Добавить групповую политику по сценарию
Я пытаюсь упростить добавление сценария LogOff в групповую политику, и мне трудно найти какую-либо информацию о добавлении групповой политики через сценарий.
У меня уже есть скрипт, который я хочу запустить при выходе из системы, я знаю, как запускать скрипты через групповую политику. Я хочу знать, может ли сама групповая политика управляться сценарием.
У меня нет доступа для изменения групповой политики для домена или даже для моего подразделения, однако я могу добавить записи в политику локального компьютера.
Я пытался изолировать записи реестра, созданные и измененные при добавлении сценария групповой политики, но быстро обнаружил, что это затрудняет его сложность и сложность. Возможно, я неправильно прочитал сравнение, но в одном изменении групповой политики, похоже, произошли некоторые изменения.
Так что я вернулся к написанию сценариев. Можно ли с помощью сценария использовать VBScript или Batch добавить запись в "Политика локального компьютера \ Конфигурация пользователя \ Сценарии \ Выход из системы"?
ОБНОВЛЕНИЕ: Любые советы о том, как лучше изолировать изменения реестра, сделанные во время смены GP, будут приветствоваться, если это единственный (или лучший) способ.
2 ответа
Я не знаю API, позволяющего автоматически вносить изменения в объект локальной групповой политики в Windows XP (в новых версиях Windows он называется "Локальная групповая политика").
У меня был некоторый успех, вручную копируя содержимое папки%SystemRoot%\System32\GroupPolicy между компьютерами. Пока у вас нет машинно-зависимых записей (ссылающихся на SID машины), это должно быть возможно. Однако это никоим образом не будет "поддерживаться" Microsoft, и, если он сломается, вы сохраните его.
Вот пример сценария, который изменяет локальную групповую политику, на которую вы также можете посмотреть. Он не использует какие-либо "поддерживаемые" API - он просто стучит по файлу GPT.INI. Это может работать, но определенно "не поддерживается".
Исходя из вашего комментария к @Zoredache, я думаю, что вам лучше делать это вручную на нескольких компьютерах, а не пытаться записать это на кучу компьютеров. Вы в конечном итоге сделаете человека или отдел, который обрабатывает групповую политику домена, очень несчастным, если ему придется отменить кучу локальных изменений на клиентских компьютерах (отменить их так же сложно, как и в первую очередь).,
Я человек, который написал сценарий, на который есть ссылка в вашем ответе, и просто хотел уточнить, что, хотя было высказано предположение, что он не поддерживается, и что он "просто стучит по файлу GPT.INI", он делает именно то, что делает ручное изменение. Вы можете доказать это, просто внеся изменения вручную и проследив за тем, что они делают. В сценарии также есть много заметок из исследований, которые я проводил в то время.
В качестве альтернативы посмотрите на развертывание инструмента командной строки "LocalGPO", который поставляется с новым диспетчером соответствия требованиям безопасности Microsoft v2: http://blogs.technet.com/b/secguide/archive/2011/06/27/scm-v2-beta-new-baselines-available-to-download.aspx http://www.grouppolicy.biz/2011/03/introducing-microsoft-security-compliance-manager-v2/
Надеюсь, это поможет.
Ура, Джереми.