Cara terbaik untuk menambahkan kunci dan nilai HKCU untuk semua pengguna yang ada dan semua pengguna baru?

Saya perlu menambahkan kunci dan nilai HKCU ke semua mesin dalam OU tertentu, untuk semua profil pengguna yang ada dan ke profil default. Apa cara terbaik untuk mendekati ini?

Saya bisa menghitung dan beralih melalui semua NTUSER. DAT, memuat sarang, menambahkan kunci, dan menurunkan sarang, tapi itu sepertinya cara yang kikuk untuk melakukannya.

Adakah yang punya ide yang lebih baik? Saya ingin membuat skrip ini (PowerShell lebih disukai) dan mendorong perubahan jika memungkinkan, tetapi skrip logon kebijakan grup akan berfungsi juga.

Metode pilihan saya adalah menggunakan Pengaturan Aktif. Apa yang dilakukannya, adalah memeriksa kapan pengguna login ke mesin jika mereka menjalankan skrip atau perintah tertentu (seperti yang Anda miliki) dan jika tidak, jalankan. Jadi, Anda hanya akan menjalankan skrip khusus untuk pengguna satu kali di workstation mereka. Saya menemukan ini sempurna untuk menulis ke HKCU, karena Anda tidak harus memuat setiap sarang dan hanya akun yang orang masuki yang dimodifikasi.

Bukan untuk mempromosikan diri, tetapi saya menulis posting blog tentang melakukan ini. Solusi dasarnya adalah sebagai berikut:

Tambahkan entri registri berikut:

[HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\UniqueID]
"Version"=""
"Stubpath"=""
@=""

• Anda dapat memilih ID Unik yang Anda inginkan. GUID sering digunakan, tetapi Anda dapat menggunakan apa pun yang akan menjadi unik.
• Version adalah nomor versi apa pun yang ingin Anda gunakan.
• Stubpathadalah perintah yang akan dieksekusi. Panggilan MSI, EXE, dan VBS semua tampaknya baik-baik saja.
• Inilah @yang harus ditampilkan ketika perintah sedang berjalan.

Dengan solusi ini, bahasa skrip tidak relevan. Anda dapat melakukan file VBScript, Powershell, Batch. Apa pun yang memungkinkan Anda menulis ke HKCU sebagai pengguna yang masuk. Menggunakan reg.exesecara langsung juga berfungsi dengan baik.

Sentuhan akhir opsional lainnya yang dapat Anda buat adalah memuat dan memodifikasi Hive pengguna default. Itu akan menetapkan nilai registri untuk setiap pengguna baru yang masuk untuk pertama kalinya ke sistem tertentu.

Anda dapat menambahkan kunci reg kustom dengan membuat file adm kustom dan mengimpornya sebagai templat ke bagian Template Administratif objek kebijakan grup. Kemudian tautkan GPO itu ke OU Anda. Ada dokumen di MS tentang cara melakukan ini, atau Anda dapat melihat file adm yang sudah ada di server (di suatu tempat di bawah Sysvol saya pikir).

Proses ini disebut "tato registri" dan itu berarti Anda berada di luar kendali penghapusan kebijakan grup yaitu entri reg akan tetap ada bahkan jika kebijakan dihapus. Anda perlu membuat kunci reg "terbalik" dan menggunakan (atau hanya menghapusnya).