26 votes

P. Egli avatar

Comment modifier la stratégie de groupe locale avec un script?

Demandé el 5 de Mai, 2017
Quand la question a-t-elle été
143944 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je dois définir les paramètres de stratégie de groupe locaux et la stratégie de sécurité locale pour quelques machines qui ne sont pas dans un domaine Windows. Jusqu'à présent, j'ai fait cela en définissant manuellement les clés dans gpedit. En raison de la transition vers Windows 10, j'aimerais automatiser cela et utiliser un script batch ou PowerShell pour les définir. Ce serait très bien si cela pouvait être fait sans outils tiers.

Comment puis-je définir ces politiques en utilisant Powershell ou un fichier batch ?

Merci pour vos réponses à l'avance !

Peter

Demandé el 5 de Mai, 2017 par P. Egli

Réponses

Trop de publicités?

14voto

Stajs avatar
Stajs Points 191

PolicyFileEditor est un module PowerShell pour gérer les fichiers registry.pol des GPO locales.

Brandon Padgett fournit un exemple d'utilisation:

$RegPath = 'Software\Policies\Microsoft\Windows\Control Panel\Desktop'
$RegName = 'ScreenSaverIsSecure'
$RegData = '1'
$RegType = 'String'

Set-PolicyFileEntry -Path $UserDir -Key $RegPath -ValueName $RegName -Data $RegData -Type $RegType
Répondu el 28 de Septembre, 2017 par Stajs (191 Points )

10voto

Pak avatar
Pak Points 885

Vous pouvez le faire dans PowerShell en utilisant Set-ItemProperty sur le fournisseur de Registre ; par exemple pour désactiver l'accès à Windows Update, vous pouvez exécuter :

Set-ItemProperty -Path HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate -Name DisableWindowsUpdateAccess -Value 1

(HKLM:\ étant l'alias standard pour le chemin d'accès du lecteur de Registre "Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\").

La liste des clés de Registre des stratégies de groupe peut être téléchargée depuis Microsoft à Télécharger la référence des paramètres de stratégie de groupe pour Windows et Windows Server | Centre de téléchargement Microsoft

Répondu el 5 de Mai, 2017 par Pak (885 Points )

2 votes

Avatar de P. Egli

Merci beaucoup! Mais en modifiant directement le Registre, la politique n'appliquera pas la valeur de registre actuelle si elle est modifiée pour une raison quelconque. Est-il donc possible de définir la stratégie de groupe qui définira ensuite le registre en conséquence?

Commenté el 5 de Mai, 2017 par P. Egli

0 votes

Avatar de Pak

Vous pouvez exécuter gpupdate pour que l'ordinateur recharge les paramètres; de la même manière que vous le feriez en chargeant les valeurs directement dans le registre via regedit. Par exemple gpupdate /force /target:computer

Commenté el 5 de Mai, 2017 par Pak

1 votes

Avatar de Pak

Je devrais ajouter que l'Éditeur de stratégie de groupe lit et définit simplement les valeurs du registre, donc définir les paramètres du registre a le même effet que de définir la stratégie de groupe.

Commenté el 6 de Mai, 2017 par Pak
Afficher 2 autres commentaires

4voto

Matthias Fleschütz avatar
Matthias Fleschütz Points 31

Il existe plusieurs CmdLets qui peuvent être utilisés pour manipuler les GPO (Create, Get-Info, ...). Vous pouvez facilement les lister en utilisant

Get-Command -Module GroupPolicy

Les plus importants :

New-GPO -Name "Ma propre GPO" -Comment "Il s'agit d'une nouvelle GPO pour moi"

New-GPO -Name "Ma propre GPO" | New-GPLink -Target "ou=clients,dc=ad,dc=contoso,dc=com"

Remove-GPLink -Name "Ma propre GPO" -Target "ou=clients,dc=ad,dc=contoso,dc=com"

Get-GPO -Name "Ma propre GPO"

Get-GPO -Name "Ma propre GPO" | Get-GPOReport -ReportType HTML -Path c:\temp\report.html

Set-GPRegistryValue -Name "Ma propre GPO" -Key "HKCU\Software\Policies\Microsoft\Windows\Control Panel\Desktop" -ValueName ScreenSaveTimeOut -Type DWord -Value 300

Get-GPRegistryValue -Name "Ma propre GPO" -Key "HKCU\Software\Policies\Microsoft\Windows\Control Panel\Desktop"

Remove-GPRegistryValue -Name "Ma propre GPO" -Key "HKCU\Software\Policies\Microsoft\Windows\Control Panel\Desktop" -ValueName ScreenSaveTimeOut

Invoke-GPUpdate -Computer "ad\server1" -Target "User"

Get-GPResultantSetOfPolicy -Computer dc1 -ReportType HTML -Path c:\temp\dc1rsop.html

Ceci a été simplement pris sur ici.

Répondu el 16 de Avril, 2020 par Matthias Fleschütz (31 Points )

6 votes

Avatar de escalator

Nécessite Group Policy Management Console, Remote Server Administration Tools doit être installé en premier (disponible avec les éditions Pro ou Enterprise de Windows 10)

Commenté el 22 de Avril, 2020 par escalator

0 votes

Avatar de Dragas

@escalator Vous pouvez l'installer en utilisant add-windowsfeature gpmc

Commenté el 15 de Décembre, 2021 par Dragas

1 votes

Avatar de Hugo S Ferreira

Il semble qu'il a besoin d'un contrôleur de domaine?

Commenté el 18 de Mars, 2022 par Hugo S Ferreira
Afficher 1 autres commentaires

0voto

Purge0 avatar
Purge0 Points 1

Super script de Microsoft qui détaille l'édition des valeurs des propriétés du Registre via Powershell en utilisant les Set-ItemProperty et autres cmdlets. Comme indiqué, cela ne semble pas mettre à jour l'interface utilisateur de l'éditeur de stratégies locales, donc vous voudriez probablement utiliser PolicyFileEditor si c'est un problème pour vous. Je dois faire cela sur des machines distantes en utilisant un MDM tiers et je veux éliminer autant de dépendances que possible, donc je me contente des commandes de base. J'espère que cela aidera à assembler tout cela pour les autres.

Comme mes utilisateurs ont la possibilité de modifier les paramètres en tant qu'administrateurs locaux, je vais également re-exécuter ce script chaque jour. Malheureusement, gpupdate /force /target:computer ne semble pas mettre à jour les paramètres pour moi (je change le temps de verrouillage de l'écran), donc les machines devront redémarrer pour que les modifications prennent effet.

Répondu el 9 de Janvier, 2023 par Purge0 (1 Points )

0 votes

Avatar de gargoylebident

Le Registre n'est pas des stratégies de groupe.

Commenté el 3 de Novembre, 2023 par gargoylebident

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X