Ändern Sie die Gruppenrichtlinie mithilfe von Windows CMD

93475
Mechaflash

Ich möchte die Gruppenrichtlinieneinstellung ändern, die den Wert des Windows Update-WSUS-Serverstandorts HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUServerund angibt HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUStatusServer.

Wenn Sie sie direkt in der Registrierung ändern, wird das, was in der Gruppenrichtlinie festgelegt wurde, nicht überschrieben. Ich möchte also wissen, welche Befehle ich verwenden kann, um stattdessen die Gruppenrichtlinieneingabe dieser Werte zu ändern.

14

5 Antworten auf die Frage

10
Tom Wijsman

Mark Russinovich has an excellent article on circumventing Group Policy changes.

Group policy settings are an integral part of any Windows-based IT environment. If you’re a network administrator you use them to enforce corporate security and desktop management policy, and if you’re a user you’ve almost certainly been frustrated by the limitations imposed by those policies. Regardless of which you are, you should be aware that if the users in your network belong to the local administrator’s group they can get around policies any time they want.

There are two steps to circumventing a group policy setting: identifying the setting’s location and preventing the setting from being applied. There are many group policy references available, but since machine group policy settings store in the HKEY_LOCAL_MACHINE branch of the Registry and per-user group policy settings store in HKEY_CURRENT_USER, if you don’t know the location of the setting that’s preventing you from doing something you want you can use Regmon to find it.

The number of desktop lockdown settings available to group policy administrators is enormous. They can prevent you from doing anything from changing your desktop appearance and start menu to running certain applications. Two commonly applied settings include a pre-configured screen saver program so that users don’t waste resources on frivolous screen savers, and a screen saver timeout so that systems aren’t left indefinitely accessible when a user steps away. When these settings are in effect Windows omits the screen saver tab of display properties control panel applet or doesn’t let you modify the screen saver or its timeout. I’m going to show you how to use the power of being a local administrator and Regmon to track down these settings and override them on your own system.

While it goes into the Registry Monitor, Process Monitor also exists these days which combines several monitoring tools into one. It allows you to find the registry keys that are being modified. Just jump to the relevant registry keys and change their permissions such that they can't be updated anymore...

Check out what you can do with the reg command; you can verify access with accesschk.

Danke für die Methode, Tom. Es werden jedoch zu viele Daten erfasst, wenn mit Änderungen von "gpedit.msc" gearbeitet wird. Ich denke, das ist eher eine andere Frage, deshalb habe ich hier einen neuen Thread geöffnet: http://superuser.com/questions/946123/how-can-i-use-process-monitor-to-detect-register-changes- made-by-gpedit-modifica Sopalajo de Arrierez vor 9 Jahren 0
6
harrymc

Gruppenrichtlinien für den lokalen Computer werden in der Registrierung gespeichert.

Der lahmere Ansatz für die Änderung erfolgt über die Eingabeaufforderung mit dem Befehl reg. Dies ist weniger als praktisch, da dazu absolute Kenntnis jeder lokalen Richtlinienregistrierungseinstellung erforderlich ist, und Fehler hier können katastrophal sein.

Das stattdessen zu verwendende Werkzeug ist PowerShell, Microsofts Nachfolger der Eingabeaufforderung.

Einige Artikel, die Sie auf dem Weg zur Verwendung von PowerShell-Cmdlets für lokale Richtlinienänderungen unterstützen können, sind:

Verwalten von Gruppenrichtlinien mithilfe von
Windows PowerShell Windows PowerShell-Cmdlets für die Gruppenrichtlinien-
Gruppenrichtlinienverwaltung für IT-Experten
Gruppenrichtlinien-
Referenz für Gruppenrichtlinieneinstellungen für Windows und Windows Server

So ansprechend wie das PowerShell GroupPolicy-Cmdlet aussieht, kann es anscheinend (und überraschend) nicht im einfachsten Fall verwendet werden, nämlich zur Verwaltung lokaler Computer- oder Benutzerrichtlinien auf einem Computer, der keiner Domäne angehört. In Ihrem ersten Link ist zwar angegeben, dass für das Cmdlet AD erforderlich ist. Bevor ich dies bemerkte, hatte ich jedoch Schwierigkeiten, das GP-Cmdlet auf einem eigenständigen Windows 10 Pro-Client und der neuesten PowerShell zu installieren. Zunächst wurde ich dazu ermutigt, dass RSAT (eine Voraussetzung für das GP-Cmdlet) erfolgreich installiert wurde. Am Ende war das Cmdlet jedoch nie mit der Stärke der lokalen Administratoranmeldeinformationen zufrieden. Glenn Slayden vor 8 Jahren 1
@GlennSlayden, können Sie bitte mehr über Ihre Spannungen erzählen? Sie haben RSAT installiert, aber trotzdem fehlgeschlagen, weil Ihr Computer aufgrund von Kennwortschwäche nicht in der Domäne war? Warum? Suncatcher vor 6 Jahren 0
@Suncatcher Meine beste Vermutung ist, dass es sich um einen Standalone-Computer ohne Domäne handelt. Wie gesagt, ich habe diese Anforderung ursprünglich nicht bemerkt (oder vielleicht nicht geglaubt, dass es ein Showstopper sein würde). Glenn Slayden vor 6 Jahren 0
5
Glenn Slayden

Das folgende Tool von Microsoft TechNet ermöglicht die Verwaltung von Gruppenrichtlinien über die Befehlszeile und damit auch die Skripterstellung:

Lokales Gruppenrichtlinienobjekt-Dienstprogramm, Version 1.0

1
Nae

Alternativ kannst du laufen gpedit.msc. Wie in Start - r gpedit.msc Enter.

0
hsn

Sie können ein alternatives WSUS für die Installation des Updates auswählen, indem Sie die Option / use_wsus des Befehlszeilentools WuInstall verwenden, die genau diese Werte ändert. Nach der Ausführung von WuInstall werden die Werte jedoch auf den alten Wert zurückgesetzt

Ich habe nicht angegeben, aber dies ist eine Unternehmensumgebung, und Abhängigkeiten sind nicht akzeptabel (dh nicht einschließende Tools). Mechaflash vor 12 Jahren 1