如何从批处理文件编辑本地安全策略?

10

我试图将实用程序编写为批处理文件,除其他外,将用户添加到“本地拒绝登录”本地安全策略中。该批处理文件将在数百台独立的计算机上使用(不在域中,甚至不在同一网络上)。

我假设以下选项之一是我的选择,但也许有一个我没有想到的选项。

  1. 与之类似的命令行实用程序net.exe可以修改本地安全策略。

  2. 一个VBScript示例执行相同的操作。

  3. 使用一些WMI或Win32调用编写我自己的代码。如果不需要,我宁愿不这样做。

windows  group-policy  batch-file  vbscript  security 
史蒂芬·詹宁斯
source

Answers:

6

您可以使用该ntrights实用程序来编辑帐户特权。

用户权限“ SeDenyInteractiveLogonRight”是您想要编辑的,可能是计算机登录的一部分。

以下命令将拒绝jscott交互式登录:

ntrights -u jscott +r SeDenyInteractiveLogonRight

http://support.microsoft.com/kb/315276

http://ss64.com/nt/ntrights.html

斯科特
source
哈,这符合我的需求。谢谢!
史蒂芬·詹宁斯
帮助将意外删除的“作为服务登录”权限带回“所有服务”!ntrights -u "NT SERVICE\ALL SERVICES" +r SeServiceLogonRight
klaus triendl
2

我也找了很久 我想出了答案!

要检查当前状态:

auditpol /get /subcategory:"Process Creation"

下一行将进行更改。它将过程创建设置为“已启用”。

auditpol /set /subcategory:"Process Creation"

再次检查状态,您将看到更改。

另外,您可以更改所有“详细信息跟踪”策略,因为“流程创建”是“详细信息跟踪”的子类别。像这样:

auditpol /set /category:"Detailed Tracking"
燕麦船
source
1

您可以使用GUI导出模板

在参考PC上进行所需的更改,

SECPOL.MSC>操作>导出策略> secpol.inf

然后使用

SECEDIT.exe /IMPORT

用您喜欢的脚本语言(批处理,PS,VBScript)包装它

它将覆盖当前政策

唯一担心的是是否存在覆盖当前政策的问题

我从未使用安全策略来做到这一点,但是之前使用过电源配置文件,并且该过程看起来几乎相同,类似于NET.exe命令。

马特·哈曼德(Matt Hamende)
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.