Modifier la stratégie de groupe à l'aide de Windows CMD

15

Je souhaite modifier le paramètre de stratégie de groupe qui applique la valeur de l'emplacement du serveur WSUS Windows Update HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUServeret HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUStatusServer.

Les modifier directement dans le registre n'écrasera pas ce qui a été défini dans la stratégie de groupe, donc je voudrais savoir quelles commandes puis-je utiliser pour modifier l'entrée de stratégie de groupe de ces valeurs à la place?

windows-xp command-line windows-update group-policy wsus Mechaflash
la source

Réponses:

11

Mark Russinovich a un excellent article sur le contournement des changements de stratégie de groupe .

Les paramètres de stratégie de groupe font partie intégrante de tout environnement informatique Windows. Si vous êtes un administrateur réseau, vous les utilisez pour appliquer la politique de sécurité et de gestion des postes de travail de l'entreprise, et si vous êtes un utilisateur, vous avez presque certainement été frustré par les limitations imposées par ces politiques. Peu importe qui vous êtes, vous devez savoir que si les utilisateurs de votre réseau appartiennent au groupe de l'administrateur local, ils peuvent contourner les stratégies à tout moment.

Pour contourner un paramètre de stratégie de groupe, il existe deux étapes: identifier l'emplacement du paramètre et empêcher son application. Il existe de nombreuses références de stratégie de groupe disponibles, mais puisque les paramètres de stratégie de groupe de machines stockent dans la branche HKEY_LOCAL_MACHINE du Registre et les paramètres de stratégie de groupe par utilisateur stockent dans HKEY_CURRENT_USER, si vous ne connaissez pas l'emplacement du paramètre qui vous empêche de faire quelque chose vous voulez, vous pouvez utiliser Regmon pour le trouver.

Le nombre de paramètres de verrouillage du bureau disponibles pour les administrateurs de stratégie de groupe est énorme. Ils peuvent vous empêcher de faire quoi que ce soit de changer l'apparence de votre bureau et de démarrer le menu pour exécuter certaines applications. Deux paramètres couramment appliqués incluent un programme d'économiseur d'écran préconfiguré pour que les utilisateurs ne gaspillent pas de ressources sur des économiseurs d'écran futiles et un délai d'expiration pour que les systèmes ne soient pas indéfiniment accessibles lorsqu'un utilisateur s'éloigne. Lorsque ces paramètres sont en vigueur, Windows omet l'onglet économiseur d'écran de l'applet du panneau de configuration des propriétés d'affichage ou ne vous permet pas de modifier l'économiseur d'écran ou son délai d'expiration. Je vais vous montrer comment utiliser le pouvoir d'être un administrateur local et Regmon pour retrouver ces paramètres et les remplacer sur votre propre système.

Alors qu'il entre dans le Registry Monitor, Process Monitor existe également de nos jours qui combine plusieurs outils de surveillance en un seul. Il vous permet de trouver les clés de registre en cours de modification. Accédez simplement aux clés de registre pertinentes et modifiez leurs autorisations afin qu'elles ne puissent plus être mises à jour ...

Découvrez ce que vous pouvez faire avec la regcommande; vous pouvez vérifier l'accès avec accesschk.

Tamara Wijsman
la source
Merci pour la méthode, Tom. Mais il capture trop de données lorsqu'il s'agit de modifications apportées par gpedit.msc. Je pense que c'est une question plutôt différente, j'ai donc ouvert un nouveau fil ici: superuser.com/questions/946123/…
Sopalajo de Arrierez
7

La stratégie de groupe pour la machine locale est stockée dans le registre.

L'approche boiteuse pour le modifier, est via l'invite de commande en utilisant la commande reg. Ceci est loin d'être pratique car il nécessite une connaissance absolue de chaque paramètre de registre de stratégie local et les erreurs peuvent être assez désastreuses.

L'outil à utiliser à la place est PowerShell , le successeur de Microsoft à l'invite de commandes.

Voici quelques articles qui peuvent vous aider à utiliser les applets de commande PowerShell pour les modifications de stratégie locale:

Utiliser Windows PowerShell pour gérer la stratégie de groupe
Cmdlets Windows PowerShell pour
la gestion des stratégies de groupe des stratégies de groupe pour les professionnels de l'informatique Référence des paramètres de
stratégie de
groupe des stratégies de groupe pour Windows et Windows Server

harrymc
la source
1
Aussi attrayant que la cmdlet PowerShell GroupPolicy semble, apparemment (et de manière surprenante), il ne peut pas être utilisé dans le cas le plus simple, à savoir, pour gérer la machine locale ou les stratégies utilisateur sur une machine non liée à un domaine. En effet, votre premier lien indique que l'applet de commande nécessite AD, mais avant de le remarquer, j'ai eu du mal à faire fonctionner l'applet de commande GP sur un client Windows 10 Pro autonome et le dernier PowerShell. J'ai d'abord été encouragé par le fait que RSAT (une condition préalable de l'applet de commande GP) ait été installé avec succès, mais à la fin, l'applet de commande n'a jamais été satisfaite de la force des informations d'identification de l'administrateur local.
Glenn Slayden
@GlennSlayden, pourriez-vous s'il vous plaît en dire plus sur vos tensions? Vous avez installé RSAT mais avez quand même échoué car votre machine n'était pas dans le domaine, à cause de la faiblesse de votre mot de passe? Pourquoi?
Suncatcher
@Suncatcher Ma meilleure supposition est que c'est parce que c'est une machine autonome sans domaine. Comme je l'ai mentionné, à l'origine, je n'ai pas remarqué cette exigence (ou je ne pensais peut-être pas que ce serait un spectacle).
Glenn Slayden
1

Vous pouvez également exécuter gpedit.msc. Comme dans Start - r gpedit.msc Enter.

Nae
la source
0

Vous pouvez choisir un autre WSUS pour l'installation de la mise à jour en utilisant l'option / use_wsus de l'outil de ligne de commande WuInstall , qui modifie exactement ces valeurs - cependant, après l'exécution de WuInstall, les valeurs reviennent à l'ancienne valeur

hsn
la source
1
Je n'ai pas précisé, mais il s'agit d'un environnement d'entreprise et les dépendances ne sont pas acceptables (c'est-à-dire des outils non inclusifs).
Mechaflash