ฉันจะแก้ไขนโยบายความปลอดภัยในพื้นที่จากแบตช์ไฟล์ได้อย่างไร

ฉันกำลังพยายามเขียนโปรแกรมอรรถประโยชน์เป็นแฟ้มแบตช์ที่เพิ่มผู้ใช้ในนโยบายความปลอดภัยท้องถิ่น "ปฏิเสธการเข้าสู่ระบบในเครื่อง" ไฟล์แบทช์นี้จะใช้กับคอมพิวเตอร์อิสระหลายร้อยเครื่อง (ไม่ใช่ในโดเมนและไม่ได้อยู่ในเครือข่ายเดียวกัน)

ฉันคิดว่าหนึ่งในสิ่งต่อไปนี้เป็นตัวเลือกของฉัน แต่อาจมีบางอย่างที่ฉันไม่ได้คิด

1. ยูทิลิตี้บรรทัดคำสั่งคล้ายกับnet.exeที่สามารถปรับเปลี่ยนนโยบายความปลอดภัยในท้องถิ่น

2. ตัวอย่าง VBScript ให้ทำเช่นเดียวกัน

3. เขียนของฉันเองโดยใช้การเรียก WMI หรือ Win32 ฉันไม่ควรทำสิ่งนี้หากไม่จำเป็น

คุณสามารถใช้ntrightsยูทิลิตี้เพื่อแก้ไขสิทธิ์ของบัญชี

สิทธิ์ของผู้ใช้ "SeDenyInteractiveLogonRight" คือสิ่งที่คุณต้องการแก้ไขซึ่งอาจเป็นส่วนหนึ่งของการเข้าสู่ระบบคอมพิวเตอร์

คำสั่งต่อไปนี้จะปฏิเสธการเข้าสู่ระบบแบบโต้ตอบ jscott:

ntrights -u jscott +r SeDenyInteractiveLogonRight

http://support.microsoft.com/kb/315276

http://ss64.com/nt/ntrights.html

ฉันดูมานานเกินไป ฉันคิดคำตอบ!

วิธีตรวจสอบสถานะปัจจุบัน:

auditpol /get /subcategory:"Process Creation"

บรรทัดถัดไปนี้จะทำการเปลี่ยนแปลง มันจะตั้งค่าการสร้างกระบวนการเป็นเปิดใช้งาน

auditpol /set /subcategory:"Process Creation"

ตรวจสอบสถานะอีกครั้งและคุณจะเห็นการเปลี่ยนแปลง

หรือคุณสามารถเปลี่ยนนโยบาย "การติดตามรายละเอียด" ทั้งหมดเนื่องจาก "การสร้างกระบวนการ" เป็นหมวดหมู่ย่อยของ "การติดตามรายละเอียด" แบบนี้:

auditpol /set /category:"Detailed Tracking"

คุณสามารถส่งออกเทมเพลตโดยใช้ GUI

ทำการเปลี่ยนแปลงที่ต้องการบนพีซีอ้างอิง

SECPOL.MSC> การกระทำ> นโยบายการส่งออก> secpol.inf

จากนั้นใช้

SECEDIT.exe /IMPORT 

ห่อในภาษาสคริปต์ที่คุณชื่นชอบ (Batch, PS, VBScript)

และจะเขียนทับนโยบายปัจจุบัน

ข้อกังวลเพียงอย่างเดียวก็คือหากมีปัญหาเกี่ยวกับการเขียนทับนโยบายปัจจุบัน

ฉันไม่เคยทำมันด้วยนโยบายความปลอดภัย แต่มีมาก่อนด้วยโพรไฟล์พลังงานและกระบวนการมีลักษณะเกือบเหมือนกันคล้ายกับคำสั่ง NET.exe