Отслеживание того, почему клиент групповой политики изменяет переменную среды

277
Alexander Shenkin

Что-то таинственно меняет одну из моих переменных окружения в моей системе Win 7. Я следовал инструкциям в этой теме и разыскал виновника ... до svchost.exe. Кажется, что Process Explorer указывает, что этот поток svchost.exe работает с клиентом групповой политики (gpsvc). Любые мысли о том, как отследить, почему gpsvc изменяет эту переменную среды, и как помешать этому?

Заранее спасибо...

A registry value was modified.  Subject: Security ID: SYSTEM Account Name: machine$ Account Domain: mydomain Logon ID: 0xfff  Object: Object Name: \REGISTRY\USER\S-1-5-21-1657032316-61167162-621696214-25666\Environment Object Value Name: R_LIBS Handle ID: 0x16c Operation Type: Existing registry value modified  Process Information: Process ID: 0x474 Process Name: C:\Windows\System32\svchost.exe  Change Information: Old Value Type: REG_SZ Old Value: D:\Program Files\R_libs New Value Type: REG_SZ New Value: z:\R
0

1 ответ на вопрос

1
rebrec

Если ваша переменная среды установлена ​​с помощью параметра групповой политики, попробуйте запустить в привилегированной командной строке:

gpupdate /r /z > somefile.txt && notepad somefile.txt

Затем найдите в текстовом файле переменную среды.

Я не уверен, что результат одинаков, но вы также можете попробовать:

gpupdate /h report.html && start report.html

Затем найдите внутри вашего браузера переменную среды.

Спасибо @rebrec. Там я не вижу ничего, ссылающегося на переменные среды, или какие-либо ссылки на реестр, касающиеся переменных среды. Есть еще мысли? Alexander Shenkin 6 лет назад 0
Вы можете изменить обратно свою переменную окружения, затем запустить `gpupdate / force` и посмотреть, изменилась ли переменная снова? rebrec 6 лет назад 0
да, это изменило это ... Alexander Shenkin 6 лет назад 0
хм, на самом деле, кажется, что rsop.msc устарел ... вы можете попробовать в привилегированной командной строке `gpresult / r / z> somefile.txt`, а затем открыть этот файл и найти вхождение вашей переменной среды? Вы также можете попробовать `gpresult / h somefile.html && notepad somefile.html` и затем выполнить поиск переменной снова. rebrec 6 лет назад 0
Спасибо rebrec. gpresult / r / z ничего не придумал, но gpresult / h показывает, что R_LIBS установлен в настройках групповой политики (конфигурация пользователя -> ссылки -> переменные среды): https://i.imgur.com/FpFEobP.png. Я возился, но не могу найти способ получить доступ к этим настройкам. Какие-нибудь мысли? Если это что-то, что администрируется ИТ-специалистами на уровне домена, я могу проверить их ... Еще раз спасибо ... Alexander Shenkin 6 лет назад 0
Хорошие новости, которые вы нашли, где он был расположен, действительно, предпочтения GP - это место для настройки переменных среды. GPO определено вашим ИТ-персоналом. Вы не сможете изменить их самостоятельно, если у вас нет доступа уровня администратора. Чтобы получить доступ к настройкам параметров объекта групповой политики для объекта групповой политики, участвующего в изменении переменной среды, после определения его имени вы можете попробовать запустить (запустить / запустить) `GPME.MSC` (если он установлен), затем выберите ожидаемый объект групповой политики и посмотрите на предпочтение GP. (вам понадобятся права администратора домена, чтобы иметь возможность его редактировать rebrec 6 лет назад 0
Спасибо rebrec. У меня есть доступ администратора на моей машине, но не на домене. Свяжусь с ЭТОМ ... спасибо! Alexander Shenkin 6 лет назад 0

Похожие вопросы