服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Windows组策略 – 我可以用VBscript改变吗?
Intereting Posts
mod_deflate的默认configuration是否可以在生产环境中使用? 可以覆盖只有一个Nagios主机组的联系人? 从nginx中的特定URL中删除尾部的斜杠 如何为nginx发送的每个html设置特定的键值对,而不会损失其他键值对? 我怎么能覆盖mod-php5的.php映射到每个VirtualHost或目录的php4-CGI? 一个用户不能VPN进入一台机器 在SRVlogging上发现连接错误 pgrep wget:进程ID的细节是什么? PHP-FPM使用太多的内存 具有多个作用域的DHCP服务器向VLAN发出错误的IP Linux-KVM和Ganeti – 帮助我理解/部署 开源应用程序Stor Dell服务器在关机后不会启动 无痛的方式来迁移服务器? 如何让服务器来处理PHP文件,而不是浏览器?

Windows组策略 – 我可以用VBscript改变吗?

首先,我不是Windows或组策略脚本专家,但我的任务之一是configuration注定不是networking的XP机器。 因此,我使用VBScript来更改registry设置,但是现在我在组策略中有一些设置,我现在手动configuration,但是想要脚本化这些设置或者在某些方面自动化。

任何人都可以告诉我,如果我可以使用VBScript的组策略的变化,或者我需要使用别的东西吗?

我发现这个页面,概述了一些可能性,但没有太多的细节,我还找不到后续文章。

** 附加信息 **

使用gpedit.msc我目前在GUI中手动设置以下设置:

  1. 计算机configuration>pipe理模板>系统>login>在计算机启动和login时始终等待networking
  2. 计算机configuration“>”pipe理模板“>”系统“>”closures自动播放“
  3. 计算机configuration> Windows设置>安全设置>用户权限分配>从networking访问此计算机
  4. 计算机configuration> Windows设置>安全设置>用户权限分配>拒绝从networking访问此计算机
  5. 计算机configuration> Windows设置>安全设置>用户权限分配>拒绝本地login
  6. 计算机configuration> Windows设置>安全设置>用户权限分配>本地login
  7. 计算机configuration> Windows设置>安全设置>安全选项>networking访问:可从networking访问的共享

我想能够脚本这些变化使用VBScript或其他手段(.NET也许?)

我发现,对于上述几个设置,我可以直接在registry中更改它们,但在组策略编辑器(gpedit.msc)中看不到这些更改

这是可能的,是的。

不是很明智,因为支持和推荐的方法是通过gpedit.msc工具(或域上的GPO)。 因此,用脚本来做这件事最好是半logging的,而且你也会遇到一些奇怪的尝试。

如果您仍然决定尝试,这些设置实际上只是registry项。 如果能够找出哪些键被改变了,那么脚本就可以导入所有这些registry键值,并以所需的configuration结束。 我只是使用一个batch file,诚实。

但是,您遇到的问题是,需要将这些更改保存到%SYSTEM ROOT%\System32\GroupPolicy\User\Registry.pol ,以执行本地组策略,并且我不知道这是一个好的脚本化的解决scheme,所以常见的解决方法是在第二台机器上设置它,并将%SYSTEM ROOT%\System32\GroupPolicy\User文件夹和文件复制到目标机器上。

我个人觉得整个事情是如此痛苦,我宁愿build立一个小的域名,而不是通过这个过程来应用自动化应用本地组策略。

有一个名为GPOregistry编辑器的工具,它可以编辑/更新本地组策略的每个命令,而不会覆盖所有现有的策略(很大的优势只是复制和粘贴Registry.pol)。 要首先使用这个工具,你可以得到源代码 。 GRE是用AutoItScript编写的。 要创build一个可执行文件,你需要编译它,例如使用AutoItScript编辑器 。

您现在应该有一个gre.exe,它有以下命令行选项: 

 GPO Registry Editor provides read/write capabilities for registry policy files. Usage: -a --add Add the entry specified by the key, value, type, and data parameters. -r --remove Remove the entry specified by the key and value parameters. -d --data Specifies the data of the registry entry. -f --file Specifies the registry file to load or modify. Use `computer` or `user` to specify the system policy files. -k --key Specifies the key of the registry entry. -s --silent Perform the operation silently (no GUI). -t --type Specifies the type of the registry entry. -v --value Specifies the value of the registry entry. -h --help Display this message. -? --? Display this message.

找出哪些键resp。 值需要设置你可以运行gpedit.msc并设置你想要设置的设置。 由于gpedit.msc直接应用策略,所以可以打开regedit.exe并转到HKLM \ SOFTWARE \ Policies。 HKCU \ SOFTWARE \ Policies检查已设置的密钥。

[编辑]我find了一个名为Registry.pol Viewer Utility的工具 ,它可以读取位于%SYSTEMROOT%\ System32 \ GroupPolicy \ Machine resp中的registry策略文件(Registry.pol)。 %SYSTEMROOT%\ SYSTEM32 \ GroupPolicy中\用户。 它显示了哪些键和值及其数据已应用于组策略。 这样可以很容易地使用gre。 [/编辑]

例如,对于策略计算机configuration>pipe理模板>系统>login>始终等待networking在计算机启动和login后使用gre命令可以使用: 

 gre --add -s -f=computer -k="Software\Policies\Microsoft\Windows NT\CurrentVersion\Winlogon" -v="SyncForegroundPolicy" -t REG_DWORD -d="1"

然后可以将几个gre命令添加到批处理脚本,并添加以下命令以应用更新的组策略: 

 gpupdate /force

这样的脚本可以轻松地在目标计算机上启动以应用所需的策略。 或者也可以使用您的WPKG等部署工具。