¿Cómo puedo editar la política de seguridad local desde un archivo por lotes?

10

Estoy tratando de escribir una utilidad como un archivo por lotes que, entre otras cosas, agrega un usuario a la política de seguridad local "Denegar inicio de sesión local". Este archivo por lotes se usará en cientos de computadoras independientes (no en un dominio y ni siquiera en la misma red).

Asumí que una de las siguientes eran mis opciones, pero tal vez hay una en la que no he pensado.

Una utilidad de línea de comandos similar a la net.exeque puede modificar la política de seguridad local.
Una muestra de VBScript para hacer lo mismo.
Escribe el mío usando algunas llamadas WMI o Win32. Prefiero no hacer esto si no tengo que hacerlo.

— Stephen Jennings
fuente

5

Puede usar la ntrightsutilidad para editar privilegios de cuenta.

El derecho de usuario "SeDenyInteractiveLogonRight" es lo que desea editar, probablemente como parte del inicio de sesión de la computadora.

El siguiente comando negaría el inicio de sesión interactivo de jscott:

ntrights -u jscott +r SeDenyInteractiveLogonRight

http://support.microsoft.com/kb/315276

http://ss64.com/nt/ntrights.html

— jscott
fuente

A-ha, esto funciona para lo que necesito. ¡Gracias!

— Stephen Jennings

2

También busqué por mucho tiempo. Descubrí la respuesta!

Para verificar el estado actual:

auditpol /get /subcategory:"Process Creation"

La siguiente línea hará el cambio. Establecerá la creación del proceso en Habilitado.

auditpol /set /subcategory:"Process Creation"

Verifique el estado nuevamente y verá el cambio.

Alternativamente, puede cambiar todas las políticas de "seguimiento de detalles", ya que la "creación de procesos" es una subcategoría de "seguimiento de detalles". Me gusta esto:

auditpol /set /category:"Detailed Tracking"

— AvenaBarco
fuente

1

puedes exportar una plantilla usando la GUI

hacer los cambios deseados en la PC de referencia,

SECPOL.MSC> Acciones> Política de exportación> secpol.inf

luego usa

SECEDIT.exe /IMPORT

envuélvala en su lenguaje de script favorito (Batch, PS, VBScript)

y sobrescribirá la política actual

La única preocupación sería si hay problemas para sobrescribir la política actual

Nunca lo hice con una política de seguridad, pero sí con perfiles de energía, y el proceso se ve casi idéntico, similar al comando NET.exe.

— Matt Hamende
fuente