Windows CMDを使用してグループポリシーを変更する


15

Windows Update WSUSサーバーの場所HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUServerとの値を適用するグループポリシー設定を変更したいHKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUStatusServer

レジストリで直接変更しても、グループポリシーで設定されている内容は上書きされません。そのため、これらの値のグループポリシー入力を変更するためにどのコマンドを使用できますか。

回答:


11

Mark Russinovichには、グループポリシーの変更の回避に関する優れた記事があります

グループポリシー設定は、WindowsベースのIT環境の不可欠な部分です。ネットワーク管理者の場合は、それらを使用して企業のセキュリティおよびデスクトップ管理ポリシーを実施し、ユーザーの場合は、それらのポリシーによって課せられる制限にほぼ間違いなくイライラします。どちらに関係なく、ネットワーク内のユーザーがローカル管理者のグループに属している場合、いつでもポリシーを回避できることに注意してください。

グループポリシー設定を回避するには、設定の場所を特定することと、設定が適用されないようにすることの2つの手順があります。多くのグループポリシー参照が利用可能ですが、マシングループポリシー設定はレジストリのHKEY_LOCAL_MACHINEブランチに保存され、ユーザーごとのグループポリシー設定はHKEY_CURRENT_USERに保存されるため、何かを実行できない設定の場所がわからない場合Regmonを使用して見つけることができます。

グループポリシー管理者が使用できるデスクトップロックダウン設定の数は膨大です。これらは、デスクトップの外観やスタートメニューを特定のアプリケーションの実行に変更することを禁止します。一般に適用される2つの設定には、ユーザーが軽微なスクリーンセーバーでリソースを浪費しないように事前構成されたスクリーンセーバープログラムと、ユーザーが離れたときにシステムに無期限にアクセスできないようにするスクリーンセーバータイムアウトが含まれます。これらの設定が有効な場合、Windowsはディスプレイプロパティコントロールパネルアプレットのスクリーンセーバータブを省略するか、スクリーンセーバーまたはそのタイムアウトを変更できません。ローカル管理者とRegmonの力を使用してこれらの設定を追跡し、自分のシステムでそれらを上書きする方法を紹介します。

レジストリモニターに入ると、プロセスモニターもいくつかの監視ツールを1つに結合するようになりました。変更されているレジストリキーを見つけることができます。関連するレジストリキーにジャンプして、それらがもう更新できないようにアクセス許可を変更するだけです...

regコマンドでできることを確認してください。でアクセスを確認できますaccesschk


方法をありがとう、トム。しかし、によって行われgpedit.mscた変更を処理するときに、大量のデータをキャプチャします。私はここに新しいスレッドを開いているので、これは、かなり異なる問題であると思う:superuser.com/questions/946123/...
SopalajoデArrierez

7

ローカルマシンのグループポリシーはレジストリに保存されます。

それを変更するための不完全なアプローチは、regコマンドを使用したコマンドプロンプト経由です。これは、すべてのローカルポリシーレジストリ設定の絶対的な知識を必要とするため実用的ではありません。また、ここでのエラーは非常に悲惨な場合があります。

代わりに使用するツールは、Microsoftのコマンドプロンプトの後継であるPowerShellです。

ローカルポリシーの変更にPowerShellコマンドレットを使用する方法について説明している記事は次のとおりです。

Windows PowerShellを使用してグループポリシーを管理するグループポリシーの
Windows PowerShellコマンドレット
ITプロフェッショナル向けのグループポリシー管理WindowsおよびWindows Serverの
グループポリシー
グループポリシー設定リファレンス


1
PowerShell GroupPolicyコマンドレットは魅力的であるように思えますが、明らかに(そして驚くべきことに)最も単純な場合、つまり、ドメインに参加していないマシンでローカルマシンまたはユーザーポリシーを管理するために使用できません。実際、最初のリンクではコマンドレットにADが必要であることが示されていますが、これに気付く前に、スタンドアロンのWindows 10 Proクライアントと最新のPowerShellでGPコマンドレットを使用するのに苦労しました。最初にRSAT(GPコマンドレットの前提条件)が正常にインストールされることを勧められましたが、最終的に、コマンドレットはローカル管理者の資格情報の強度に満足することはありませんでした。
グレンスレイデン

@GlennSlayden、あなたの緊張についてもっと教えてください。RSATをインストールしましたが、パスワードが弱いため、マシンがドメインになかったために失敗しましたか?どうして?
サンキャッチャー

@Suncatcher私の最良の推測は、それがドメインのないスタンドアロンマシンだからだということです。私が言ったように、私はもともとこの要件に気付かなかった(または恐らくそれがショートッパーになるとは思わなかった)。
グレンスレイデン


1

または、を実行できますgpedit.msc。のようにStart - r gpedit.msc Enter


0

コマンドラインツールWuInstallの/ use_wsusオプションを使用して、更新のインストール用に別のWSUSを選択できます。これは、これらの値を正確に変更します-ただし、WuInstallの実行後、値は元の値に戻ります


1
私は指定しませんでしたが、これはエンタープライズ環境であり、依存関係は受け入れられません(つまり、包括的なツールではありません)。
メカフラッシュ
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.