Alterar diretiva de grupo usando o Windows CMD


15

Desejo alterar a configuração de diretiva de grupo que aplica o valor do local do servidor Windows Update WSUS HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUServere HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUStatusServer.

Mudá-los diretamente no registro não substituirá o que foi definido na diretiva de grupo; portanto, gostaria de saber quais comandos posso usar para alterar a entrada da diretiva de grupo desses valores.

Respostas:


11

Mark Russinovich tem um excelente artigo sobre como contornar alterações na Diretiva de Grupo .

As configurações de diretiva de grupo são parte integrante de qualquer ambiente de TI baseado no Windows. Se você for um administrador de rede, use-os para impor políticas de segurança corporativa e de gerenciamento de área de trabalho; se você for um usuário, certamente ficará frustrado com as limitações impostas por essas políticas. Independentemente de qual seja, você deve estar ciente de que, se os usuários da sua rede pertencerem ao grupo de administradores locais, eles poderão contornar as políticas a qualquer momento.

Há duas etapas para contornar uma configuração de diretiva de grupo: identificar o local da configuração e impedir que ela seja aplicada. Há muitas referências de política de grupo disponíveis, mas como as configurações de política de grupo de máquinas armazenam na ramificação HKEY_LOCAL_MACHINE do Registro e as configurações de política de grupo por usuário armazenam em HKEY_CURRENT_USER, se você não souber o local da configuração que o impede de fazer algo você quiser, pode usar o Regmon para encontrá-lo.

O número de configurações de bloqueio de área de trabalho disponíveis para administradores de diretiva de grupo é enorme. Eles podem impedir que você faça qualquer coisa, desde alterar a aparência da área de trabalho e o menu Iniciar até a execução de certos aplicativos. Duas configurações comumente aplicadas incluem um programa de proteção de tela pré-configurado para que os usuários não desperdiçam recursos em protetores de tela frívolos e um tempo limite de proteção de tela para que os sistemas não fiquem indefinidamente acessíveis quando um usuário se afasta. Quando essas configurações estão em vigor, o Windows omite a guia proteção de tela do miniaplicativo do painel de controle das propriedades de exibição ou não permite modificar a proteção de tela ou o tempo limite. Vou mostrar como usar o poder de ser um administrador local e o Regmon para rastrear essas configurações e substituí-las em seu próprio sistema.

Enquanto entra no Monitor do Registro, o Process Monitor também existe atualmente, que combina várias ferramentas de monitoramento em um. Ele permite que você encontre as chaves do registro que estão sendo modificadas. Basta ir para as chaves de registro relevantes e alterar suas permissões para que não possam mais ser atualizadas ...

Confira o que você pode fazer com o regcomando; você pode verificar o acesso com accesschk.


Obrigado pelo método, Tom. Mas captura muitos dados ao lidar com as alterações feitas por gpedit.msc. Eu acho que essa é uma pergunta bem diferente, então eu abri um novo tópico aqui: superuser.com/questions/946123/…
Sopalajo de Arrierez

7

A diretiva de grupo para a máquina local é armazenada no registro.

A abordagem lame para modificá-lo, é através do prompt de comando usando o comando reg. Isso é menos prático porque requer conhecimento absoluto de todas as configurações de registro de políticas locais, e os erros aqui podem ser bastante desastrosos.

A ferramenta a ser usada é o PowerShell , sucessor da Microsoft no prompt de comando.

Alguns artigos que podem ajudá-lo a usar os cmdlets do PowerShell para alterações de diretiva local são:

Use o Windows PowerShell para gerenciar Diretiva de Grupo
do Windows PowerShell Cmdlets de Política de Grupo
de gestão de política de grupo para profissionais de TI
de política de grupo
Grupo de Política Configurações de Referência para Windows e Windows Server


1
Por mais atraente que o cmdlet do PowerShell GroupPolicy pareça, aparentemente (e surpreendentemente) ele não pode ser usado no caso mais simples, a saber, para gerenciar a máquina local ou as políticas de usuário em uma máquina sem domínio. De fato, seu primeiro link afirma que o cmdlet requer AD, mas antes de perceber isso, lutei para que o cmdlet GP funcionasse usando um cliente Windows 10 Pro independente e o PowerShell mais recente. Fui encorajado inicialmente que o RSAT (um pré-requisito do cmdlet GP) foi instalado com êxito, mas no final, o cmdlet nunca ficou satisfeito com a força das credenciais do administrador local.
Glenn Slayden

@GlennSlayden, você poderia nos contar mais sobre suas tensões? Você instalou o RSAT, mas falhou porque sua máquina não estava no domínio, devido à fraqueza da sua senha? Por quê?
Suncatcher

@ Suncatcher Meu melhor palpite é que foi porque é uma máquina autônoma sem domínio. Como mencionei, originalmente eu não percebi esse requisito (ou talvez não acreditasse que seria um impedimento).
Glenn Slayden


1

Alternativamente, você pode executar gpedit.msc. Como em Start - r gpedit.msc Enter.


0

Você pode escolher um WSUS alternativo para instalação da atualização usando a opção / use_wsus da ferramenta de linha de comando WuInstall , que altera exatamente esses valores - no entanto, após a execução do WuInstall, os valores são alterados novamente para o valor antigo


1
Não especifiquei, mas este é um ambiente corporativo e as dependências não são aceitáveis ​​(ou seja, ferramentas não inclusivas).
Mechaflash
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.