Elven
19-03-2019, 11:23
Имеется некоторое количество недоменных компьютеров (и они должны оставаться недоменными) на которых нужно включить SRP именно для группы Non-Administrators (и это не моя хотелка, я бы предпочел сделать нормальные общие правила).
Сделать это из гуёв не так уж сложно:
mmc.exe -> file -> add/remove snap-in -> group policy object -> add -> browse -> users -> non-administrators -> ok -> finish
1. дальше правила добавляются как обычно
Результат выглядит неплохо: для неадминов включается SRP согласно добавленным правилам, а админы спокойно запускают все, что запрещено этими самыми правилами.
Однако, таки возникает вопрос как теперь это добавить на указанные в начале поста компьютеры причем именно через powershell (будет частью скрипта, который добавляет еще кое какие настройки).
Первая возникшая мысль была об экспорте/импорте соответствующей ветки в реестре, но тут поджидал сурпрыз: за каким-то лешим ветка создается в HKCU (или, если кому так удобнее, в HCU\S-1-5-21-...)\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{8639E6AA-4CB7-4BF7-9019-4C2A7ED8FA1B}User
причем содержимое {} от компьютера к компьютеру меняется, точно так же как от правила к правилу меняется содержимое {} в Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{1dd9e3d2-2ae9-46ca-976f-f6cce82d856c} (это уже касается непосредственно правил SRP).
Ну и собственно вопрос: как задать правила SRP для группы Non-Admininstrators при помощи powershell?
Сделать это из гуёв не так уж сложно:
mmc.exe -> file -> add/remove snap-in -> group policy object -> add -> browse -> users -> non-administrators -> ok -> finish
1. дальше правила добавляются как обычно
Результат выглядит неплохо: для неадминов включается SRP согласно добавленным правилам, а админы спокойно запускают все, что запрещено этими самыми правилами.
Однако, таки возникает вопрос как теперь это добавить на указанные в начале поста компьютеры причем именно через powershell (будет частью скрипта, который добавляет еще кое какие настройки).
Первая возникшая мысль была об экспорте/импорте соответствующей ветки в реестре, но тут поджидал сурпрыз: за каким-то лешим ветка создается в HKCU (или, если кому так удобнее, в HCU\S-1-5-21-...)\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{8639E6AA-4CB7-4BF7-9019-4C2A7ED8FA1B}User
причем содержимое {} от компьютера к компьютеру меняется, точно так же как от правила к правилу меняется содержимое {} в Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{1dd9e3d2-2ae9-46ca-976f-f6cce82d856c} (это уже касается непосредственно правил SRP).
Ну и собственно вопрос: как задать правила SRP для группы Non-Admininstrators при помощи powershell?