Ubah kebijakan grup menggunakan windows CMD

14

Saya ingin mengubah pengaturan kebijakan grup yang menerapkan nilai lokasi server WSUS Pembaruan Windows HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUServer dan HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUStatusServer.

Mengubahnya langsung di registri tidak akan menimpa apa yang telah ditetapkan dalam kebijakan grup, jadi saya ingin tahu, perintah apa yang dapat saya gunakan untuk mengubah input kebijakan grup dari nilai-nilai ini?

Mechaflash
sumber

Jawaban:

10

Mark Russinovich memiliki artikel yang bagus tentang menghindari perubahan Kebijakan Grup .

Pengaturan kebijakan grup adalah bagian integral dari lingkungan TI berbasis Windows. Jika Anda seorang administrator jaringan, Anda menggunakannya untuk memberlakukan keamanan perusahaan dan kebijakan manajemen desktop, dan jika Anda seorang pengguna, Anda hampir pasti frustrasi oleh batasan yang diberlakukan oleh kebijakan tersebut. Terlepas dari mana Anda berada, Anda harus menyadari bahwa jika pengguna di jaringan Anda milik grup administrator lokal, mereka dapat menyiasati kebijakan kapan pun mereka mau.

Ada dua langkah untuk menghindari pengaturan kebijakan grup: mengidentifikasi lokasi pengaturan dan mencegah penerapan pengaturan. Ada banyak referensi kebijakan grup yang tersedia, tetapi karena pengaturan kebijakan grup mesin menyimpan di cabang HKEY_LOCAL_MACHINE dari Registry dan menyimpan pengaturan kebijakan grup per-pengguna di HKEY_CURRENT_USER, jika Anda tidak tahu lokasi pengaturan yang mencegah Anda melakukan sesuatu Anda mau, Anda bisa menggunakan Regmon untuk menemukannya.

Jumlah pengaturan kuncian desktop yang tersedia untuk administrator kebijakan grup sangat besar. Mereka dapat mencegah Anda melakukan apa pun dari mengubah tampilan desktop Anda dan mulai menu untuk menjalankan aplikasi tertentu. Dua pengaturan yang umum diterapkan termasuk program screen saver yang telah dikonfigurasi sebelumnya sehingga pengguna tidak membuang-buang sumber daya pada screen saver yang sembrono, dan batas waktu screen saver sehingga sistem tidak dibiarkan dapat diakses tanpa batas waktu ketika pengguna menjauh. Ketika pengaturan ini berlaku, Windows menghilangkan tab screen saver dari applet panel kontrol properti layar atau tidak membiarkan Anda memodifikasi screen saver atau batas waktunya. Saya akan menunjukkan kepada Anda bagaimana menggunakan kekuatan menjadi administrator dan Regmon lokal untuk melacak pengaturan ini dan menimpanya di sistem Anda sendiri.

Saat masuk ke Monitor Registri, Monitor Proses juga ada saat ini yang menggabungkan beberapa alat pemantauan menjadi satu. Ini memungkinkan Anda untuk menemukan kunci registri yang sedang dimodifikasi. Langsung saja ke kunci registri yang relevan dan ubah izin mereka sehingga tidak dapat diperbarui lagi ...

Lihatlah apa yang dapat Anda lakukan dengan reg perintah; Anda dapat memverifikasi akses dengan accesschk.

Tom Wijsman
sumber
Terima kasih untuk metodenya, Tom. Tetapi ia menangkap terlalu banyak data saat berhadapan dengan perubahan yang dilakukan oleh gpedit.msc. Saya pikir ini pertanyaan yang agak berbeda, jadi saya telah membuka utas baru di sini: superuser.com/questions/946123/…
Sopalajo de Arrierez
6

Kebijakan grup untuk mesin lokal disimpan dalam registri.

Pendekatan lumpuh untuk memodifikasinya, adalah melalui Command Prompt menggunakan perintah reg. Ini kurang praktis karena memerlukan pengetahuan absolut dari masing-masing dan setiap pengaturan registri kebijakan lokal, dan kesalahan di sini mungkin sangat berbahaya.

Alat untuk digunakan sebagai gantinya adalah PowerShell , Penerus Microsoft untuk Command Prompt.

Beberapa artikel yang dapat memulai Anda dalam perjalanan menggunakan Cmdlet PowerShell untuk perubahan kebijakan lokal adalah:

Gunakan Windows PowerShell untuk Mengelola Kebijakan Grup
Cmdlet Windows PowerShell untuk Kebijakan Grup
Manajemen Kebijakan Grup untuk para profesional TI
Kebijakan Grup
Referensi Pengaturan Kebijakan Grup untuk Windows dan Windows Server

harrymc
sumber
1
Tampaknya semenarik cmdlet PowerShell GroupPolicy tampaknya (dan mengejutkan) itu tidak dapat digunakan dalam kasus yang paling sederhana, yaitu, untuk mengelola kebijakan mesin lokal atau pengguna pada mesin yang bergabung dengan non-domain. Memang tautan pertama Anda menyatakan bahwa cmdlet memerlukan AD, tetapi sebelum memperhatikan hal ini, saya berjuang untuk mendapatkan cmdlet GP yang bekerja menggunakan pada klien Windows 10 Pro mandiri dan PowerShell terbaru. Saya pada awalnya didorong bahwa RSAT (prasyarat cmdlet GP) berhasil diinstal, tetapi pada akhirnya, cmdlet tidak pernah puas dengan kekuatan kredensial Administrator lokal.
Glenn Slayden
@GlennSlayden, bisakah Anda memberi tahu lebih banyak tentang ketegangan Anda? Anda menginstal RSAT tetapi gagal karena mesin Anda tidak ada dalam domain, karena kelemahan kata sandi Anda? Mengapa?
Suncatcher
@Suncatcher Dugaan terbaik saya adalah karena ini adalah mesin mandiri tanpa domain. Seperti yang saya sebutkan, saya awalnya tidak memperhatikan persyaratan ini (atau mungkin tidak percaya itu akan menjadi showstopper).
Glenn Slayden
1

Atau Anda bisa berlari gpedit.msc. Seperti dalam Mulai - r gpedit.msc Memasukkan .

Nae
sumber
0

Anda dapat memilih WSUS alternatif untuk instalasi pembaruan dengan menggunakan opsi / use_wsus dari alat baris perintah Instal , yang mengubah persis nilai-nilai itu - namun, setelah eksekusi WuInstall, nilai-nilai tersebut diubah kembali ke nilai lama

hsn
sumber
1
Saya tidak menentukan, tetapi ini adalah lingkungan perusahaan dan dependensi tidak dapat diterima (yaitu alat yang tidak inklusif).
Mechaflash