Bagaimana saya bisa mengedit kebijakan keamanan lokal dari file batch?


10

Saya mencoba untuk menulis utilitas sebagai file batch yang, antara lain, menambahkan pengguna ke kebijakan keamanan lokal "Deny logon lokal". File batch ini akan digunakan pada ratusan komputer independen (bukan pada domain dan bahkan tidak pada jaringan yang sama).

Saya berasumsi salah satu dari berikut ini adalah pilihan saya, tetapi mungkin ada satu yang belum saya pikirkan.

  1. Utilitas baris perintah yang mirip dengan net.exeyang dapat memodifikasi kebijakan keamanan lokal.

  2. Sampel VBScript melakukan hal yang sama.

  3. Tulis sendiri menggunakan beberapa panggilan WMI atau Win32. Saya lebih suka tidak melakukan ini jika tidak perlu.

Jawaban:


6

Anda dapat menggunakan ntrightsutilitas untuk mengedit hak istimewa akun.

Hak pengguna "SeDenyInteractiveLogonRight" adalah apa yang ingin Anda edit, kemungkinan sebagai bagian dari log masuk komputer.

Perintah berikut akan menolak masuk interaktif jscott:

ntrights -u jscott +r SeDenyInteractiveLogonRight

http://support.microsoft.com/kb/315276

http://ss64.com/nt/ntrights.html


A-ha, ini bekerja untuk apa yang saya butuhkan. Terima kasih!
Stephen Jennings

Membantu mengembalikan hak "Log on as service" yang terhapus secara tidak sengaja ke hak 'semua layanan'! ntrights -u "NT SERVICE\ALL SERVICES" +r SeServiceLogonRight
klaus triendl

2

Saya mencari begitu lama juga. Saya menemukan jawabannya!

Untuk memeriksa kondisi saat ini:

auditpol /get /subcategory:"Process Creation"

Baris berikutnya ini akan membuat perubahan. Ini akan mengatur pembuatan proses ke Diaktifkan.

auditpol /set /subcategory:"Process Creation"

Periksa negara lagi dan Anda akan melihat perubahannya.

Atau, Anda dapat mengubah semua kebijakan "pelacakan detail", karena "proses pembuatan" adalah subkategori "pelacakan detail". Seperti ini:

auditpol /set /category:"Detailed Tracking"

1

Anda dapat mengekspor template menggunakan GUI

membuat perubahan yang diinginkan pada PC referensi,

SECPOL.MSC> Tindakan> Kebijakan ekspor> secpol.inf

lalu gunakan

SECEDIT.exe /IMPORT 

bungkus dengan bahasa skrip favorit Anda (Batch, PS, VBScript)

dan itu akan menimpa kebijakan saat ini

hanya kekhawatiran akan jika ada masalah dengan menimpa kebijakan saat ini

Saya belum pernah melakukannya dengan kebijakan keamanan, tetapi sebelumnya dengan profil daya, dan prosesnya terlihat hampir sama, mirip dengan perintah NET.exe.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.