Comment puis-je modifier la politique de sécurité locale à partir d'un fichier de commandes?

10

J'essaie d'écrire un utilitaire sous forme de fichier de commandes qui, entre autres, ajoute un utilisateur à la stratégie de sécurité locale "Refuser l'ouverture de session locale". Ce fichier batch sera utilisé sur des centaines d'ordinateurs indépendants (pas sur un domaine et ne sont même pas sur le même réseau).

J'ai supposé que l'une des options suivantes était mes options, mais il y en a peut-être une à laquelle je n'ai pas pensé.

  1. Un utilitaire de ligne de commande similaire à celui net.exequi peut modifier la politique de sécurité locale.

  2. Un exemple VBScript pour faire de même.

  3. Écrivez le mien en utilisant des appels WMI ou Win32. Je préférerais ne pas faire celui-ci si je n'ai pas à le faire.

windows  group-policy  batch-file  vbscript  security 
Stephen Jennings
source

Réponses:

5

Vous pouvez utiliser l' ntrightsutilitaire pour modifier les privilèges de compte.

Le droit d'utilisateur "SeDenyInteractiveLogonRight" est ce que vous souhaitez modifier, probablement dans le cadre de la connexion à l'ordinateur.

La commande suivante refuserait la connexion interactive jscott:

ntrights -u jscott +r SeDenyInteractiveLogonRight

http://support.microsoft.com/kb/315276

http://ss64.com/nt/ntrights.html

jscott
source
A-ha, cela fonctionne pour ce dont j'ai besoin. Merci!
Stephen Jennings
2

J'ai aussi cherché si longtemps. J'ai trouvé la réponse!

Pour vérifier l'état actuel:

auditpol /get /subcategory:"Process Creation"

Cette ligne suivante fera le changement. Il définira la création du processus sur Activé.

auditpol /set /subcategory:"Process Creation"

Vérifiez à nouveau l'état et vous verrez le changement.

Vous pouvez également modifier toutes les politiques de "suivi des détails", car la "création de processus" est une sous-catégorie du "suivi des détails". Comme ça:

auditpol /set /category:"Detailed Tracking"
OatBoat
source
1

vous pouvez exporter un modèle à l'aide de l'interface graphique

effectuer les modifications souhaitées sur le PC de référence,

SECPOL.MSC> Actions> Politique d'exportation> secpol.inf

puis utilisez

SECEDIT.exe /IMPORT

envelopper dans votre langage de script préféré (Batch, PS, VBScript)

et il écrasera la politique actuelle

la seule préoccupation serait s'il y a des problèmes avec l'écrasement de la politique actuelle

Je ne l'ai jamais fait avec une politique de sécurité, mais je l'ai déjà fait avec des profils d'alimentation, et le processus semble presque identique, similaire à la commande NET.exe.

Matt Hamende
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.