如何以编程方式修改本地组策略和本地安全策略？ [复制]

Question

我需要做的是在不同的机器上修改本地组策略和本地安全策略。每个项目都修改非常不方便，所以我想通过编程找出任何可以修改它们的方法。 我已经尝试过website 中的方法，但没有成功。 我需要修改的内容如下所示：

1.启动本地/组策略编辑器。

• 关闭时禁用 Windows 更新选项 转到计算机配置 -> 管理模板 -> Windows 组件 -> Windows 更新，然后双击 Windows 更新。

  将“不显示'安装更新并关闭'”设置为启用。

• 将组策略编辑器中的“显示关闭事件跟踪器”设置为禁用。

  计算机配置->管理模板->系统。将“显示关闭事件跟踪器”设置为禁用。

• 计算机配置->Windows 设置->安全设置->本地策略->安全选项。

  将组策略选项“关闭：允许系统关闭而无需登录”设置为禁用。

2.启动本地安全策略（运行 secpol.msc）。

• 安全设置->本地策略->安全选项。

  将“交互式登录：不显示最后一个用户名”选项设置为启用。

• 安全设置->本地策略->用户权限分配。

  将用户管理员添加到“拒绝通过终端服务登录”。

• 安全设置->账户政策>密码政策

  设置“密码必须满足复杂性要求”

顺便说一下windows运行的是windows server 2008r2和windows server 2012r2。

Answer 1

您可以通过组策略中的设置以编程方式执行的操作很少。为 set-gpregistryvalue 和 set-gpprefregistryvalue 提供的 PowerShell cmdlet 可以访问管理模板设置或任何“注册表”数据。您可以对每个策略区域的存储和每个区域的通用 GP 存储进行逆向工程，但这有点麻烦，除非您是寻求构建工具的 ISV。目前只有 1 个真实接口可用于读取和写入 GPO 设置。 （完全披露我与提供解决方案的公司合作）。谷歌“组策略自动化”，你会找到它。

另一方面，出于多种原因，管理本地策略仍然是一项非常重要的任务。非域加入系统、隔离系统、域加入和非多米纳加入框之间的合规性......很多场景都很重要和必要。更不用说 Windows Nano 服务器了。

所以，我想这取决于您需要走多远或您的任务是什么。如果您希望构建基于组策略的商业解决方案，请从 MDSN (https://msdn.microsoft.com/en-us/library/windows/desktop/aa374177(v=vs.85).aspx) 开始。如果您正在寻找更简单但第三方的东西，请告诉我。如果您只想管理注册表数据，请查看 PowerShell cmdlet。

Answer 2

PowerShell offers cmdlets to administer Group Policy。但是，您通常不需要在每台机器上修改本地组策略。只需创建一个 GPO 并将其链接到所需的计算机。