这个问题在这里已有答案:
我需要做的是在不同的机器上修改本地组策略和本地安全策略 . 每个项目修改它们都非常不方便,所以我想找出可以通过编程修改它们的方法 . 我在website尝试过这种方式,但是没有用 . 我需要修改的内容如下所示:
1.启动本地/组策略编辑器 .
- 关闭时禁用Windows更新选项转到计算机配置 - >管理模板 - > Windows组件 - > Windows更新,然后双击Windows更新 .
将"Do not display 'Install Updates and Shut Down'"设为 Enable .
- 将组策略编辑器中的“显示关闭事件跟踪器”设置为“已禁用” .
计算机配置 - >管理模板 - >系统 . 将"Display Shutdown Event Tracker"设为 Disabled .
- 计算机配置 - > Windows设置 - >安全设置 - >本地策略 - >安全选项 .
将组策略选项“关闭:允许系统关闭而不必登录”设置为“已禁用” .
2.启动本地安全策略(运行secpol.msc) .
- 安全设置 - >本地策略 - >安全选项 .
将“交互式登录:不显示最后一个用户名”选项设置为 Enabled .
- 安全设置 - >本地策略 - >用户权限分配 .
将用户管理员添加到“拒绝通过终端服务登录” .
- 安全设置 - >帐户策略>密码策略
设置“密码必须 meet complexity requirements ”
顺便说一句,Windows操作是Windows Server 2008r2和Windows Server 2012r2 .
2 回答
您可以使用组策略中的设置以编程方式执行的操作非常少 . 管理模板设置或任何“注册表”数据都可以通过为set-gpregistryvalue和set-gpprefregistryvalue提供的PowerShell cmdlet实现 . 您可以对每个策略区域的存储和每个区域的常规GP存储进行反向工程,但除非您是一个希望构建工具的ISV,否则这是一件苦差事 . 目前只有1个真实接口可用于对GPO进行读写设置 . (完全披露我与提供解决方案的公司) . 谷歌的“组策略自动化”,你会发现它 .
另一方面,由于许多原因,管理地方政策仍然是一项非常重要的任务 . 非域名加入系统,孤立系统,域名加入和非多米纳加入框之间的合规性......许多场景都非常重要且必要 . 更不用说Windows Nano服务器了 .
所以,我想这取决于你需要走多远或者你的任务是什么 . 如果您希望构建基于组策略的商业解决方案,请从MDSN(https://msdn.microsoft.com/en-us/library/windows/desktop/aa374177(v=vs.85).aspx)开始 . 如果您正在寻找更简单的东西,但第三方让我知道 . 如果您希望仅管理注册表数据,请查看PowerShell cmdlet .
PowerShell offers cmdlets to administer Group Policy . 但是,您通常不需要在每台计算机上修改本地组策略 . 只需创建一个GPO并将其链接到所需的计算机 .