[SOLVED] group policy hol??

Microsoft Windows

Tisztelt kollegák!

nagyon egyszerũkérdésem lenne: hol tárolja a windows a group policy beállításokat?

automatizálni szeretném a win telepítéseket, a registry finomhangolást akár regedit /s postinst.reg -gel akár reg.exe add ... -tal megcsinálom, de azokat a beállítások, amik a gpedit.msc -n keresztül kattintgatok, nem - vagy nem mind - a registryben tárolódnak.

a Googulási tudományom ebben a kérdésben megállt, mert minduntalan egy paracsot hajtogatnak a talált weboldalak: gpupdate /force, de ezzel csak tartományi környezetben tudom ráküldeni a kliensekre (vagy lehúzni - nem is tudom) a központi GP-t.

példa: gpedit.msc > helyi számítógép > számítógép konf > windows > biztonság > helyi házirend > felh. jogok > számítógép hálózati elérésének megtagadása opció.

  • 5088 megtekintés

( kallo | 2012. 06. 13., sze – 15:46 )

nem válasz a kérdésre, de megoldás lehet: nlite, esetleg ghost+sysprep(ezt én is használom és merem ajánlani!)

szerk.: úgy tudom minden gpo beállítás megvan a registrybe.
szerk.2: melyik winről van szó konkrétan? xp?
szerk.3: talán powershell-ben tudod babrálni, de xp alatt kérdéses.

( legyes | 2012. 06. 13., sze – 15:50 )

Minden GPO beállítás a registry-ben van. A reg fájlok importálgatása nem (mindig) megoldás, mert a netlogon az user nevében hajtódik végre és nem biztos , hogy van joga módosítani a registry beállításait. Abban az esetben jöhet a cpau :) Ami persze akkor gáz, ha a HKCU-ban kell módosítani, mint pl. XP alatt az energiagazdálkodási beállításokat :)

( Cisco | 2012. 06. 13., sze – 20:27 )

nagyon sok minden a registry-ben tarolodik csak nem tudsz rola.
en azt szoktam csinalni hogy lementem egy tiszta, frissen huzott rendszer registry-jet es osszehasonlitom egy olyannal amit mar az en szam ize szerint allitottam be (nem feltetlenul registry-be, hanem kattingatva)
termeszetesen azert jo ha tudod nagyabol merre keresed... a teljes registry-t hasonlitgatni szivas.
par pelda:
ie8 beallitasok:
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer]
start menu:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
media player:
[HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Preferences]
[HKEY_CURRENT_USER\Software\Policies\Microsoft\WindowsMediaPlayer]
[HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Player\Settings]

es meg sorolhatnam...
amugy az elozo kerdesedre a valasz az energiagazdalkodasi taskokkal kapcsolatban igen, hiszen szerintem azt is allithatod fehasznalonkent... mondjuk nem tudom pontosan mire gondoltal...

( n.balazs v | 2012. 06. 13., sze – 20:48 )

Ezt nem így kell megcsinálni.
Linkek, melyek tartalmát tanulmányozásra ajánlom:
- http://technet.microsoft.com/en-us/windowsserver/bb310732.aspx
- http://support.microsoft.com/kb/225087/en
- http://technet.microsoft.com/en-us/library/cc780281%28v=ws.10%29
- http://technet.microsoft.com/hu-HU/library/9c7ecc7d-8784-4b8d-ba1f-ba18…

Kulcsszavak: custom admin template, .adm file, biztonsági sablonok(security template).

Speciel a fenti példánál én egy biztonsági sablont definiálnék és ezt húznám rá a rendszerre.

( HKaresz | 2012. 06. 13., sze – 20:55 )

Ha nem AD-t használsz, akkor is lehet per user szinten registry-ben állítani a group policy beállításokat, a HKEY_USERS-ben bennevan az összes felhasználó registry-je (userid alapján), SysinternalsSuite-ban van eszköz a usernév->userid átalakításra (PsGetsid.exe).

Plusz néhány éve találtam egy hosszú excel-t, amiben rengeteg (valószínűleg az összes) group policy beállításhoz tartozó registry kulcs megtalálható.
http://msdn.microsoft.com/en-us/library/ms815238.aspx
http://www.mydigitallife.info/group-policy-registry-key-entries-for-windows-7vistaxp-and-server/
http://www.microsoft.com/en-us/download/details.aspx?id=25250

remekek ezek az összefoglalások, csak biztosítottak affelõl amit sejtettem:
a WindowsServer2003SP2GroupPolicySettings.xls -ben:

Machine | Computer | Configuration\Windows Settings\Local Policies\User Rights Assignment | Deny access to this computer from the network | Windows XP SP2, Windows Server 2003 | User Rights security settings are not registry keys

ezen al oldalon az ntrights.exe-t javasolják használni:
http://www.tomshardware.co.uk/forum/134831-35-registry-entries-group-po…
de ezzel se tudom igazából registry-ben vagy fájlban vagy hol tárolja a beállításokat. esetleg nem azonnal menti le, hanem kilépéskor (kinek a kilépésekor ha egyszer nem user-spec beállításról van szó) vagy leállításkor?

illetve megtaláltam a belsõ constans nevét a például használt beállításnak:
SeDenyNetworkLogonRight

~~~~~~~~
http://www.youtube.com/watch?v=VbUVqODL1nE

ahogy nézem, nlite nagyobb volumenũ win-telepítésekre/klónozásra való.

nekem azonban amikor azt írtam, h automatizálni akarom a telepítést, nem feltétlenül sysprep-elésre és norton ghost-olásra gondoltam, mert <10 gépet kell telepíteni és nem tökéletesen identikus konfiggal.
pontosítanék ezért magamon: inkább kötegelt táv- és háttéradminisztráció a cél.

ezért keresek gpedit.msc funkciójú cli cuccot.

~~~~~~~~
http://www.youtube.com/watch?v=VbUVqODL1nE

( mrceeka v | 2012. 06. 14., cs – 18:31 )

secedit.exe-t nézted?

Üdv,
Marci

köszi, ez lesz a megoldás!

kallo linkje alapján elértem a célom, ezt futtatom:
nem teljesen értem, pontosan mire jó a reg értékek törlése meg mást se, de mũködik: 


copy %SystemRoot%\security\Database\secedit.sdb .
secedit /configure /cfg SimplShar.inf /db secedit.sdb
move /y secedit.sdb %SystemRoot%\security\Database\

reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SeCEdit" /v TemplateUsed /f
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SeCEdit" /v LastUsedDatabase /f

gpupdate /force

ez a telepítõfájl: 


[Unicode]
Unicode=yes

[Version]
signature="$CHICAGO$"
Revision=1

[System Access]
EnableGuestAccount = 1

[Privilege Rights]
SeDenyNetworkLogonRight =
; Everyone
SeNetworkLogonRight = *S-1-1-0

[Profile Description]
Description = Enable Simple Sharing

tehát adatbázisfájlban (is) tárolja a GP bellításait. [solved]

~~~~~~~~
http://www.youtube.com/watch?v=VbUVqODL1nE

( hrgy84 | 2012. 06. 14., cs – 20:49 )

Nem, a gpupdate /force mukodik nem-tartomanyi kornyezetben is, olyankor a helyi GP-t huzza magara. Ez hasznos, ha a computer policy-t bokdosted, mert az elvben csak restartkor jutna ervenyre.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal