Как я могу редактировать локальную политику безопасности из командного файла?
Я пытаюсь написать утилиту в виде командного файла, которая, помимо прочего, добавляет пользователя в локальную политику безопасности "Запретить локальный вход в систему". Этот пакетный файл будет использоваться на сотнях независимых компьютеров (не в домене и даже не в одной сети).
Я предположил, что одним из следующих вариантов были мои варианты, но, возможно, есть один, о котором я не думал.
Утилита командной строки, похожая на
net.exeкоторый может изменить локальную политику безопасности.Образец VBScript, чтобы сделать то же самое.
Напишите мой собственный, используя некоторые вызовы WMI или Win32. Я бы предпочел не делать этого, если мне не нужно.
3 ответа
Вы можете использовать ntrights Утилита для редактирования учетных записей.
Право пользователя "SeDenyInteractiveLogonRight" - это то, что вы хотите отредактировать, вероятно, как часть входа в систему компьютера.
Следующая команда запретит jscott интерактивный вход в систему:
ntrights -u jscott +r SeDenyInteractiveLogonRight
Я тоже так долго искал. Я разобрался с ответом!
Чтобы проверить текущее состояние:
auditpol /get /subcategory:"Process Creation"
Следующая строка внесет изменения. Это установит процесс создания на Включено.
auditpol /set /subcategory:"Process Creation"
Проверьте состояние еще раз, и вы увидите изменения.
В качестве альтернативы вы можете изменить все политики "подробного отслеживания", поскольку "создание процесса" является подкатегорией "подробного отслеживания". Как это:
auditpol /set /category:"Detailed Tracking"
Вы можете экспортировать шаблон с помощью графического интерфейса
внести желаемые изменения на эталонный ПК,
SECPOL.MSC> Действия> Политика экспорта> secpol.inf
затем используйте
SECEDIT.exe /IMPORT
оберните его на свой любимый язык сценариев (Batch, PS, VBScript)
и это перезапишет текущую политику
единственное беспокойство будет, если есть проблемы с перезаписью текущей политики
Я никогда не делал этого с политикой безопасности, но раньше имел дело с профилями электропитания, и процесс выглядит почти идентично, аналогично команде NET.exe.