Board logo

标题: [系统相关] 【已解决】win7组策略修改后如何应用到其他终端系统 [打印本页]

作者: cfan365    时间: 2024-9-16 20:28     标题: 【已解决】win7组策略修改后如何应用到其他终端系统

本帖最后由 cfan365 于 2024-9-18 17:16 编辑

win7 组策略修改后如何应用到其他终端系统(一样的配置)里,但不允许ghost系统,只能光盘安装系统
win7 专业版 64位或者32位

需求配置:
组策略调整的位置:本地计算机策略---计算机配置---Windows设置---安全设置---本地策略

1、展开”审核策略”,将右侧所有的策略,双击打开,将”成功”和”失败”全部打上勾并确定。
2、再展开”用户权限分配”(在”审核策略”下面) ,在右侧找到”允许通过远程桌面服务登陆”将里面的用户都删除掉后并确定。

一、核对组策略修改的文件方式
我这边手动修改组策略后,对比发现

C:\Windows\System32\GroupPolicy                下的文件没有任何变化。
C:\Windows\System32\GroupPolicyUsers       下的文件没有任何变化。

C:\Windows\SysWOW64\GroupPolicy            下的文件没有任何变化。
C:\Windows\SysWOW64\GroupPolicyUsers   下的文件没有任何变化。

其他文件也看过,复制到新系统里也不行。(或者我找的还不对)

二、核对注册表修改前后对比
手动修改组策略,通过前后修改对比注册表,是有很多变化的地方,将变化后的注册表文件导出后,再导入到新系统里,组策略还是没有变化。
其次部分注册表修改后,重启电脑后又恢复初始状态了。但手动修改组策略后的注册表,重启不会变。

通过网上相关资料查看的注册项,好像不太对。


综述,请教专家们、技术大师们、技术大佬们,这个如何解决,还是说”本地策略”只针对每一个单独的系统配置吗?
或者有批处理也可以。


========解决方法如下===============
本地计算机策略---计算机配置---Windows设置---安全设置---本地策略

1、展开”审核策略”,将右侧所有的策略,双击打开,将”成功”和”失败”全部打上勾并确定。
(1)通过导出配置 auditpol  /backup /file:路径+文件名.csv,再导入配置 auditpol  /restore /file:路径+文件名.csv
或者使用导出 secedit /export /cfg c:\test1.inf  再导入secedit /configure /db temp.sdb /cfg c:\test1.inf

注:这里面的策略都可以使用这命令




2、再展开”用户权限分配”(在”审核策略”下面) ,在右侧找到”允许通过远程桌面服务登陆”将里面的用户都删除掉后并确定。
这部分参考技术专家flashercs的5楼回复

下面内容保存为AllowRemoteDesktopLogin.inf,编码是Unicode
  1. [Unicode]
  2. Unicode=yes
  3. [Version]
  4. signature="$CHICAGO$"
  5. Revision=1
  6. [Privilege Rights]
  7. SeRemoteInteractiveLogonRight =
  8. [Profile Description]
  9. Description=2、再展开”用户权限分配”(在”审核策略”下面) ,在右侧找到”允许通过远程桌面服务登陆”将里面的用户都删除掉后并确定。
复制代码
下面内容保存为AllowRemoteDesktopLogin.bat
  1. @echo off
  2. secedit /configure /db "%temp%\AllowRemoteDesktopLogin.sdb" /cfg "%~dp0AllowRemoteDesktopLogin.inf" /overwrite /log "%temp%\AllowRemoteDesktopLogin.log" /quiet
  3. del /a /f /q "%temp%\AllowRemoteDesktopLogin.*"
复制代码
上述两个文件放在同目录,以管理员身份运行AllowRemoteDesktopLogin.bat

这里面的就需要专家来处理了,像我这样的技术小白完全不会。
===============================
作者: flashercs    时间: 2024-9-16 22:15

应该用auditpol.exe和secedit.exe
作者: cfan365    时间: 2024-9-18 08:50

回复 2# flashercs


    厉害了

查阅资料,研究测试,auditpol.exe可以实现以下这部分。
通过导出配置 auditpol  /backup /file:路径+文件名.csv
再导入配置 auditpol  /restore /file:路径+文件名.csv
本地计算机策略---计算机配置---Windows设置---安全设置---本地策略
1、展开”审核策略”,将右侧所有的策略,双击打开,将”成功”和”失败”全部打上勾并确定。


但是以下这个不能实现
2、再展开”用户权限分配”(在”审核策略”下面) ,在右侧找到”允许通过远程桌面服务登陆”将里面的用户都删除掉后并确定。


哪位专家还可以帮忙再提供思路或者办法。
作者: cfan365    时间: 2024-9-18 14:55

回复 2# flashercs


研究并测试了下secedit

导出
secedit /export /cfg c:\test1.inf

导入
secedit /configure /db temp.sdb /cfg c:\test1.inf

重启看结果
依然是”审核策略”这里成功,没问题。

”用户权限分配”这里失败,还是不行。
作者: flashercs    时间: 2024-9-18 16:00

回复 4# cfan365

下面内容保存为AllowRemoteDesktopLogin.inf,编码是Unicode
  1. [Unicode]
  2. Unicode=yes
  3. [Version]
  4. signature="$CHICAGO$"
  5. Revision=1
  6. [Privilege Rights]
  7. SeRemoteInteractiveLogonRight =
  8. [Profile Description]
  9. Description=2、再展开”用户权限分配”(在”审核策略”下面) ,在右侧找到”允许通过远程桌面服务登陆”将里面的用户都删除掉后并确定。
复制代码
下面内容保存为AllowRemoteDesktopLogin.bat
  1. @echo off
  2. secedit /configure /db "%temp%\AllowRemoteDesktopLogin.sdb" /cfg "%~dp0AllowRemoteDesktopLogin.inf" /overwrite /log "%temp%\AllowRemoteDesktopLogin.log" /quiet
  3. del /a /f /q "%temp%\AllowRemoteDesktopLogin.*"
复制代码
上述两个文件放在同目录,以管理员身份运行AllowRemoteDesktopLogin.bat
审核策略 仍需要 auditpol完成.
作者: cfan365    时间: 2024-9-18 16:25

回复 5# flashercs


    您太厉害了
测试通过了
十分感谢您的支持

您方便的话,私信个二维码,可以给您支付一笔小小报酬。
作者: czjt1234    时间: 2024-9-18 16:35

回复 6# cfan365


    他的头像好象就是的吧
作者: cfan365    时间: 2024-9-18 17:08

回复 7# czjt1234


    还没看到,感谢提醒,已给牛人转了一个小红包。




欢迎光临 批处理之家 (http://bbs.bathome.net/) Powered by Discuz! 7.2