "5.2") and (strProductType <> "1") then strOS = "WS03" ElseIf(Left(strOpVer,3) = "5.2") and (strProductType = "1") then strOS = "XP" ElseIf(Left(strOpVer,3) = "5.1") and (strProductType = "1") then strOS = "XP" Else strMessage = DisplayMessage(conLABEL_CODE002) Call MsgBox(strMessage, vbOKOnly + vbCritical, strTitle) Call CleanupandExit End If 

注意第一个声明。 确保您使用UTF-8编码保存文件，并且它仍然位于与其他文件相关的文件夹中。

然后右键单击“LocalGPO命令行”图标并select“以pipe理员身份运行”

在命令提示符处input“cscript LocalGPO.wsf / ConfigSCE”并按回车。

就这样。 我们在GPMC中有MSS GP设置

有一个更新，其中包括2012 R2政策，如下图所示：

确保获得SCM的第4版。