Как я могу редактировать локальную политику безопасности из командного файла?

10

Я пытаюсь написать утилиту в виде командного файла, которая, помимо прочего, добавляет пользователя в локальную политику безопасности «Запретить локальный вход в систему». Этот пакетный файл будет использоваться на сотнях независимых компьютеров (не в домене и даже не в одной сети).

Я предположил, что одним из следующих вариантов были мои варианты, но, возможно, есть один, о котором я не думал.

  1. Утилита командной строки, подобная net.exeкоторой, может изменять локальную политику безопасности.

  2. Образец VBScript, чтобы сделать то же самое.

  3. Напишите мой собственный, используя некоторые вызовы WMI или Win32. Я бы предпочел не делать этого, если мне не нужно.

windows  group-policy  batch-file  vbscript  security 
Стивен Дженнингс
источник

Ответы:

6

Вы можете использовать ntrightsутилиту для редактирования прав учетной записи.

Право пользователя "SeDenyInteractiveLogonRight" - это то, что вы хотите отредактировать, вероятно, как часть входа в систему компьютера.

Следующая команда запретит jscott интерактивный вход в систему:

ntrights -u jscott +r SeDenyInteractiveLogonRight

http://support.microsoft.com/kb/315276

http://ss64.com/nt/ntrights.html

jscott
источник
Ага, это работает для того, что мне нужно. Спасибо!
Стивен Дженнингс
Помогает вернуть случайно удаленное «Войти как сервис» право на «все сервисы»! ntrights -u "NT SERVICE\ALL SERVICES" +r SeServiceLogonRight
Клаус Триендл
2

Я тоже так долго искал. Я разобрался с ответом!

Чтобы проверить текущее состояние:

auditpol /get /subcategory:"Process Creation"

Следующая строка внесет изменения. Это установит процесс создания на Включено.

auditpol /set /subcategory:"Process Creation"

Проверьте состояние еще раз, и вы увидите изменения.

В качестве альтернативы вы можете изменить все политики «подробного отслеживания», поскольку «создание процесса» является подкатегорией «подробного отслеживания». Как это:

auditpol /set /category:"Detailed Tracking"
OatBoat
источник
1

Вы можете экспортировать шаблон с помощью графического интерфейса

внести желаемые изменения на эталонный ПК,

SECPOL.MSC> Действия> Политика экспорта> secpol.inf

затем используйте

SECEDIT.exe /IMPORT

оберните его на свой любимый язык сценариев (Batch, PS, VBScript)

и это перезапишет текущую политику

единственное беспокойство будет, если есть проблемы с перезаписью текущей политики

Я никогда не делал этого с политикой безопасности, но раньше имел дело с профилями электропитания, и процесс выглядит почти идентично, аналогично команде NET.exe.

Мэтт Хаменде
источник
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.