Modifica i criteri di gruppo utilizzando Windows CMD


15

Voglio cambiare l'impostazione dei criteri di gruppo che applica il valore della posizione del server WSUS di Windows Update HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUServere HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUStatusServer.

Modificarli direttamente nel registro non sovrascriverà ciò che è stato impostato nei criteri di gruppo, quindi vorrei sapere quali comandi posso usare per modificare l'input dei criteri di gruppo di questi valori?

Risposte:


11

Mark Russinovich ha un eccellente articolo sull'elusione dei cambiamenti nelle politiche di gruppo .

Le impostazioni dei criteri di gruppo sono parte integrante di qualsiasi ambiente IT basato su Windows. Se sei un amministratore di rete, li usi per far rispettare i criteri di sicurezza aziendale e di gestione desktop e se sei un utente sei quasi certamente frustrato dalle limitazioni imposte da tali criteri. Indipendentemente da ciò che sei, dovresti essere consapevole che se gli utenti della tua rete appartengono al gruppo dell'amministratore locale, possono aggirare le politiche ogni volta che vogliono.

Esistono due passaggi per aggirare un'impostazione dei criteri di gruppo: identificare la posizione dell'impostazione e impedire che l'impostazione venga applicata. Sono disponibili molti riferimenti ai criteri di gruppo, ma poiché le impostazioni dei criteri di gruppo macchina vengono archiviate nel ramo HKEY_LOCAL_MACHINE del Registro di sistema e le impostazioni dei criteri di gruppo per utente vengono archiviate in HKEY_CURRENT_USER, se non si conosce la posizione dell'impostazione che impedisce di eseguire un'operazione vuoi che puoi usare Regmon per trovarlo.

Il numero di impostazioni di blocco del desktop disponibili per gli amministratori dei criteri di gruppo è enorme. Possono impedirti di fare qualsiasi cosa modificando l'aspetto del desktop e il menu di avvio per l'esecuzione di determinate applicazioni. Due impostazioni comunemente applicate includono un programma di screen saver preconfigurato in modo che gli utenti non sprechino risorse su screen saver frivoli e un timeout di screen saver in modo che i sistemi non vengano lasciati indefinitamente accessibili quando un utente si allontana. Quando queste impostazioni sono attive, Windows omette la scheda del salvaschermo dell'applet del pannello di controllo delle proprietà del display o non consente di modificare il salvaschermo o il relativo timeout. Ti mostrerò come usare il potere di essere un amministratore locale e Regmon per rintracciare queste impostazioni e sovrascriverle sul tuo sistema.

Mentre va nel Registry Monitor, Process Monitor esiste anche in questi giorni che combina diversi strumenti di monitoraggio in uno. Ti consente di trovare le chiavi di registro che vengono modificate. Passa semplicemente alle relative chiavi di registro e modifica le loro autorizzazioni in modo che non possano più essere aggiornate ...

Scopri cosa puoi fare con il regcomando; puoi verificare l'accesso con accesschk.


Grazie per il metodo, Tom. Ma acquisisce troppi dati quando si tratta delle modifiche apportate da gpedit.msc. Penso che questa sia una domanda piuttosto diversa, quindi ho aperto una nuova discussione qui: superuser.com/questions/946123/…
Sopalajo de Arrierez,

7

I criteri di gruppo per il computer locale sono archiviati nel registro.

L'approccio zoppo per modificarlo, è tramite il Prompt dei comandi utilizzando il comando reg. Questo è poco pratico perché richiede una conoscenza assoluta di ogni singola impostazione del registro delle politiche locali e gli errori qui possono essere abbastanza disastrosi.

Lo strumento da utilizzare invece è PowerShell , successore di Microsoft al prompt dei comandi.

Alcuni articoli che possono iniziare a utilizzare i cmdlet di PowerShell per le modifiche ai criteri locali sono:

Utilizzare Windows PowerShell per gestire i criteri di gruppo
Cmdlet di Windows PowerShell per i criteri di
gruppo Gestione dei criteri di gruppo per i professionisti IT
Criteri di gruppo Riferimento alle impostazioni dei criteri di
gruppo per Windows e Windows Server


1
Apparentemente attraente come sembra il cmdlet di PowerShell GroupPolicy, apparentemente (e sorprendentemente) non può essere utilizzato nel caso più semplice, vale a dire, per gestire i computer locali o le politiche degli utenti su un computer unito non di dominio. In effetti, il tuo primo link afferma che il cmdlet richiede AD, ma prima di accorgermene, ho faticato a far funzionare il cmdlet GP su un client Windows 10 Pro autonomo e PowerShell più recente. Inizialmente sono stato incoraggiato che RSAT (un prerequisito del cmdlet GP) sia stato installato correttamente, ma alla fine il cmdlet non è mai stato soddisfatto della forza delle credenziali dell'amministratore locale.
Glenn Slayden,

@GlennSlayden, potresti per favore dire di più sulle tue tensioni? Hai installato RSAT ma non sei riuscito perché la tua macchina non era nel dominio, a causa della debolezza della tua password? Perché?
Suncatcher,

@Suncatcher La mia ipotesi migliore è che fosse perché è una macchina autonoma senza dominio. Come ho già detto, inizialmente non avevo notato questo requisito (o forse non credevo che sarebbe stato uno spettacolo).
Glenn Slayden,


1

In alternativa puoi correre gpedit.msc. Come in Start - r gpedit.msc Enter.


0

È possibile scegliere un WSUS alternativo per l'installazione dell'aggiornamento utilizzando l'opzione / use_wsus dello strumento da riga di comando WuInstall , che modifica esattamente questi valori - tuttavia, dopo l'esecuzione di WuInstall, i valori vengono riportati al vecchio valore


1
Non ho specificato, ma si tratta di un ambiente aziendale e le dipendenze non sono accettabili (ovvero strumenti non inclusivi).
Mechaflash,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.