Come posso modificare la politica di sicurezza locale da un file batch?

10

Sto cercando di scrivere un'utilità come file batch che, tra le altre cose, aggiunge un utente alla politica di sicurezza locale "Nega accesso locale". Questo file batch verrà utilizzato su centinaia di computer indipendenti (non su un dominio e non sono nemmeno sulla stessa rete).

Ho pensato che una delle seguenti opzioni fosse la mia, ma forse ce n'è una a cui non ho pensato.

  1. Un'utilità della riga di comando simile alla net.exequale può modificare la politica di sicurezza locale.

  2. Un esempio VBScript per fare lo stesso.

  3. Scrivi il mio usando alcune chiamate WMI o Win32. Preferirei non farlo se non dovessi.

windows  group-policy  batch-file  vbscript  security 
Stephen Jennings
fonte

Risposte:

6

È possibile utilizzare l' ntrightsutilità per modificare i privilegi dell'account.

Il diritto dell'utente "SeDenyInteractiveLogonRight" è ciò che si desidera modificare, probabilmente come parte dell'accesso al computer.

Il comando seguente negherebbe l'accesso interattivo a jscott:

ntrights -u jscott +r SeDenyInteractiveLogonRight

http://support.microsoft.com/kb/315276

http://ss64.com/nt/ntrights.html

jscott
fonte
A-ha, questo funziona per quello che mi serve. Grazie!
Stephen Jennings,
Aiuta a riportare "Accesso come servizio" cancellato accidentalmente fino a "tutti i servizi"! ntrights -u "NT SERVICE\ALL SERVICES" +r SeServiceLogonRight
klaus triendl,
2

Ho cercato troppo a lungo. Ho capito la risposta!

Per verificare lo stato corrente:

auditpol /get /subcategory:"Process Creation"

Questa riga successiva farà il cambiamento. Imposta la creazione del processo su Abilitato.

auditpol /set /subcategory:"Process Creation"

Controlla di nuovo lo stato e vedrai il cambiamento.

In alternativa, è possibile modificare tutte le politiche di "tracciamento dei dettagli", in quanto la "creazione del processo" è una sottocategoria di "tracciamento dei dettagli". Come questo:

auditpol /set /category:"Detailed Tracking"
OatBoat
fonte
1

potresti esportare un modello usando la GUI

apportare le modifiche desiderate sul PC di riferimento,

SECPOL.MSC> Azioni> Politica di esportazione> secpol.inf

quindi utilizzare

SECEDIT.exe /IMPORT

avvolgilo nel tuo linguaggio di scripting preferito (Batch, PS, VBScript)

e sovrascriverà la politica corrente

l'unica preoccupazione sarebbe se ci fossero problemi con la sovrascrittura della politica attuale

Non l'ho mai fatto con la politica di sicurezza, ma prima con i profili di alimentazione e il processo sembra quasi identico, simile al comando NET.exe.

Matt Hamende
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.