Як я можу редагувати локальну політику безпеки з пакетного файлу?

10

Я намагаюся записати утиліту як пакетний файл, який, серед іншого, додає користувача до локальної політики безпеки "Заборонити вхід на локальному рівні". Цей пакетний файл буде використовуватися на сотнях незалежних комп'ютерів (не в домені і навіть не в одній мережі).

Я припустив, що один із наступних варіантів був моїм варіантом, але, можливо, є такий, про який я не думав.

  1. Утиліта командного рядка, схожа на net.exeяку, може змінювати локальну політику безпеки.

  2. Зразок VBScript для того ж.

  3. Пишіть мої власні, використовуючи деякі дзвінки WMI або Win32. Я б краще не робив цього, якщо цього не потрібно.

windows  group-policy  batch-file  vbscript  security 
Стівен Дженнінгс
джерело

Відповіді:

6

Ви можете скористатися ntrightsутилітою для редагування привілеїв облікового запису.

Право користувача "SeDenyInteractiveLogonRight" - це те, що ви хочете редагувати, ймовірно, як частина входу в комп'ютер.

Наступна команда заперечуватиме інтерактивне вхід jscott:

ntrights -u jscott +r SeDenyInteractiveLogonRight

http://support.microsoft.com/kb/315276

http://ss64.com/nt/ntrights.html

jscott
джерело
А-ха, це працює на те, що мені потрібно. Дякую!
Стівен Дженнінгс
Допомагає повернути випадково видалене "Увійти як послуга" право на "всі сервіси"! ntrights -u "NT SERVICE\ALL SERVICES" +r SeServiceLogonRight
klaus triendl
2

Я так довго шукав. Я зрозумів відповідь!

Щоб перевірити поточний стан:

auditpol /get /subcategory:"Process Creation"

Наступний рядок внесе зміни. Це встановить процес створення на Enabled.

auditpol /set /subcategory:"Process Creation"

Перевірте стан ще раз, і ви побачите зміни.

Можна також змінити всі політики "відстеження деталей", оскільки "створення процесу" є підкатегорією "відстеження деталей". Подобається це:

auditpol /set /category:"Detailed Tracking"
OatBoat
джерело
1

ви можете експортувати шаблон за допомогою графічного інтерфейсу

внести потрібні зміни на контрольний ПК,

SECPOL.MSC> Дії> експортна політика> secpol.inf

потім використовувати

SECEDIT.exe /IMPORT

загортайте його улюбленою мовою сценаріїв (Batch, PS, VBScript)

і це замінить поточну політику

викликає занепокоєння, якщо виникнуть проблеми з перезаписом поточної політики

Я ніколи цього не робив з політикою безпеки, але раніше, ніж з профілями живлення, і процес виглядає майже однаково, як у команди NET.exe.

Метт Хаменде
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.