web-dev-qa-db-fra.com

Utilisez le script pour modifier la stratégie de groupe local Windows Server 2012

Je dépreneure une machine Windows Server 2012 R2 pour servir des pages Web sécurisées et après un guide qui établit plusieurs paramètres de stratégie de groupe locaux et paramètres de registre.

Lors de la recherche sur la manière d'automatiser ce processus, je ne trouve que des moyens d'exporter et d'importer une stratégie de groupe à l'aide de PowerShell comme suit: https://technet.microsoft.com/en-us/library/ee461027.aspx

Cette machine de serveur n'est pas jointe à un domaine et n'a pas installé la console de gestion des stratégies de groupe. Malheureusement, je n'ai pas trouvé de ressource à utiliser une méthode automatique (script, code) pour modifier les paramètres de stratégie de groupe locaux tels que:

Éditeur de stratégie de groupe local -> Configuration de l'ordinateur -> Paramètres Windows -> Paramètres de sécurité -> Configuration de la stratégie d'audit avancée -> Politiques d'audit système -> Audit d'accès mondial d'objet -> Défini cette stratégie -> Configurer

Éditeur de stratégie de groupe local -> Configuration de l'ordinateur -> Paramètres Windows -> Paramètres de sécurité -> Politiques locales -> Options de sécurité -> Accès au réseau: N'autorisez pas l'énumération anonyme de comptes et d'actions anonymes

Mon objectif final est de créer un processus ou un script pouvant définir environ 100 paramètres de registre différents et paramètres de stratégie de groupe locaux sur une machine serveur afin de le verrouiller. Éviter de configurer manuellement chacun.

4
ibsk8in31

J'ai pu rechercher et trouver ce dont j'ai besoin sur cet objectif! La ressource que j'ai trouvée la meilleure direction de l'était comme suit:

http://www.itninja.com/blog/view/using-secedit-a-apply-Security-Templates

Les paramètres de stratégie de groupe locaux et les paramètres de sécurité peuvent être transférés dans quelques étapes:

1. Paramètres de sécurité:

Faites un clic droit sur Paramètres de sécurité dans l'éditeur de stratégie de groupe local (stratégie de groupe) et sélectionnez Exporter la stratégie ... Enregistrez le fichier .inf et transfert sur la machine que vous souhaitez utiliser les mêmes paramètres. Sur la nouvelle machine, ouvrez une invite de commande et utilisez la commande sécedit

sécedit /Configurer/DB C:\Windows\Security\local.sdb/cfg {.\chemin\to.inf}

Examinez les erreurs qui reviennent, je traitais avec des comptes d'utilisateurs qui tentent d'être définies pour des autorisations qui n'existaient pas sur la nouvelle machine.

2. Le reste de la politique du groupe local

Localisez le dossier% Systemroot%\System32\GroupPolicy\Cachée et copiez les sous-dossiers sur la machine cible située au même endroit.

Ouvrez une invite de commande et utilisez

GPUpdate /Force

3. Les restes

Pour la diverse, j'ai pu utiliser les commandes PowerShell pour ajouter ou modifier des clés de registre:

Ajouter:

nouveau-item -Path HKCU:\Software -Name -Name HSG -Force

Éditer:

PS C:> Push-Emplacement

PS C:> SET-Emplacement HKCU:\logiciel\hsg

PS HKCU:\logiciel\hsg> set-itemProperty. NEWPROPERTY "MYNEWVALUE"

2
ibsk8in31

Pour les machines non domestiques, vous définissez ces choses via la politique de sécurité locale, pas la politique de groupe. Et ceux-ci, vous pouvez importer et exporter à l'aide du correctif MMC (secpol.msc)

1
mfinni

utilisez l'outil GPOPACACK à partir de SCM pour déployer des paramètres sur des machines jointes non de domaine. Si vous avez des modifications directes de registre qui ne sont pas dans la stratégie de groupe, vous devrez ajouter des commandes Reg.exe

0
Jim B

Ajout tardif: envisagez d'utiliser auditpol.exe pour script. Quelqu'un a écrit A exemple PowerShell en utilisant Auditpol qui vérifie la configuration contre les valeurs attendues.

réglage:

auditpol /set /category:Logon/Logoff /subcategory:"Account Lockout" /Success:enable /failure:disable

Obtenir:

PS C:\Windows\system32> auditpol /get /category:* /r 
Machine Name,Policy Target,Subcategory,Subcategory GUID,Inclusion Setting,Exclusion Setting

DESKTOP-7Q0D9I7,System,Logon,{0CCE9215-69AE-11D9-BED3-505054503030},Success and Failure,
DESKTOP-7Q0D9I7,System,User / Device Claims,{0CCE9247-69AE-11D9-BED3-505054503030},No Auditing,
...
0
Alex M

Utilisez le nouvel outil LGPO.EXE. Son documenté et téléchargeable à partir d'ici: https://blogs.technet.microsoft.com/secguide/2016/01/21/lgpo-exe-local-group-policy-Objecte-utilité-v1-0/

Aller par certains des commentaires dans le lien qu'il n'est pas complet, et cela a répondu à mes besoins complètement.

Cela fonctionne également sur Windows Server 2016 que localgpo.exe dans l'outil SCM 3.0 aurait fait. Et en fait, localgpo.exe n'est plus expédié dans SCM 4.0, bien qu'il existe toujours un lien vers le texte de l'aide pour celui-ci dans SCM!

0
RobG