Ändern Sie die Gruppenrichtlinie mithilfe von Windows CMD

15

Ich möchte die Gruppenrichtlinieneinstellung ändern, die den Wert des Windows Update WSUS-Serverstandorts HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUServerund anwendet HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUStatusServer.

Wenn Sie sie direkt in der Registrierung ändern, wird nicht überschrieben, was in der Gruppenrichtlinie festgelegt wurde. Daher möchte ich wissen, mit welchen Befehlen ich stattdessen die Eingabe dieser Werte in die Gruppenrichtlinie ändern kann.

Mechaflash
quelle

Antworten:

11

Mark Russinovich hat einen ausgezeichneten Artikel über die Umgehung von Gruppenrichtlinienänderungen .

Gruppenrichtlinieneinstellungen sind ein wesentlicher Bestandteil jeder Windows-basierten IT-Umgebung. Wenn Sie ein Netzwerkadministrator sind, setzen Sie diese zur Durchsetzung der Unternehmens- und Desktop-Sicherheitsrichtlinien ein. Wenn Sie ein Benutzer sind, wurden Sie mit ziemlicher Sicherheit von den durch diese Richtlinien auferlegten Einschränkungen enttäuscht. Unabhängig davon, wer Sie sind, sollten Sie sich darüber im Klaren sein, dass die Benutzer in Ihrem Netzwerk, die zur lokalen Administratorgruppe gehören, die Richtlinien jederzeit umgehen können.

Es gibt zwei Schritte, um eine Gruppenrichtlinieneinstellung zu umgehen: Ermitteln des Speicherorts der Einstellung und Verhindern, dass die Einstellung angewendet wird. Es sind viele Verweise auf Gruppenrichtlinien verfügbar, aber da Maschinengruppenrichtlinieneinstellungen im Zweig HKEY_LOCAL_MACHINE der Registrierung gespeichert sind und Gruppenrichtlinieneinstellungen pro Benutzer im Zweig HKEY_CURRENT_USER gespeichert sind, wissen Sie nicht, wo sich die Einstellung befindet, die Sie daran hindert, etwas zu tun Sie möchten, dass Sie Regmon verwenden können, um es zu finden.

Die Anzahl der für Gruppenrichtlinienadministratoren verfügbaren Desktop-Sperreinstellungen ist enorm. Sie können Sie daran hindern, das Erscheinungsbild Ihres Desktops und das Startmenü so zu ändern, dass bestimmte Anwendungen ausgeführt werden. Zwei häufig angewendete Einstellungen umfassen ein vorkonfiguriertes Bildschirmschonerprogramm, damit Benutzer keine Ressourcen für leichtfertige Bildschirmschoner verschwenden, und eine Zeitüberschreitung für den Bildschirmschoner, damit die Systeme nicht unbegrenzt zugänglich bleiben, wenn ein Benutzer den Bildschirm verlässt. Wenn diese Einstellungen wirksam sind, lässt Windows die Registerkarte Bildschirmschoner des Applets für die Anzeigeeigenschaften-Systemsteuerung aus oder lässt Sie den Bildschirmschoner oder dessen Zeitlimit nicht ändern. Ich werde Ihnen zeigen, wie Sie die Möglichkeiten eines lokalen Administrators und von Regmon nutzen können, um diese Einstellungen aufzuspüren und auf Ihrem eigenen System zu überschreiben.

Während es in den Registrierungsmonitor geht, gibt es heutzutage auch den Prozessmonitor , der mehrere Überwachungstools in einem kombiniert. Hier können Sie die Registrierungsschlüssel finden, die geändert werden. Wechseln Sie einfach zu den entsprechenden Registrierungsschlüsseln und ändern Sie deren Berechtigungen so, dass sie nicht mehr aktualisiert werden können ...

Überprüfen Sie, was Sie mit dem regBefehl tun können . Sie können den Zugriff mit bestätigen accesschk.

Tamara Wijsman
quelle
Danke für die Methode, Tom. Es werden jedoch zu viele Daten erfasst, wenn Änderungen von vorgenommen werden gpedit.msc. Ich denke , das ist eher eine andere Frage, so dass ich einen neuen Thread hier eröffnet haben: superuser.com/questions/946123/...
Sopalajo de Arrierez
7

Gruppenrichtlinien für den lokalen Computer werden in der Registrierung gespeichert.

Der lame-Ansatz zum Ändern ist über die Eingabeaufforderung mit dem Befehl reg. Dies ist nicht praktikabel, da dies absolute Kenntnisse aller lokalen Richtlinienregistrierungseinstellungen erfordert und Fehler hier ziemlich katastrophal sein können.

Das zu verwendende Tool ist PowerShell , Microsofts Nachfolger der Eingabeaufforderung.

Einige Artikel, die Sie auf dem Weg zur Verwendung von PowerShell-Cmdlets für lokale Richtlinienänderungen unterstützen können, sind:

Verwalten von Gruppenrichtlinien mit
Windows PowerShell Windows PowerShell-Cmdlets für Gruppenrichtlinien
Gruppenrichtlinienverwaltung für IT-Experten
Gruppenrichtlinien
Gruppenrichtlinien-Einstellungsreferenz für Windows und Windows Server

Harrymc
quelle
1
So ansprechend das PowerShell GroupPolicy-Cmdlet auch erscheint, es kann anscheinend (und überraschenderweise) nicht im einfachsten Fall verwendet werden, nämlich zum Verwalten lokaler Computer- oder Benutzerrichtlinien auf einem nicht domänenverbundenen Computer. In Ihrem ersten Link heißt es zwar, dass für das Cmdlet AD erforderlich ist, aber bevor ich dies bemerkte, hatte ich Schwierigkeiten, das GP-Cmdlet unter Verwendung eines eigenständigen Windows 10 Pro-Clients und der neuesten PowerShell zum Laufen zu bringen. Zuerst wurde ich ermutigt, dass RSAT (eine Voraussetzung für das GP-Cmdlet) erfolgreich installiert wurde, aber am Ende war das Cmdlet nie mit der Stärke der lokalen Administratoranmeldeinformationen zufrieden.
Glenn Slayden
@GlennSlayden, könnten Sie bitte mehr über Ihre Spannungen erzählen? Sie haben RSAT installiert, sind aber trotzdem gescheitert, weil Ihr Computer nicht in der Domäne war, weil Ihr Kennwort schwach ist? Warum?
Suncatcher
@Suncatcher Ich vermute, dass dies der Fall war, weil es sich um einen eigenständigen Computer ohne Domäne handelt. Wie ich bereits erwähnte, habe ich diese Anforderung ursprünglich entweder nicht bemerkt (oder vielleicht nicht daran geglaubt, dass sie ein Showstopper sein würde).
Glenn Slayden
1

Alternativ kann man laufen gpedit.msc. Wie in Start - r gpedit.msc Enter.

Nae
quelle
0

Sie können einen alternativen WSUS für die Installation des Updates auswählen, indem Sie die Option / use_wsus des Befehlszeilentools WuInstall verwenden , das genau diese Werte ändert. Nach der Ausführung von WuInstall werden die Werte jedoch auf den alten Wert zurückgesetzt

hsn
quelle
1
Ich habe nicht angegeben, aber dies ist eine Unternehmensumgebung und Abhängigkeiten sind nicht akzeptabel (dh nicht inklusiven Tools).
Mechaflash