使用腳本編輯本地組策略 Windows Server 2012
我正在強化 Windows Server 2012 R2 機器以提供安全網頁,並遵循列出多個本地組策略設置和系統資料庫設置的指南。
在研究如何自動化此過程時,我只能找到使用 Powershell 導出和導入組策略的方法,如下所示: https ://technet.microsoft.com/en-us/library/ee461027.aspx
此伺服器電腦未加入域,也未安裝組策略管理控制台。不幸的是,我還沒有找到使用自動方法(腳本、程式碼)來更改本地組策略設置的資源,例如:
本地組策略編輯器 -> 電腦配置 -> Windows 設置 -> 安全設置 -> 高級審核策略配置 -> 系統審核策略 -> 全域對象訪問審核 -> 定義此策略 -> 配置
本地組策略編輯器 -> 電腦配置 -> Windows 設置 -> 安全設置 -> 本地策略 -> 安全選項 -> 網路訪問:不允許匿名列舉 SAM 帳戶和共享
我的最終目標是創建一個程序或腳本,可以在伺服器機器上設置大約 100 個不同的系統資料庫設置和本地組策略設置,以便將其鎖定。避免手動配置每一個。
我已經能夠研究並找到我在這個目標上需要的東西!我從中找到最佳方向的資源如下:
http://www.itninja.com/blog/view/using-secedit-to-apply-security-templates
本地組策略設置和安全設置可以通過幾個步驟進行傳輸:
1.安全設置:
右鍵點擊本地組策略編輯器中的安全設置(編輯組策略)並選擇導出策略… 保存 .inf 文件並傳輸到您希望使用相同設置的機器。在新機器上,打開命令提示符並使用 secedit 命令
secedit /configure /db c:\windows\security\local.sdb /cfg {.\path\to.inf}
查看任何返回的錯誤,我正在處理試圖設置新機器上不存在的權限的使用者帳戶。
2. 本地組策略的其餘部分
找到 %systemroot%\system32\grouppolicy\ 隱藏文件夾並將子文件夾複製到目標電腦的同一位置。
打開命令提示符並使用
gpupdate / 強制
3. 遺骸
對於雜項,我可以使用 powershell 命令添加或編輯系統資料庫項:
添加:
New-Item -Path HKCU:\Software -Name hsg –Force
編輯:
PS C:> 推送位置
PS C:> 設置位置 HKCU:\Software\hsg
PS HKCU:\Software\hsg> Set-ItemProperty 。新屬性“mynewvalue”