Wie kann ich lokale Sicherheitsrichtlinien aus einer Batchdatei bearbeiten?

10

Ich versuche, ein Dienstprogramm als Batch-Datei zu schreiben, das unter anderem einen Benutzer zur lokalen Sicherheitsrichtlinie "Anmeldung lokal verweigern" hinzufügt. Diese Batchdatei wird auf Hunderten von unabhängigen Computern verwendet (nicht in einer Domäne und nicht einmal im selben Netzwerk).

Ich nahm an, dass eine der folgenden Optionen meine Optionen waren, aber vielleicht gibt es eine, an die ich nicht gedacht habe.

  1. Ein ähnliches Befehlszeilenprogramm, mit net.exedem lokale Sicherheitsrichtlinien geändert werden können.

  2. Ein VBScript-Beispiel, um dasselbe zu tun.

  3. Schreiben Sie meine eigenen mit einigen WMI- oder Win32-Aufrufen. Ich würde das lieber nicht machen, wenn ich nicht muss.

windows  group-policy  batch-file  vbscript  security 
Stephen Jennings
quelle

Antworten:

5

Mit dem ntrightsDienstprogramm können Sie Kontoberechtigungen bearbeiten.

Das Benutzerrecht "SeDenyInteractiveLogonRight" möchten Sie bearbeiten, wahrscheinlich als Teil der Anmeldung des Computers.

Der folgende Befehl würde die interaktive Anmeldung bei jscott verweigern:

ntrights -u jscott +r SeDenyInteractiveLogonRight

http://support.microsoft.com/kb/315276

http://ss64.com/nt/ntrights.html

jscott
quelle
A-ha, das funktioniert für das, was ich brauche. Vielen Dank!
Stephen Jennings
2

Ich habe auch so lange gesucht. Ich habe die Antwort herausgefunden!

So überprüfen Sie den aktuellen Status:

auditpol /get /subcategory:"Process Creation"

Diese nächste Zeile nimmt die Änderung vor. Dadurch wird die Prozesserstellung auf Aktiviert gesetzt.

auditpol /set /subcategory:"Process Creation"

Überprüfen Sie den Status erneut und Sie werden die Änderung sehen.

Alternativ können Sie alle Richtlinien zur "Detailverfolgung" ändern, da "Prozesserstellung" eine Unterkategorie der "Detailverfolgung" ist. So was:

auditpol /set /category:"Detailed Tracking"
Haferboot
quelle
1

Sie können eine Vorlage über die GUI exportieren

gewünschte Änderungen am Referenz-PC vornehmen,

SECPOL.MSC> Aktionen> Exportrichtlinie> secpol.inf

dann benutze

SECEDIT.exe /IMPORT

Wickeln Sie es in Ihre bevorzugte Skriptsprache (Batch, PS, VBScript).

und es wird die aktuelle Richtlinie überschreiben

Die einzige Sorge wäre, wenn es Probleme beim Überschreiben der aktuellen Richtlinie gibt

Ich habe es noch nie mit Sicherheitsrichtlinien gemacht, aber zuvor mit Energieprofilen, und der Prozess sieht fast identisch aus, ähnlich dem Befehl NET.exe.

Matt Hamende
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.