Thay đổi chính sách nhóm bằng windows CMD


15

Tôi muốn thay đổi cài đặt chính sách nhóm áp dụng giá trị của vị trí máy chủ WSUS của Windows Update HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUServerHKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUStatusServer.

Thay đổi chúng trực tiếp trong sổ đăng ký sẽ không ghi đè lên những gì đã được đặt trong chính sách nhóm, vì vậy tôi muốn biết, tôi có thể sử dụng lệnh nào để thay đổi đầu vào chính sách nhóm của các giá trị này?

Câu trả lời:


11

Mark Russinovich có một bài viết xuất sắc về phá vỡ các thay đổi Chính sách nhóm .

Cài đặt chính sách nhóm là một phần không thể thiếu trong mọi môi trường CNTT dựa trên Windows. Nếu bạn là quản trị viên mạng, bạn sử dụng chúng để thực thi chính sách quản lý bảo mật và máy tính để bàn của công ty và nếu bạn là người dùng, bạn gần như chắc chắn đã bị thất vọng bởi những hạn chế do các chính sách đó áp đặt. Bất kể bạn là ai, bạn nên lưu ý rằng nếu người dùng trong mạng của bạn thuộc nhóm quản trị viên cục bộ, họ có thể nhận được các chính sách bất cứ lúc nào họ muốn.

Có hai bước để phá vỡ cài đặt chính sách nhóm: xác định vị trí của cài đặt và ngăn cài đặt được áp dụng. Có nhiều tài liệu tham khảo chính sách nhóm có sẵn, nhưng vì cài đặt chính sách nhóm máy lưu trữ trong nhánh HKEY_LOCAL_MACHINE của Cửa hàng cài đặt chính sách nhóm và người dùng trong HKEY_CURRENT_USER, nếu bạn không biết vị trí của cài đặt ngăn bạn thực hiện điều gì đó bạn muốn bạn có thể sử dụng Regmon để tìm nó.

Số lượng cài đặt khóa máy tính để bàn có sẵn cho các quản trị viên chính sách nhóm là rất lớn. Chúng có thể ngăn bạn làm bất cứ điều gì từ thay đổi giao diện máy tính để bàn của bạn và bắt đầu menu để chạy các ứng dụng nhất định. Hai cài đặt thường được áp dụng bao gồm chương trình bảo vệ màn hình được cấu hình sẵn để người dùng không lãng phí tài nguyên cho các trình bảo vệ màn hình phù phiếm và thời gian chờ bảo vệ màn hình để các hệ thống không thể truy cập vô thời hạn khi người dùng rời khỏi. Khi các cài đặt này có hiệu lực, Windows sẽ bỏ qua tab trình bảo vệ màn hình của applet bảng điều khiển thuộc tính hiển thị hoặc không cho phép bạn sửa đổi trình bảo vệ màn hình hoặc thời gian chờ của nó. Tôi sẽ chỉ cho bạn cách sử dụng sức mạnh của việc trở thành quản trị viên cục bộ và Regmon để theo dõi các cài đặt này và ghi đè chúng trên hệ thống của riêng bạn.

Trong khi nó đi vào Trình giám sát sổ đăng ký, Trình giám sát quy trình cũng tồn tại những ngày này kết hợp một số công cụ giám sát thành một. Nó cho phép bạn tìm các khóa registry đang được sửa đổi. Chỉ cần chuyển đến các khóa đăng ký có liên quan và thay đổi quyền của họ để chúng không thể được cập nhật nữa ...

Kiểm tra những gì bạn có thể làm với reglệnh; bạn có thể xác minh quyền truy cập với accesschk.


Cảm ơn về phương pháp, Tom. Nhưng nó thu thập quá nhiều dữ liệu khi xử lý các thay đổi được thực hiện bởi gpedit.msc. Tôi nghĩ rằng đây là thay vì một câu hỏi khác nhau, vì vậy tôi đã mở một chủ đề mới tại đây: superuser.com/questions/946123/...
Sopalajo de Arrierez

7

Chính sách nhóm cho máy cục bộ được lưu trữ trong sổ đăng ký.

Cách tiếp cận khập khiễng để sửa đổi nó, là thông qua Dấu nhắc lệnh bằng cách sử dụng lệnh reg. Điều này ít hơn thực tế vì nó đòi hỏi kiến ​​thức tuyệt đối về từng cài đặt đăng ký chính sách địa phương và các lỗi ở đây có thể khá tai hại.

Công cụ để sử dụng thay thế là PowerShell , người kế nhiệm của Microsoft cho Dấu nhắc lệnh.

Một số bài viết có thể giúp bạn bắt đầu sử dụng các lệnh ghép ngắn PowerShell để thay đổi chính sách cục bộ là:

Sử dụng Windows PowerShell để quản lý chính sách nhóm
Windows PowerShell Cmdlets cho chính sách
nhóm Quản lý chính sách nhóm cho chuyên gia CNTT
Chính sách
nhóm Cài đặt chính sách nhóm Tham khảo cho Windows và Windows Server


1
Có vẻ hấp dẫn như lệnh ghép ngắn PowerShell GroupPolicy dường như (và đáng ngạc nhiên), nó không thể được sử dụng trong trường hợp đơn giản nhất, cụ thể là, để quản lý chính sách máy hoặc chính sách cục bộ trên máy không tham gia miền. Thật vậy, liên kết đầu tiên của bạn nói rằng cmdlet yêu cầu AD, nhưng trước khi nhận thấy điều này, tôi đã đấu tranh để có được lệnh ghép ngắn GP hoạt động trên máy khách Windows 10 Pro độc lập và PowerShell mới nhất. Lúc đầu, tôi được khuyến khích rằng RSAT (điều kiện tiên quyết của lệnh ghép ngắn GP) đã được cài đặt thành công, nhưng cuối cùng, lệnh ghép ngắn không bao giờ hài lòng với sức mạnh của thông tin quản trị viên cục bộ.
Glenn Slayden

@GlennSlayden, bạn có thể vui lòng cho biết thêm về căng thẳng của bạn? Bạn đã cài đặt RSAT nhưng dù sao cũng thất bại vì máy của bạn không thuộc miền, vì mật khẩu của bạn yếu? Tại sao?
Suncatcher

@Suncatcher Dự đoán tốt nhất của tôi là bởi vì đó là một máy độc lập không có tên miền. Như tôi đã đề cập, ban đầu tôi không nhận thấy yêu cầu này (hoặc có lẽ không tin rằng nó sẽ là một showstopper).
Glenn Slayden


1

Hoặc bạn có thể chạy gpedit.msc. Như trong Start - r gpedit.msc Enter.


0

Bạn có thể chọn một WSUS thay thế để cài đặt bản cập nhật bằng cách sử dụng tùy chọn / use_wsus của công cụ dòng lệnh WuInstall , thay đổi chính xác các giá trị đó - tuy nhiên, sau khi thực hiện WuInstall, các giá trị được thay đổi trở lại giá trị cũ


1
Tôi đã không chỉ định, nhưng đây là một môi trường doanh nghiệp và các phụ thuộc không được chấp nhận (ví dụ: các công cụ không bao gồm).
Mechaflash
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.