Mark Russinovich memiliki artikel yang bagus tentang menghindari perubahan Kebijakan Grup .
Pengaturan kebijakan grup adalah bagian integral dari lingkungan TI berbasis Windows. Jika Anda seorang administrator jaringan, Anda menggunakannya untuk memberlakukan keamanan perusahaan dan kebijakan manajemen desktop, dan jika Anda seorang pengguna, Anda hampir pasti frustrasi oleh batasan yang diberlakukan oleh kebijakan tersebut. Terlepas dari mana Anda berada, Anda harus menyadari bahwa jika pengguna di jaringan Anda milik grup administrator lokal, mereka dapat menyiasati kebijakan kapan pun mereka mau.
Ada dua langkah untuk menghindari pengaturan kebijakan grup: mengidentifikasi lokasi pengaturan dan mencegah penerapan pengaturan. Ada banyak referensi kebijakan grup yang tersedia, tetapi karena pengaturan kebijakan grup mesin menyimpan di cabang HKEY_LOCAL_MACHINE dari Registry dan menyimpan pengaturan kebijakan grup per-pengguna di HKEY_CURRENT_USER, jika Anda tidak tahu lokasi pengaturan yang mencegah Anda melakukan sesuatu Anda mau, Anda bisa menggunakan Regmon untuk menemukannya.
Jumlah pengaturan kuncian desktop yang tersedia untuk administrator kebijakan grup sangat besar. Mereka dapat mencegah Anda melakukan apa pun dari mengubah tampilan desktop Anda dan mulai menu untuk menjalankan aplikasi tertentu. Dua pengaturan yang umum diterapkan termasuk program screen saver yang telah dikonfigurasi sebelumnya sehingga pengguna tidak membuang-buang sumber daya pada screen saver yang sembrono, dan batas waktu screen saver sehingga sistem tidak dibiarkan dapat diakses tanpa batas waktu ketika pengguna menjauh. Ketika pengaturan ini berlaku, Windows menghilangkan tab screen saver dari applet panel kontrol properti layar atau tidak membiarkan Anda memodifikasi screen saver atau batas waktunya. Saya akan menunjukkan kepada Anda bagaimana menggunakan kekuatan menjadi administrator dan Regmon lokal untuk melacak pengaturan ini dan menimpanya di sistem Anda sendiri.
Saat masuk ke Monitor Registri, Monitor Proses juga ada saat ini yang menggabungkan beberapa alat pemantauan menjadi satu. Ini memungkinkan Anda untuk menemukan kunci registri yang sedang dimodifikasi. Langsung saja ke kunci registri yang relevan dan ubah izin mereka sehingga tidak dapat diperbarui lagi ...
Lihatlah apa yang dapat Anda lakukan dengan reg
perintah; Anda dapat memverifikasi akses dengan accesschk
.
gpedit.msc
. Saya pikir ini pertanyaan yang agak berbeda, jadi saya telah membuka utas baru di sini: superuser.com/questions/946123/…Kebijakan grup untuk mesin lokal disimpan dalam registri.
Pendekatan lumpuh untuk memodifikasinya, adalah melalui Command Prompt menggunakan perintah reg. Ini kurang praktis karena memerlukan pengetahuan absolut dari masing-masing dan setiap pengaturan registri kebijakan lokal, dan kesalahan di sini mungkin sangat berbahaya.
Alat untuk digunakan sebagai gantinya adalah PowerShell , Penerus Microsoft untuk Command Prompt.
Beberapa artikel yang dapat memulai Anda dalam perjalanan menggunakan Cmdlet PowerShell untuk perubahan kebijakan lokal adalah:
Gunakan Windows PowerShell untuk Mengelola Kebijakan Grup
Cmdlet Windows PowerShell untuk Kebijakan Grup
Manajemen Kebijakan Grup untuk para profesional TI
Kebijakan Grup
Referensi Pengaturan Kebijakan Grup untuk Windows dan Windows Server
sumber
Alat berikut, dari Microsoft TechNet , memungkinkan manajemen Kebijakan Grup melalui baris perintah, dan dengan demikian skrip juga:
Utilitas Objek Kebijakan Grup Lokal, v1.0
sumber
Atau Anda bisa berlari
gpedit.msc
. Seperti dalam Mulai - rgpedit.msc
Memasukkan .sumber
Anda dapat memilih WSUS alternatif untuk instalasi pembaruan dengan menggunakan opsi / use_wsus dari alat baris perintah Instal , yang mengubah persis nilai-nilai itu - namun, setelah eksekusi WuInstall, nilai-nilai tersebut diubah kembali ke nilai lama
sumber