Board logo

标题: [系统相关] 批处理如何设置组策略中本地安全设置? [打印本页]
作者: lxzzr    时间: 2010-4-7 22:29     标题: 批处理如何设置组策略中本地安全设置?

批处理如何设置组策略中本地安全设置(鉴于最后的思考题本人有点疑问,暂时此贴发到这个版快)

鉴于下面两贴问题的提出,结合我自己的心得,给大家讲解下,我也不是很懂,疏漏之处难免,莫“P”
我,呵呵...
[1] 批处理怎样实现组策略用户权力指派对应注册表项修改
http://www.bathome.net/thread-7517-1-1.html

[2] 批处理修改组策略或注册表给guest用户限权允许远程关机
http://www.bathome.net/viewthread.php?tid=4498&highlight=%B9%D8%BB%FA
以下的测试只是在XP系统环境,只针对本地安全设置而言,其他的系统没试过,不敢妄言...
系统组策略一是保存在注册表内,另外就是保存在C:\WINDOWS\inf文件内的“管理模板”:*.adm文件
如IP 安全策略和软件限制策略就是保存在注册表内,路径:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\

用批处理修改注册表,比较容易,如:REG命令等;
如何修改那些所谓的“管理模板”文件呢?可以用secedit命令配合INF文件来达到我们的目的,INF文件
的格式和secedit命令具体用法就不多说了,请参考:secedit /?,和百度。

看例子:
1:给guest用户限权允许远程关机
  1.  

  2. @echo off

  3. (echo [Unicode]

  4. echo Unicode=yes

  5. echo [Version]

  6. echo signature="$CHICAGO$"

  7. echo Revision=1 

  8. echo [Privilege Rights]

  9. echo seremoteshutdownprivilege = Guest,Administrators)>>sec.inf

  10. secedit /configure /db sec.sdb /cfg sec.inf /log sec.log /quiet

  11. del sec.*

  12. echo 修改成功.

  13. pause>nul
复制代码
解释:2-8行生成INF文件,9行用secedit命令导入组策略

举一反三,看例2
2:给users组的用户装载和卸载设备驱动程序限权
  1. @echo off

  2. (echo [Unicode]

  3. echo Unicode=yes

  4. echo [Version]

  5. echo signature="$CHICAGO$"

  6. echo Revision=1 

  7. echo [Privilege Rights]

  8. echo seloaddriverprivilege = users,Administrators)>>sec.inf

  9. secedit /configure /db sec.sdb /cfg sec.inf /log sec.log /quiet

  10. del sec.*

  11. echo 修改成功.

  12. pause>nul
复制代码
一样的,:2-8行生成INF文件,9行用secedit命令导入组策略,不同的地方是第8行!

可能有人要问:
我要给“给users组的用户装载和卸载设备驱动程序的限权”,可我怎么知道是“seloaddriverprivilege
”呢?
我当初也很疑惑,经过搜索,发现秘密在C:\WINDOWS\security\templates的setup security.inf文件里
,这个文件有你想要的“字符串”
比如“从远打系统强制关机”对应的字符串是“seremoteshutdownprivilege”替换一下就可以了

注意,等号后面的Users等可以用相应的SID来表示,SID前记得加“*”

通过以上的几个例子,相信你如果要用批处理来修改组策略中本地安全设置不是一件难事了



思考题:
用批处理例出组策略中本地安全设置里的用户权利指派中的拒绝从网络访问这台计算机的所有用户,<不一定要用secedit 命令哦,当然,方法不限>
作者: spfnug    时间: 2010-4-8 14:51

醍醐灌顶啊!!!

正解了我用批处理修改组策略的疑惑......
作者: widgetom    时间: 2014-12-29 19:31

请问软件限制策略该如何做呢??? 用reg方式也导入到该位置了
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\

批处理也跟着强制刷新组策略的命令了,
gpupdate /force
RunDll32.exe USER32.DLL,UpdatePerUserSystemParameters

但是用gpedit打开,重启了也还是一样没有添加进去, 请教该怎么办呢??  注册表路径绝对没问题 是参照其他机器上相应位置导出的.
作者: wnsdt    时间: 2016-12-12 13:22

本帖最后由 wnsdt 于 2016-12-12 14:16 编辑

回复 1# lxzzr


   估计楼主的意思是先用secedit导出默认的组策略内容(inf),然后查看,楼主提到的这个文件夹默认是没inf文件的,
其次,即使导出了inf,也都是英文没法直接找到你想修改的那一项,建议修改前后分别导出两个inf,然后用文本比较软件如,beyondcompare比较内容差别就能知道对应是哪一行了。



欢迎光临 批处理之家 (http://bbs.bathome.net/) Powered by Discuz! 7.2