Cambiar la política de grupo con Windows CMD

15

Quiero cambiar la configuración de la directiva de grupo que aplica el valor de la ubicación del servidor WSUS de Windows Update HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUServery HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUStatusServer.

Cambiarlos directamente en el registro no sobrescribirá lo que se ha establecido en la política de grupo, por lo que me gustaría saber, ¿qué comandos puedo usar para cambiar la entrada de la política de grupo de estos valores?

windows-xp  command-line  windows-update  group-policy  wsus 
Mechaflash
fuente

Respuestas:

11

Mark Russinovich tiene un excelente artículo sobre eludir los cambios de la Política de grupo .

La configuración de la política de grupo es una parte integral de cualquier entorno de TI basado en Windows. Si usted es un administrador de red, los usa para hacer cumplir la política de seguridad corporativa y administración de escritorios, y si es un usuario, seguramente se ha sentido frustrado por las limitaciones impuestas por esas políticas. Independientemente de quién sea, debe tener en cuenta que si los usuarios de su red pertenecen al grupo de administradores locales, pueden evitar las políticas en cualquier momento que lo deseen.

Hay dos pasos para eludir una configuración de directiva de grupo: identificar la ubicación de la configuración y evitar que se aplique. Hay muchas referencias de políticas de grupo disponibles, pero dado que la configuración de políticas de grupo de máquinas se almacena en la rama HKEY_LOCAL_MACHINE del Registro y la configuración de políticas de grupo por usuario se almacena en HKEY_CURRENT_USER, si no conoce la ubicación de la configuración que le impide hacer algo si quieres puedes usar Regmon para encontrarlo.

La cantidad de configuraciones de bloqueo de escritorio disponibles para los administradores de directivas de grupo es enorme. Pueden evitar que haga algo, desde cambiar la apariencia de su escritorio y el menú de inicio hasta ejecutar ciertas aplicaciones. Dos configuraciones comúnmente aplicadas incluyen un programa de protector de pantalla preconfigurado para que los usuarios no desperdicien recursos en protectores de pantalla frívolos, y un tiempo de espera del protector de pantalla para que los sistemas no se dejen acceder indefinidamente cuando un usuario se retira. Cuando esta configuración está vigente, Windows omite la pestaña del protector de pantalla del applet del panel de control de propiedades de visualización o no le permite modificar el protector de pantalla o su tiempo de espera. Voy a mostrarle cómo usar el poder de ser un administrador local y Regmon para rastrear estas configuraciones y anularlas en su propio sistema.

Si bien entra en el Monitor de registro, Process Monitor también existe en estos días que combina varias herramientas de monitoreo en una. Le permite encontrar las claves de registro que se están modificando. Simplemente vaya a las claves de registro relevantes y cambie sus permisos para que no puedan actualizarse más ...

Mira lo que puedes hacer con el regcomando; puedes verificar el acceso con accesschk.

Tamara Wijsman
fuente
Gracias por el método, Tom. Pero captura demasiados datos cuando se trata de cambios realizados por gpedit.msc. Creo que esto es más bien una cuestión diferente, por lo que he abierto un nuevo hilo aquí: superuser.com/questions/946123/...
Sopalajo de Arrierez
7

La política de grupo para la máquina local se almacena en el registro.

El enfoque poco convincente para modificarlo es a través del símbolo del sistema utilizando el comando reg. Esto es poco práctico porque requiere un conocimiento absoluto de todas y cada una de las configuraciones locales de registro de políticas, y los errores aquí pueden ser bastante desastrosos.

La herramienta a utilizar en su lugar es PowerShell , el sucesor de Microsoft en el símbolo del sistema.

Algunos artículos que pueden comenzar a utilizar los cmdlets de PowerShell para los cambios de políticas locales son:

Use Windows PowerShell para administrar la directiva de grupo
Cmdlets de Windows PowerShell para la directiva de
grupo Administración de directivas de grupo para profesionales de TI Referencia de configuración de
directivas de
grupo de directivas de grupo para Windows y Windows Server

harrymc
fuente
1
Tan atractivo como parece el cmdlet PowerShell GroupPolicy, aparentemente (y sorprendentemente) no se puede usar en el caso más simple, a saber, para administrar la máquina local o las políticas de usuario en una máquina que no está unida al dominio. De hecho, su primer enlace indica que el cmdlet requiere AD, pero antes de notar esto, luché para que el cmdlet GP funcionara en un cliente Windows 10 Pro independiente y el último PowerShell. Al principio, me alentó que RSAT (un requisito previo del cmdlet GP) se instaló con éxito, pero al final, el cmdlet nunca quedó satisfecho con la solidez de las credenciales de administrador local.
Glenn Slayden
@GlennSlayden, ¿podría contarnos más sobre sus tensiones? ¿Instalaste RSAT pero falló de todos modos porque su máquina no estaba en el dominio, debido a la debilidad de su contraseña? ¿Por qué?
Suncatcher
@Suncatcher Mi mejor conjetura es que fue porque es una máquina independiente sin dominio. Como mencioné, originalmente no noté este requisito (o tal vez no creí que sería un espectáculo).
Glenn Slayden
1

Alternativamente puedes correr gpedit.msc. Al igual que en Start - r gpedit.msc Enter.

Nae
fuente
0

Puede elegir un WSUS alternativo para la instalación de la actualización utilizando la opción / use_wsus de la herramienta de línea de comandos WuInstall , que cambia exactamente esos valores; sin embargo, después de la ejecución de WuInstall, los valores vuelven al valor anterior

hsn
fuente
1
No especifiqué, pero este es un entorno empresarial y las dependencias no son aceptables (es decir, herramientas no inclusivas).
Mechaflash
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.