Изменить групповую политику с помощью Windows CMD

93294
Mechaflash

Я хочу изменить настройки групповой политики, которая применяется значение локального сервера обновления Windows WSUS HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUServerи HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUStatusServer.

Изменение их непосредственно в реестре не перезапишет то, что было установлено в групповой политике, поэтому я хотел бы знать, какие команды можно использовать для изменения ввода этих значений групповой политикой?

14

5 ответов на вопрос

10
Tom Wijsman

У Марка Руссиновича есть отличная статья об обходе изменений в групповой политике .

Параметры групповой политики являются неотъемлемой частью любой ИТ-среды на базе Windows. Если вы являетесь сетевым администратором, вы используете их для обеспечения корпоративной политики безопасности и управления настольными системами, и если вы являетесь пользователем, вы почти наверняка были разочарованы ограничениями, налагаемыми этими политиками. Независимо от того, кем вы являетесь, вы должны знать, что если пользователи вашей сети входят в группу локальных администраторов, они могут обойти политики в любое время, когда захотят.

Существует два шага для обхода параметра групповой политики: определение местоположения параметра и предотвращение его применения. Доступно много ссылок на групповые политики, но поскольку параметры групповой политики компьютера хранятся в ветви HKEY_LOCAL_MACHINE реестра, а параметры групповой политики для каждого пользователя - в HKEY_CURRENT_USER, если вы не знаете расположение параметра, которое мешает вам что-либо делать вы хотите, вы можете использовать Regmon, чтобы найти его.

Количество параметров блокировки рабочего стола, доступных администраторам групповой политики, огромно. Они могут помешать вам сделать что-либо от изменения внешнего вида рабочего стола и меню «Пуск» до запуска определенных приложений. Два обычно применяемых параметра включают предварительно сконфигурированную программу-заставку, чтобы пользователи не тратили ресурсы на несерьезные заставки, и время ожидания заставки, чтобы системы не оставались бесконечно доступными, когда пользователь уходит. Когда эти настройки действуют, Windows пропускает вкладку заставки апплета панели управления свойствами экрана или не позволяет вам изменять заставку или время ожидания. Я собираюсь показать вам, как использовать возможности локального администратора и Regmon для отслеживания этих настроек и переопределения их в вашей собственной системе.

В то время как он входит в Монитор реестра, в эти дни также существует Process Monitor, который объединяет несколько инструментов мониторинга в одно. Это позволяет вам найти ключи реестра, которые изменяются. Просто перейдите к соответствующим разделам реестра и измените их разрешения, чтобы они больше не могли быть обновлены ...

Проверьте, что вы можете сделать с помощью regкоманды; Вы можете проверить доступ с помощью accesschk.

Спасибо за метод, Том. Но он захватывает слишком много данных, когда имеет дело с изменениями, внесенными `gpedit.msc`. Я думаю, что это скорее другой вопрос, поэтому я открыл новую тему здесь: http://superuser.com/questions/946123/how-can-i-use-process-monitor-to-detect-register-changes- сделанный по-gpedit-modifica Sopalajo de Arrierez 9 лет назад 0
6
harrymc

Групповая политика для локальной машины хранится в реестре.

Хромой подход к его изменению заключается в использовании командной строки с помощью команды reg. Это менее чем практично, поскольку требует абсолютного знания каждого параметра реестра локальной политики, и ошибки здесь могут быть весьма катастрофическими.

Инструмент, который следует использовать вместо этого - PowerShell, преемник Microsoft для командной строки.

Вот некоторые статьи, которые помогут вам начать использовать командлеты PowerShell для изменений локальной политики:

Использование Windows PowerShell для управления групповой политикой
Командлеты Windows PowerShell для групповой политики
Управление групповой политикой для ИТ-специалистов Справочник по параметрам
групповой политики для
групповой политики для Windows и Windows Server

Каким бы привлекательным ни казался командлет PowerShell GroupPolicy, очевидно (и удивительно) его нельзя использовать в простейшем случае, а именно для управления политиками локального компьютера или пользователя на компьютере, не входящем в домен. Действительно, ваша первая ссылка гласит, что для командлета требуется AD, но, прежде чем это заметить, я изо всех сил пытался заставить командлет GP работать с использованием автономного клиента Windows 10 Pro и последней версии PowerShell. Сначала я был воодушевлен тем, что RSAT (обязательное условие командлета GP) было успешно установлено, но в итоге командлет никогда не был удовлетворен силой учетных данных локального администратора. Glenn Slayden 8 лет назад 1
@GlennSlayden, не могли бы вы рассказать подробнее о вашей напряженности? Вы установили RSAT, но все равно не смогли, потому что ваша машина не была в домене, из-за слабости вашего пароля? Зачем? Suncatcher 6 лет назад 0
@Suncatcher Мое лучшее предположение, что это было, потому что это отдельная машина без домена. Как я уже упоминал, изначально я не замечал этого требования (или, возможно, не верил, что это будет демонстрация). Glenn Slayden 6 лет назад 0
5
Glenn Slayden

Следующий инструмент Microsoft TechNet позволяет управлять групповой политикой через командную строку и, следовательно, создавать сценарии:

Утилита Локальной Групповой Политики, v1.0

1
Nae

В качестве альтернативы вы можете запустить gpedit.msc. Как в Start - r gpedit.msc Enter.

0
hsn

Вы можете выбрать альтернативный WSUS для установки обновления, используя параметр / use_wsus инструмента командной строки WuInstall, который изменяет именно эти значения - однако после выполнения WuInstall значения возвращаются к старому значению

Я не уточнил, но это корпоративная среда, и зависимости недопустимы (т.е. не включающие инструменты). Mechaflash 12 лет назад 1

Похожие вопросы