Изменить групповую политику с помощью Windows CMD


15

Я хочу изменить настройки групповой политики , которая применяется значение локального сервера обновления Windows WSUS HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUServerи HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUStatusServer.

Изменение их непосредственно в реестре не перезапишет то, что было установлено в групповой политике, поэтому я хотел бы знать, какие команды можно использовать для изменения ввода этих значений групповой политикой?

Ответы:


11

У Марка Руссиновича отличная статья об обходе изменений в групповой политике .

Параметры групповой политики являются неотъемлемой частью любой ИТ-среды на базе Windows. Если вы являетесь сетевым администратором, вы используете их для обеспечения корпоративной политики безопасности и управления настольными системами, и если вы являетесь пользователем, вы почти наверняка были разочарованы ограничениями, налагаемыми этими политиками. Независимо от того, кем вы являетесь, вы должны знать, что если пользователи вашей сети входят в группу локальных администраторов, они могут обойти политики в любое время, когда захотят.

Существует два шага для обхода параметра групповой политики: определение местоположения параметра и предотвращение его применения. Доступно много ссылок на групповые политики, но поскольку параметры групповой политики компьютера хранятся в ветви HKEY_LOCAL_MACHINE реестра, а параметры групповой политики для каждого пользователя - в HKEY_CURRENT_USER, если вы не знаете расположение параметра, которое мешает вам что-либо делать Вы можете использовать Regmon, чтобы найти его.

Количество параметров блокировки рабочего стола, доступных администраторам групповой политики, огромно. Они могут помешать вам сделать что-либо от изменения внешнего вида рабочего стола и меню «Пуск» до запуска определенных приложений. Два обычно применяемых параметра включают предварительно сконфигурированную программу-заставку, чтобы пользователи не тратили ресурсы на необоснованные заставки, и время ожидания заставки, чтобы системы не оставались бесконечно доступными, когда пользователь отходит. Когда эти настройки вступают в силу, Windows пропускает вкладку заставки апплета панели управления свойствами экрана или не позволяет изменять заставку или время ожидания. Я собираюсь показать вам, как использовать возможности локального администратора и Regmon для отслеживания этих настроек и переопределения их в вашей собственной системе.

Хотя он входит в Монитор реестра, в эти дни также существует Process Monitor, который объединяет несколько инструментов мониторинга в одно. Это позволяет вам найти ключи реестра, которые изменяются. Просто перейдите к соответствующим разделам реестра и измените их разрешения, чтобы они больше не могли быть обновлены ...

Проверьте, что вы можете сделать с помощью regкоманды; Вы можете проверить доступ с помощью accesschk.


Спасибо за метод, Том. Но он фиксирует слишком много данных, когда имеет дело с изменениями, сделанными gpedit.msc. Я думаю, что это скорее другой вопрос, поэтому я открыл новую
ветку

7

Групповая политика для локальной машины хранится в реестре.

Хромой подход к его изменению - через командную строку с помощью команды reg. Это менее чем практично, поскольку требует абсолютного знания каждого параметра реестра локальной политики, и ошибки здесь могут быть весьма катастрофическими.

Инструмент, который следует использовать вместо этого - PowerShell , преемник Microsoft для командной строки.

Вот некоторые статьи, которые могут помочь вам перейти к использованию командлетов PowerShell для изменений локальной политики:

Использование Windows PowerShell для управления групповой политикой
Командлеты Windows PowerShell для групповой политики
Управление групповой политикой для ИТ-специалистов Справочник по параметрам
групповой политики для
групповой политики для Windows и Windows Server


1
Каким бы привлекательным ни казался командлет PowerShell GroupPolicy, очевидно (и удивительно) его нельзя использовать в простейшем случае, а именно для управления политиками локального компьютера или пользователя на компьютере, не входящем в домен. Действительно, ваша первая ссылка гласит, что для командлета требуется AD, но, прежде чем это заметить, я изо всех сил пытался заставить командлет GP работать с использованием автономного клиента Windows 10 Pro и последней версии PowerShell. Сначала я был воодушевлен тем, что RSAT (обязательное условие командлета GP) было успешно установлено, но в итоге командлет никогда не был удовлетворен силой учетных данных локального администратора.
Гленн Слэйден

@GlennSlayden, не могли бы вы рассказать подробнее о вашей напряженности? Вы установили RSAT, но все равно не смогли, потому что ваша машина не была в домене, из-за слабости вашего пароля? Почему?
Suncatcher

@Suncatcher Я думаю, это потому, что это отдельная машина без домена. Как я уже упоминал, я изначально не замечал этого требования (или, возможно, не верил, что это будет демонстрация).
Гленн Слэйден


1

В качестве альтернативы вы можете запустить gpedit.msc. Как в Start - r gpedit.msc Enter.


0

Вы можете выбрать альтернативный WSUS для установки обновления, используя параметр / use_wsus инструмента командной строки WuInstall , который изменяет именно эти значения - однако после выполнения WuInstall значения возвращаются к старому значению


1
Я не уточнил, но это корпоративная среда, и зависимости не являются приемлемыми (т.е. не включающие инструменты).
Mechaflash
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.