彙整

Posts Tagged ‘GPO’

WSUS相關文件

2008 年 10 月 28 日 發表留言
分類:MIS維護 標籤:,

透過GPO取得區域ClientPC端的使用者權限

2008 年 10 月 28 日 發表留言
文章來源:獲取客戶端域用戶賬戶權限|net localgroup計算機啟動腳本

原文轉成繁體整理如下:

問題:有個需求想咨詢一下,我是否可以實現抽取AD帳戶在各個PC機上的權限級別。比如帳戶username1 在PC1 所屬administrators ,在PC2上所屬 users。不知我的需求是否明白,請告知我方法謝謝~

回答:根據您的描述,我對這個問題的理解是:您想獲取域用戶帳號在客戶端的組(Group)信息。如果我的理解有誤,請告訴我。

目前沒有工具可以直接完成您的要求,不過系統內置的 net 命令可以部分的達到您的目的。

具體步驟如下:

1,製作一個啟動腳本,其中命令為


Net localgroup >\\server\share\group.txt
Net localgroup administrators >\\server\share\group.txt
Net localgroup power users >\\server\share\group.txt
Net localgroup users >\\server\share\group.txt
….

2,將這一腳本加入組策略(GPO)的啟動腳本裡,讓所有計算機運行。
這些命令中第一條將列出統計需要的計算機名稱,然後逐一顯示已知組的成員列表。這樣即使區域用戶在自定義組裡也能很快定位其所屬的組(Group),從而知道他們獲得了什麼權限。
您需要在服務器上配置一個可寫共享資料夾,讓用戶將相關信息寫入服務器文件裡。
當然如果腳本編寫的更精細一點可以讓輸出以計算機名命名(比如net localgroup > \\server\share\%COMPUTERNAME%.txt)。

Sean Cai 蔡怡林 微軟全球技術支持中心
—————————————————

測試批次檔內容如下:(GetLocalGroupRight.BAT)


@echo off
set SERVERNAME=TPDC1
set SHAREFOLDER=Share
Net localgroup > \\%SERVERNAME%\%SHAREFOLDER%\%COMPUTERNAME%.txt
Net localgroup administrators >> \\%SERVERNAME%\%SHAREFOLDER%\%COMPUTERNAME%.txt
Net localgroup "power users" >> \\%SERVERNAME%\%SHAREFOLDER%\%COMPUTERNAME%.txt
Net localgroup users >> \\%SERVERNAME%\%SHAREFOLDER%\%COMPUTERNAME%.txt
set SERVERNAME=
set SHAREFOLDER=

其中
SERVERNAME={要存放的電腦名稱}
SHAREFOLDER={要存放的共用資料夾名稱,權限要能寫入。}
請記得把 “>" (全形)改為正常的 “>" (半形)。

測試成功後,看到導出的文字檔內容–有點亂,發覺暫時沒啥用處,除非能更進階的整理。

分類:MIS維護 標籤:, ,

更改本地管理員密碼的腳本(修)

2008 年 10 月 27 日 2 留言

參考資料:

  1. 更改本地管理員密碼的腳本(Winmag亞洲技術社區)
  2. 運行腳本權限問題! – 微軟中文技術論壇(MSDN and TechNet)
  3. 更改 Windows 本地管理員密碼(微軟中國)
  4. 在域控制器上如何一次修改屬於這個域的計算機的管理員密碼?-by gnaw0725
  5. GPUpdate 刷新组策略设置(使组策略立即生效) — Windows XP/2003 以上 (2008-10-27 新增)

討論內容節錄如下:(參考資料1)

Dim oWshNetwork
Set oWshNetwork = WScript.CreateObject("WScript.Network")

Dim strComputer
strComputer = oWshNetwork.ComputerName
'WScript.Echo strComputer

Set objUser = GetObject("WinNT://" & strComputer & "/Administrator, user")
objUser.SetPassword "testpassword"
objUser.SetInfo

微軟的範例:(參考資料3,4)

'Changing the Local Administrator Password.vbs
'*****************************************************
'
' file: Changing the Local Administrator Password.vbs
' Author: Microsoft
'
'*****************************************************
strComputer = "."
Set objUser = GetObject("WinNT://" & strComputer & "/Administrator,user")
objUser.SetPassword "testpassword"
objUser.SetInfo

——————————————————以下2008-10-27新增
或者寫一個 Batch File 內容如下: (假設命名為 ChangeAdminPW.BAT)

@echo off

NET USER Administrator testpassword

  • 再將該 Batch file or VBS放置在 \\{DC}\sysvol\{domain}\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\USER\Scripts\Logon
  • 進入 群組物件編輯器 –>GPO 的 使用者設定 –> Windows 設定 –> 指令碼 – (登入/登出) –> 登入 –> 新增
  • GPO更改完成之後,可在 CMD 下輸入以下指令,使更新過的GPO策略立即生效。(參考資料4)
    • 以下指令 Windows 2000 Server 適用
      secedit /refreshpolicy MACHINE_POLICY
    • 以下指令 Windows 2003 Server 適用
      gpupdate /force 
  • 在DC共享出去的 netlogon 文件夾上,注意domain computers是否有加到權限表裡。(參考資料2) --感謝changdiao的提醒,此段文字內容我沒有詳加確認就放上去,在此刪除。(2008-11-17)
  • 以下是 Netlogon 的相關權限畫面:(僅供參考,方便爾後對照 – 2008-11-17)imageimageimage
    • 一般只要是網域的User,登入之後就會執行。Everyone 只要給 Read 權限即可。Authenticated Users 的 Default 權限如上圖。
  • 以上作法,每登入一次就會執行一次。

———————————————–以上2008-10-27新增及修改

以上密碼為明碼, 也可使用下列二種工具來編碼之後,再設定在GPO上:
1.可使用 Script Encoder 來編碼 (Screnc.exe)

2.可使用 VBS2EXE 工具編譯成EXE

分類:MIS維護 標籤:, , ,

在Windows XP(SP2)如何關閉自動執行(Autorun)

2008 年 10 月 09 日 發表留言

文章來源: http://www.2003kj.twycf.com/wordpress/?p=134

內容實在寫的不錯,文筆很清晰。

擷錄之前已經設定過部份,因為當時參考的原文連結早已不在。

——————————————————————————–

補充:若參照上面轉載的資料去做,基本上是可以了,但小弟認為最好連自動播放也一起關閉。
1.開始→執行,在執行的欄位輸入gpedit.msc,然後按下Enter(或滑鼠按下【確定】),此時就會開啟群組原則的視窗.

2.本機電腦 原則→電腦設定→系統管理範本→系統,點擊[關閉自動播放]
gpeditmsn.JPG

3.選擇[已啟用];選擇[所有磁碟機],然後按下[套用],最後再按下[確定].
gpeditmsn_3.JPG
補充:以上自動播放的停用,不包括光碟機喔!若要光碟機的自動播放也要關閉的話,可以修改Registry.

路徑:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom,DWORD值的[AutoRun],預設的1改為0.

———————————————————————————

分類:MIS維護 標籤:,
%d 位部落客按了讚: