Змініть групову політику за допомогою Windows CMD


15

Я хочу змінити налаштування групової політики, яке застосовує значення розташування сервера Windows Update WSUS HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUServerі HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUStatusServer.

Змінення їх безпосередньо в реєстрі не замінить те, що було встановлено в груповій політиці, тому я хотів би знати, які команди можна використовувати, щоб замість цього змінити введення групової політики цих значень?

Відповіді:


11

У Марка Русиновича є чудова стаття про обхід змін у груповій політиці .

Налаштування групової політики є невід'ємною частиною будь-якого ІТ-середовища на базі Windows. Якщо ви мережевий адміністратор, ви використовуєте їх для забезпечення політики корпоративного захисту та управління робочим столом, а якщо ви користувач, ви майже напевно були розчаровані обмеженнями, накладеними цими полісами. Незалежно від того, хто ви є, ви повинні пам’ятати, що якщо користувачі вашої мережі належать до групи місцевого адміністратора, вони можуть обіймати правила в будь-який час.

Існує два кроки для обходу налаштування групової політики: визначення місця розташування та запобігання застосуванню цього параметра. Доступно багато посилань на групову політику, але оскільки налаштування політики групових машин зберігаються у відділенні HKEY_LOCAL_MACHINE реєстру та налаштування політики політики групових користувачів у HKEY_CURRENT_USER, якщо ви не знаєте місце налаштування, яке заважає вам щось робити ви хочете, щоб скористатися Regmon, щоб знайти його.

Кількість налаштувань блокування робочого столу, доступних адміністраторам групової політики, величезна. Вони можуть заважати вам робити що-небудь від зміни зовнішнього вигляду робочого столу та меню "Пуск" до запуску певних програм. Дві загальноприйняті налаштування включають попередньо налаштовану програму заставки, щоб користувачі не витрачали ресурси на легковажну заставку, і час очікування заставки, щоб системи не залишалися доступними на невизначений час, коли користувач відходив. Коли ці налаштування діють, Windows не закриває вкладку заставки екрана панелі керування властивостями дисплея або не дозволяє змінювати заставку або її тайм-аут. Я покажу вам, як використати силу місцевого адміністратора та Regmon, щоб відстежувати ці налаштування та змінювати їх у власній системі.

Хоча він переходить у Монітор реєстру, в наші дні існує також Монітор процесів, який поєднує кілька інструментів моніторингу в один. Це дозволяє знайти ключі реєстру, які змінюються. Просто перейдіть до відповідних ключів реєстру та змініть їхні дозволи, щоб їх більше не можна було оновлювати ...

Перевірте, що ви можете зробити з regкомандою; ви можете підтвердити доступ за допомогою accesschk.


Дякую за метод, Томе. Але він забирає занадто багато даних, коли йдеться про зміни, внесені компанією gpedit.msc. Я думаю, що це досить інше питання, тому я відкрив нову тему тут: superuser.com/questions/946123/…
Sopalajo de Arrierez

7

Групова політика для локальної машини зберігається в реєстрі.

Кульгавий підхід для його модифікації здійснюється через командний рядок, використовуючи команду reg. Це менше, ніж практично, тому що для цього потрібні абсолютні знання про всі налаштування реєстру місцевої політики, і помилки тут можуть бути досить згубними.

Інструмент для використання натомість - PowerShell , наступник Microsoft у командному рядку.

Деякі статті, які можуть запустити вас на шляху використання командлетів PowerShell для зміни місцевої політики, містять такі:

Використовуйте Windows PowerShell для керування
груповою політикою Windows PowerShell Cmdlets для
управління груповою політикою Групова політика для ІТ-професіоналів Довідка щодо налаштувань
групової політики для
політик Windows та Windows Server


1
Настільки привабливим, як здається командлет PowerShell GroupPolicy, мабуть (і дивно), його не можна використовувати в найпростішому випадку, а саме для управління локальною машиною або користувацькими політиками на машині, що не приєднується до домену. Дійсно, у вашому першому посиланні вказано, що командлет вимагає AD, але перш ніж це помітити, я намагався змусити командлет GP працювати на автономному клієнті Windows 10 Pro та останньому PowerShell. Спочатку мене попросили, що RSAT (необхідна умова командлета GP) встановлена ​​успішно, але врешті-решт командлет ніколи не був задоволений силою даних місцевих адміністраторів.
Гленн Слейден

@GlennSlayden, чи не могли б ви розповісти більше про свою напруженість? Ви встановили RSAT, але все одно не вдалося, оскільки машина не була в домені через слабкість вашого пароля? Чому?
Suncatcher

@Suncatcher Моя найкраща здогадка - це тому, що це автономна машина без домену. Як я вже згадував, я спочатку або не помічав цієї вимоги (або, можливо, не вірив, що це буде стоп-шоупер).
Гленн Слейден


1

Можна також запустити gpedit.msc. Як у Start - r gpedit.msc Enter.


0

Ви можете обрати альтернативний WSUS для встановлення оновлення, скориставшись параметром / use_wsus інструменту командного рядка WuInstall , який змінює саме ці значення - однак після виконання WuInstall значення повертаються до старого значення


1
Я не вказував, але це корпоративне середовище, і залежності не прийнятні (тобто неінклюзивні інструменти).
Мечафлаш
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.