【已解决】win7组策略修改后如何应用到其他终端系统

cfan365

win7 组策略修改后如何应用到其他终端系统（一样的配置）里，但不允许ghost系统，只能光盘安装系统
win7 专业版 64位或者32位

需求配置：
组策略调整的位置：本地计算机策略---计算机配置---Windows设置---安全设置---本地策略

1、展开”审核策略”，将右侧所有的策略，双击打开，将”成功”和”失败”全部打上勾并确定。
2、再展开”用户权限分配”（在”审核策略”下面） ，在右侧找到”允许通过远程桌面服务登陆”将里面的用户都删除掉后并确定。

一、核对组策略修改的文件方式
我这边手动修改组策略后，对比发现

C:\Windows\System32\GroupPolicy                下的文件没有任何变化。
C:\Windows\System32\GroupPolicyUsers       下的文件没有任何变化。

C:\Windows\SysWOW64\GroupPolicy            下的文件没有任何变化。
C:\Windows\SysWOW64\GroupPolicyUsers   下的文件没有任何变化。

其他文件也看过，复制到新系统里也不行。（或者我找的还不对）

二、核对注册表修改前后对比
手动修改组策略，通过前后修改对比注册表，是有很多变化的地方，将变化后的注册表文件导出后，再导入到新系统里，组策略还是没有变化。
其次部分注册表修改后，重启电脑后又恢复初始状态了。但手动修改组策略后的注册表，重启不会变。

通过网上相关资料查看的注册项，好像不太对。


综述，请教专家们、技术大师们、技术大佬们，这个如何解决，还是说”本地策略”只针对每一个单独的系统配置吗？
或者有批处理也可以。


========解决方法如下===============
本地计算机策略---计算机配置---Windows设置---安全设置---本地策略

1、展开”审核策略”，将右侧所有的策略，双击打开，将”成功”和”失败”全部打上勾并确定。
（1）通过导出配置 auditpol  /backup /file:路径+文件名.csv，再导入配置 auditpol  /restore /file:路径+文件名.csv
或者使用导出 secedit /export /cfg c:\test1.inf  再导入secedit /configure /db temp.sdb /cfg c:\test1.inf

注：这里面的策略都可以使用这命令




2、再展开”用户权限分配”（在”审核策略”下面） ，在右侧找到”允许通过远程桌面服务登陆”将里面的用户都删除掉后并确定。
这部分参考技术专家flashercs的5楼回复

下面内容保存为AllowRemoteDesktopLogin.inf,编码是Unicode

1. [Unicode]
   
2. Unicode=yes
   
3. [Version]
   
4. signature="$CHICAGO$"
   
5. Revision=1
   
6. [Privilege Rights]
   
7. SeRemoteInteractiveLogonRight =
   
8. [Profile Description]
   
9. Description=2、再展开”用户权限分配”（在”审核策略”下面） ，在右侧找到”允许通过远程桌面服务登陆”将里面的用户都删除掉后并确定。

复制代码

下面内容保存为AllowRemoteDesktopLogin.bat

1. @echo off
   
2. secedit /configure /db "%temp%\AllowRemoteDesktopLogin.sdb" /cfg "%~dp0AllowRemoteDesktopLogin.inf" /overwrite /log "%temp%\AllowRemoteDesktopLogin.log" /quiet
   
3. del /a /f /q "%temp%\AllowRemoteDesktopLogin.*"

复制代码

上述两个文件放在同目录,以管理员身份运行AllowRemoteDesktopLogin.bat

这里面的就需要专家来处理了，像我这样的技术小白完全不会。
===============================

flashercs

应该用auditpol.exe和secedit.exe

cfan365

回复 2# flashercs


    厉害了

查阅资料，研究测试，auditpol.exe可以实现以下这部分。
通过导出配置 auditpol  /backup /file:路径+文件名.csv
再导入配置 auditpol  /restore /file:路径+文件名.csv
本地计算机策略---计算机配置---Windows设置---安全设置---本地策略
1、展开”审核策略”，将右侧所有的策略，双击打开，将”成功”和”失败”全部打上勾并确定。


但是以下这个不能实现
2、再展开”用户权限分配”（在”审核策略”下面） ，在右侧找到”允许通过远程桌面服务登陆”将里面的用户都删除掉后并确定。


哪位专家还可以帮忙再提供思路或者办法。

cfan365

回复 2# flashercs


研究并测试了下secedit

导出
secedit /export /cfg c:\test1.inf

导入
secedit /configure /db temp.sdb /cfg c:\test1.inf

重启看结果
依然是”审核策略”这里成功，没问题。

”用户权限分配”这里失败，还是不行。

flashercs

回复 4# cfan365

下面内容保存为AllowRemoteDesktopLogin.inf,编码是Unicode

1. [Unicode]
   
2. Unicode=yes
   
3. [Version]
   
4. signature="$CHICAGO$"
   
5. Revision=1
   
6. [Privilege Rights]
   
7. SeRemoteInteractiveLogonRight =
   
8. [Profile Description]
   
9. Description=2、再展开”用户权限分配”（在”审核策略”下面） ，在右侧找到”允许通过远程桌面服务登陆”将里面的用户都删除掉后并确定。
   

复制代码

下面内容保存为AllowRemoteDesktopLogin.bat

1. @echo off
   
2. secedit /configure /db "%temp%\AllowRemoteDesktopLogin.sdb" /cfg "%~dp0AllowRemoteDesktopLogin.inf" /overwrite /log "%temp%\AllowRemoteDesktopLogin.log" /quiet
   
3. del /a /f /q "%temp%\AllowRemoteDesktopLogin.*"
   

复制代码

上述两个文件放在同目录,以管理员身份运行AllowRemoteDesktopLogin.bat
审核策略 仍需要 auditpol完成.

cfan365

回复 5# flashercs


    您太厉害了
测试通过了
十分感谢您的支持

您方便的话，私信个二维码，可以给您支付一笔小小报酬。

czjt1234

回复 6# cfan365


    他的头像好象就是的吧

cfan365

回复 7# czjt1234


    还没看到，感谢提醒，已给牛人转了一个小红包。