Найкращий спосіб додати ключі та значення HKCU для всіх існуючих користувачів та всіх нових користувачів?

Мені потрібно додати ключі та значення HKCU до всіх машин у певному OU, для всіх існуючих профілів користувачів та до профілю за замовчуванням. Який найкращий спосіб підійти до цього?

Я міг би перерахувати та повторити всі NTUSER.DAT, завантажуючи вулик, додаючи ключі та вивантажуючи вулик, але це здається незграбним способом це зробити.

Хтось має кращу ідею? Я хотів би прописати це (бажано PowerShell) і по можливості змінити зміни, але сценарії входу в групову політику також будуть працювати.

Мій кращий метод - використовувати Active Setup. Що це робить, це перевірити, коли користувач заходить у машину, чи запустив він певний скрипт чи команду (наприклад, ту, яку ви мали б), а якщо ні, виконайте її. Отже, ви будете запускати певний сценарій для користувача лише один раз на їх робочій станції. Я вважав, що це ідеально підходить для написання в HKCU, тому що вам не доведеться завантажувати кожен вулик і змінюються лише акаунти, в які люди входять.

Не для самореклами, але я написав допис у блозі про це. Основне рішення полягає в наступному:

Додайте такі записи реєстру:

[HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\UniqueID]
"Version"=""
"Stubpath"=""
@=""

• Ви можете вибрати будь-який унікальний ідентифікатор, який хочете. GUID часто використовуються, але ви можете використовувати все, що буде унікальним.
• Version будь-який номер версії, який ви хочете використовувати.
• Stubpathце команда, яка буде виконуватися. Дзвінки MSI, EXE та VBS здаються нормальними.
• Це @те, що повинно відображатися під час виконання команди.

З цим рішенням мова сценаріїв не має значення. Ви можете зробити файл VBScript, Powershell, Batch. Що б ви не могли писати в HKCU як зареєстрований користувач. Використання reg.exeбезпосередньо також добре працює.

Інший, необов'язковий фінальний штрих, який ви можете зробити - це завантаження та зміна вулика користувача за замовчуванням. Це встановило б значення реєстру для всіх нових користувачів, які вперше входять у цю конкретну систему.

Ви можете додати спеціальні ключові регістри, створивши спеціальний файл адміністратора та імпортувавши його як шаблон у розділ Адміністративні шаблони об’єкта групової політики. Потім прив’яжіть цю групову групу до вашої ОУ. У MS є документи про те, як це зробити, або ви можете подивитися файли adm, які вже існують на сервері (я думаю десь під Sysvol).

Цей процес називається "татуювання реєстру", і це означає, що ви знаходитесь поза контролем видалення групової політики, тобто записи реєстру залишаться, навіть якщо політика буде видалена. Потрібно створити "зворотний" ключ рег і розгорнути його (або просто видалити).