使用脚本编辑本地组策略Windows Server 2012

我已经能够研究，并find我需要在这个目标上！ 我发现最好的方向来源如下：

http://www.itninja.com/blog/view/using-secedit-to-apply-security-templates

本地组策略设置和安全设置可以通过几个步骤进行传输：

1.安全设置：

右键单击本地组策略编辑器（编辑组策略）中的安全设置，然后select导出策略…保存.inf文件并将其传输到您希望使用相同设置的机器上。 在新机器上，打开命令提示符并使用secedit命令

secedit / configure / db c：\ windows \ security \ local.sdb / cfg {。\ path \ to.inf}

检查回来的任何错误，我正在处理用户帐户试图设置新机器上不存在的权限。

2.本地组策略的其余部分

find％systemroot％\ system32 \ grouppolicy \ hidden文件夹，并将子文件夹复制到目标计算机的相同位置。

打开命令提示符并使用

gpupdate / force

3.遗体

对于miscellanous，我能够使用powershell命令添加或编辑registry项：

加：

New-Item -Path HKCU：\ Software -Name hsg -Force

编辑：

PS C：>推送位置

PS C：> Set-Location HKCU：\ Software \ hsg

PS HKCU：\ Software \ hsg> Set-ItemProperty。 新物业“mynewvalue”

对于非域计算机，您通过本地安全策略而不是组策略设置这些东西。 而那些，你可以导入和导出使用适当的MMC（ secpol.msc ）

使用SCM的GPOpack工具将设置部署到非域join的机器。 如果您具有不在组策略中的直接registry编辑，则必须添加reg.exe命令

使用新的LGPO.EXE工具。 其logging和从这里下载： https ： //blogs.technet.microsoft.com/secguide/2016/01/21/lgpo-exe-local-group-policy-object-utility-v1-0/

通过链接中的一些评论并不全面，完全满足了我的需求。

它也适用于Windows Server 2016，SCM工具3.0中的LocalGPO.Exe报告没有。 实际上，LocalGPO.EXE不再在SCM 4.0中发布，但SCM中的帮助文本仍然存在链接！

后期添加：考虑使用auditpol.exe进行脚本编写。 有人写了一个使用auditpol的PowerShell 示例 ，它根据期望的值检查configuration。

设置 ：

 auditpol /set /category:Logon/Logoff /subcategory:"Account Lockout" /Success:enable /failure:disable 

获取 ：

 PS C:\Windows\system32> auditpol /get /category:* /r Machine Name,Policy Target,Subcategory,Subcategory GUID,Inclusion Setting,Exclusion Setting DESKTOP-7Q0D9I7,System,Logon,{0CCE9215-69AE-11D9-BED3-505054503030},Success and Failure, DESKTOP-7Q0D9I7,System,User / Device Claims,{0CCE9247-69AE-11D9-BED3-505054503030},No Auditing, ...