有什麼方法可以通過 GPO 限制對 Hyper-V 管理員管理單元的訪問？

帶有 Windows 10 Pro 客戶端的 Windows Server 2012 R2 域。

我在 GPO 下閒逛

User Configuration -> Policies -> Administrative Templates -> Windows Components -> Microsoft Management Console -> Restricted/Permitted snap-ins

看起來是一個完美的地方，但它不是

我可以手動添加它嗎？

如果啟用該 GPO 部分中的任何設置，您可以編輯管理模板文件"C:\Windows\PolicyDefinitions\MMCSnapins.admx"並查看更改的內容。它會告訴你它正在使用管理單元的 ID 和Restrict_Run值為1.

1. Google“mmc 管理單元系統資料庫位置”
2. 打開 regedit 並轉到 HKEY_LOCAL_MACHINE\Software\Microsoft\MMC\Snapins
3. 安裝 Hyper-V 管理工具並在此位置檢查新管理單元的 ID
4. 如果已安裝管理單元，只需瀏覽密鑰並找到相關管理單元及其 ID

現在您知道了管理單元的 ID，您需要在 GPO 中使用它。有幾種方法可以做到這一點。

您可以編輯之前使用的管理模板文件 ( "C:\Windows\PolicyDefinitions\MMCSnapins.admx")，並使用 Hyper-V 管理單元的 ID 添加新的策略部分，或者，您可以使用 admx 文件查看更改組策略設置和部署時系統資料庫中的修改內容使用 GP 首選項進行正確設置。

相反，我只是使用 gpedit.msc 更改了其中一項設置，"C:\Windows\System32\GroupPolicy\User\Registry.pol"在記事本中打開以查看更改的內容，打開 regedit 並添加具有管理單元 ID 和值的新鍵。

在測試它是否有效後，您可以將其導出並使用 GP 首選項進行部署。

SOFTWARE\Policies\Microsoft\MMC\FX:{922180d7-b74e-45f6-8c74-4b560cc100a5}
"Restrict_Run"=dword:00000001

引用自：https://serverfault.com/questions/799634