Powershell

更改帳戶的組策略設置?

  • February 20, 2010

我想知道是否有一種方法可以在不使用 GUI 工具(GPMC 或 GPO 編輯器 MMC 管理單元)的情況下更改帳戶的組策略設置。換句話說,我可以通過系統資料庫更改或使用 PowerShell 之類的工具來更改這些設置嗎?這個想法是自動執行此操作,以便它可以快速應用於多個伺服器,而無需啟動 GUI。

我感興趣的關鍵值是:

  • 本地登錄
  • 作為服務登錄

SECEDIT 是您想要做的事情的朋友。查看該工具的幫助。基本上,您將要建構一個包含您要查找的設置的模板。然後,您將該模板應用於您希望更改這些設置的電腦。

  • 打開一個空的 Microsoft 管理控制台。使用文件/添加/刪除管理單元添加“安全模板”管理單元。
  • 打開“Security Templates”節點和下面的下一個節點(通常是“C:\WINDOWS\security\templates”)。
  • 右鍵點擊“C:\WINDOWS\security\templates”節點並選擇“新建模板”。命名新模板並根據需要設置描述。
  • 展開新模板。根據需要設置各種設置。

您創建的安全策略預設儲存在“C:\WINDOWS\security\templates”目錄中,以您選擇的任何名稱和“.INF”副檔名命名。將此文件複製到要應用設置的電腦。

在要應用設置的機器上,從“.INF”安全模板文件所在的目錄執行以下命令:

SECEDIT /configure /db secedit.sdb /cfg <path and filename of INF file>

這會將安全模板應用到本地安全數據庫。您可以通過檢查本地安全策略來驗證“之前和之後”。(確保在 INF 文件的應用程序之間關閉/重新打開本地安全策略管理工具,因為,AFAIK,這些工具不會動態刷新自身。)

引用自:https://serverfault.com/questions/21227