Jak mogę edytować lokalne zasady bezpieczeństwa z pliku wsadowego?

10

Próbuję napisać narzędzie jako plik wsadowy, który między innymi dodaje użytkownika do lokalnej zasady bezpieczeństwa „Odmów logowania lokalnie”. Ten plik wsadowy będzie używany na setkach niezależnych komputerów (nie w domenie i nawet nie w tej samej sieci).

Zakładałem, że jedną z poniższych opcji były moje opcje, ale być może jest taka, o której nie myślałem.

  1. Narzędzie wiersza polecenia podobne do tego, net.exektóre może modyfikować lokalne zasady bezpieczeństwa.

  2. Próbka VBScript, aby zrobić to samo.

  3. Napisz własne, używając niektórych wywołań WMI lub Win32. Wolałbym tego nie robić, jeśli nie muszę.

Stephen Jennings
źródło

Odpowiedzi:

6

Możesz użyć tego ntrightsnarzędzia do edycji uprawnień do konta.

Prawo użytkownika „SeDenyInteractiveLogonRight” jest tym, co chcesz edytować, prawdopodobnie w ramach logowania do komputera.

Następujące polecenie odmówiłoby logowania interaktywnego jscott:

ntrights -u jscott +r SeDenyInteractiveLogonRight

http://support.microsoft.com/kb/315276

http://ss64.com/nt/ntrights.html

jscott
źródło
Ach, to działa na to, czego potrzebuję. Dzięki!
Stephen Jennings
Pomaga przywrócić przypadkowo usunięte prawo „Zaloguj się jako usługa” do „wszystkich usług”! ntrights -u "NT SERVICE\ALL SERVICES" +r SeServiceLogonRight
klaus triendl
2

Tak długo też szukałem. Wymyśliłem odpowiedź!

Aby sprawdzić bieżący stan:

auditpol /get /subcategory:"Process Creation"

Następna linia wprowadzi zmianę. Ustawi tworzenie procesu na Włączone.

auditpol /set /subcategory:"Process Creation"

Sprawdź stan ponownie, a zobaczysz zmianę.

Alternatywnie możesz zmienić wszystkie zasady „śledzenia szczegółów”, ponieważ „tworzenie procesu” jest podkategorią „śledzenia szczegółów”. Lubię to:

auditpol /set /category:"Detailed Tracking"
Owies
źródło
1

możesz wyeksportować szablon za pomocą GUI

dokonać pożądanych zmian na komputerze referencyjnym,

SECPOL.MSC> Działania> Polityka eksportu> secpol.inf

następnie użyj

SECEDIT.exe /IMPORT 

umieść go w swoim ulubionym języku skryptowym (Batch, PS, VBScript)

i zastąpi obecną politykę

niepokoi tylko sytuacja, w której wystąpią problemy z zastąpieniem bieżących zasad

Nigdy nie robiłem tego z polityką bezpieczeństwa, ale wcześniej z profilami zasilania, a proces wygląda prawie identycznie, podobnie jak polecenie NET.exe.

Matt Hamende
źródło