web-dev-qa-db-ja.com

バッチファイルからローカルセキュリティポリシーを編集するにはどうすればよいですか?

ユーティリティを、特に「ローカルでログオンを拒否する」ローカルセキュリティポリシーにユーザーを追加するバッチファイルとして作成しようとしています。このバッチファイルは、何百もの独立したコンピューターで使用されます(ドメイン上ではなく、同じネットワーク上にもありません)。

私は次のいずれかを私の選択肢だと思っていましたが、おそらく考えていないものがあるかもしれません。

  1. ローカルセキュリティポリシーを変更できるnet.exeに類似したコマンドラインユーティリティ。

  2. 同じことを行うVBScriptサンプル。

  3. いくつかのWMIまたはWin32呼び出しを使用して独自に記述します。必要がなければ、私はこれをやらないほうがいい。

windowsgroup-policybatch-filevbscriptsecurity
10
Stephen Jennings

ntrightsユーティリティを使用して、アカウントの権限を編集できます。

ユーザー権利 "SeDenyInteractiveLogonRight"は、おそらくコンピューターのログオンの一部として編集するものです。

次のコマンドは、jscott対話型ログオンを拒否します。

ntrights -u jscott +r SeDenyInteractiveLogonRight

http://support.Microsoft.com/kb/315276

http://ss64.com/nt/ntrights.html

5
jscott

私もとても長く探しました。答えを見つけました!

現在の状態を確認するには:

auditpol /get /subcategory:"Process Creation"

この次の行で変更が行われます。プロセスの作成が有効に設定されます。

auditpol /set /subcategory:"Process Creation"

もう一度状態を確認すると、変化がわかります。

または、「プロセス作成」は「詳細追跡」のサブカテゴリであるため、「詳細追跡」ポリシーをすべて変更することもできます。このような:

auditpol /set /category:"Detailed Tracking"
2
OatBoat

gUIを使用してテンプレートをエクスポートできます

参照PCで必要な変更を行い、

SECPOL.MSC>アクション>エクスポートポリシー> secpol.inf

次に使用します

SECEDIT.exe /IMPORT

お好みのスクリプト言語(バッチ、PS、VBScript)でラップします

現在のポリシーを上書きします

現在のポリシーの上書きに問題があるかどうかのみが問題になります

私はセキュリティポリシーでこれを行ったことはありませんが、以前は電源プロファイルで行っていました。プロセスは、NET.exeコマンドと同様に、ほとんど同じに見えます。

1
Matt Hamende