Powershell
更改帳戶的組策略設置?
我想知道是否有一種方法可以在不使用 GUI 工具(GPMC 或 GPO 編輯器 MMC 管理單元)的情況下更改帳戶的組策略設置。換句話說,我可以通過系統資料庫更改或使用 PowerShell 之類的工具來更改這些設置嗎?這個想法是自動執行此操作,以便它可以快速應用於多個伺服器,而無需啟動 GUI。
我感興趣的關鍵值是:
- 本地登錄
- 作為服務登錄
SECEDIT 是您想要做的事情的朋友。查看該工具的幫助。基本上,您將要建構一個包含您要查找的設置的模板。然後,您將該模板應用於您希望更改這些設置的電腦。
- 打開一個空的 Microsoft 管理控制台。使用文件/添加/刪除管理單元添加“安全模板”管理單元。
- 打開“Security Templates”節點和下面的下一個節點(通常是“C:\WINDOWS\security\templates”)。
- 右鍵點擊“C:\WINDOWS\security\templates”節點並選擇“新建模板”。命名新模板並根據需要設置描述。
- 展開新模板。根據需要設置各種設置。
您創建的安全策略預設儲存在“C:\WINDOWS\security\templates”目錄中,以您選擇的任何名稱和“.INF”副檔名命名。將此文件複製到要應用設置的電腦。
在要應用設置的機器上,從“.INF”安全模板文件所在的目錄執行以下命令:
SECEDIT /configure /db secedit.sdb /cfg <path and filename of INF file>
這會將安全模板應用到本地安全數據庫。您可以通過檢查本地安全策略來驗證“之前和之後”。(確保在 INF 文件的應用程序之間關閉/重新打開本地安全策略管理工具,因為,AFAIK,這些工具不會動態刷新自身。)