标题: [系统相关] 批处理组策略的修改与生效 [打印本页]
作者: bluewing009 时间: 2011-7-7 11:05 标题: 批处理组策略的修改与生效
大家都知道,组策略一般是有对应的注册表项或者标记文件或者执行文件(比如ini),通过系统监控或者前后快照,我们发现,修改组策略时,某个注册表项被修改,同时某个文件被写入。但是,当我对应修改注册表和这个文件时,组策略并没有动静,也不执行(如果这个动作有对应执行,比如删除文件等)。希望大家能指点一下……
我参看了坛子里已有的相关帖子,发现路过的多,回答的少……一般都说是对应修改注册表,但是在我实际测试中,这个回答是无效的
作者: lxzzr 时间: 2011-7-7 13:15
这要看你修改哪些地方了,组策略不全是在注册表..
作者: bluewing009 时间: 2011-7-7 15:46
2# lxzzr
那我们就举个坛子中最常见的的帖子http://bbs.bathome.net/thread-5253-1-1.html
我如果直接对C:\WINDOWS\System32\GroupPolicy\User\Scripts\scripts.ini 和HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts\Logoff\
操作的话 是不成功的
作者: lxzzr 时间: 2011-7-7 17:46
XPSP3,没有问题- @echo off
- MD "%windir%\System32\GroupPolicy\User\Scripts"
- set "filename=%windir%\System32\GroupPolicy\User\Scripts\scripts.ini"
-
- echo. >>"%filename%"
- echo.[Logoff] >>"%filename%"
- echo.0CmdLine=C:\a.bat >>"%filename%"
- echo.0Parameters= >>"%filename%"
-
- pause
作者: qzwqzw 时间: 2011-7-7 18:09
组策略也是有个刷新的过程的
这个过程包括窗口消息、缓存清空等多项非文件IO的操作
一般也很难监控得到
XP和03下可以使用gpupdate /force强制立即刷新策略
但是手工修改注册表和配置文件是否也可以用gpupdate刷新不得而知
作者: bluewing009 时间: 2011-7-7 20:02
4# lxzzr
你确定只修改scripts.ini有效么?如果设定一个关机脚本,脚本内容是删除某个文件(或者创建,只要能看出来就行),然后关机试试看?PS,或者写注销脚本,这样就不用等了
作者: Hello123World 时间: 2011-7-8 17:04
2# lxzzr
你这话有什么根据吗?(很疑惑,因为以前我都是认为组策略只不过是注册表更直观的操作界面——只有注册表,没有组策略)
作者: Hello123World 时间: 2011-7-8 17:14
http://bbs.winos.cn/thread-25332-1-1.html
这些人的讨论显示你的话完全站不住脚(组策略就全是在注册表,只不过组策略操作过程改变结果,注册表直接改变结果——也算了反面验证我以前的看法。)
作者: Demon 时间: 2011-7-8 17:29
http://bbs.winos.cn/thread-25332-1-1.html
这些人的讨论显示你的话完全站不住脚(组策略就全是在注册表,只不过组策略操作过程改变结果,注册表直接改变结果——也算了反面验证我以前的看法。)
Hello123World 发表于 2011-7-8 17:14 
你又知道这些人的讨论一定是对的?
作者: Hello123World 时间: 2011-7-8 17:35
这问题问的有意思,那你又为什么怀疑他们是错的呢?
(我之所以认为他们是对的,是因为有一种根深蒂固的认识(我也不敢绝对打包票这种认识是正确的):注册表相当于windows的数据库,所有表象的操作都是间接修改了注册表)
作者: Demon 时间: 2011-7-8 17:44
这问题问的有意思,那你又为什么怀疑他们是错的呢?
(我之所以认为他们是对的,是因为有一种根深蒂固的认识(我也不敢绝对打包票这种认识是正确的):注册表相当于windows的数据库,所有表象的操作都是间接修改了注 ...
Hello123World 发表于 2011-7-8 17:35
官方文档都可能是错的,更何况一个不见经传的论坛上的讨论。
曾经人们也根深蒂固地认为地球是宇宙的中心。
作者: lxzzr 时间: 2011-7-8 18:39
7# Hello123World
好吧,我认错...
作者: Hello123World 时间: 2011-7-8 21:52
11# Demon
我不知道你究竟要跟我争论什么,我提出一个观点,然后给出我持这个观点的原因,你却在那里东拉西扯。
你提出一个不同的观点,起码也得说说为什么这么认为吧
作者: CUer 时间: 2011-7-9 00:25
13# Hello123World
他还说批处理能让主板爆炸呢
你可以去围观一下
http://bbs.bathome.net/viewthread.php?tid=13180#pid85389
作者: CUer 时间: 2011-7-9 00:27
8# Hello123World
很遗憾,那些人的讨论完全不能说明2楼主版主站不住脚。
你找一个注册表监控或扫描软件,多修改几个组策略,就知道是不是都跟注册表相关了。
作者: CrLf 时间: 2011-7-9 00:48
都是志同道合的朋友,何必平白无故结仇呢?不是原则性的矛盾就尽量息事宁人吧,我想9楼也不是恶意挑衅,只是表达的方式欠妥罢了...
作者: bluewing009 时间: 2011-7-9 08:08
比较混乱......有点跑题
说一下我的测试结果
xp下,通过对注册表查询,导出。确实可以获得2个主要键值
该键值单独导入也有效,但是不会在组策略中显示。
所以有这么个结论: 组策略读取并显示的ini文件属于一种配置文件,实际执行的还是注册表项。组策略是一种对特定、特殊功能的注册表键值的图形化界面。
在win7下无法获得注册表键值...........
作者: qzwqzw 时间: 2011-7-9 17:47
17# bluewing009
这种说法有些问题
最近正好在学习组策略的内容
组策略主要涉及以下范畴:
1、基于注册表的策略
包括针对 Windows XP 操作系统及其组件以及针对所有程序的组策略。为管理这些设置,请使用组策略管理单元的“管理模板”节点。
2、安全选项
包括本地计算机、域和网络安全设置的选项。
3、软件安装和维护选项
用来集中管理程序的安装、更新和删除。
4、脚本选项
包括用于计算机启动和关闭以及用户登录和注销的脚本。
5、文件夹重定向选项
这些选项允许管理员将用户的特殊文件夹重定向到网络上。
这些除了第一项是完全基于注册表的之外
其它各项都各有侧重
其中安全选项主要操作的就是系统安全数据库
一般位于C:\WINDOWS\security\Database\secedit.sdb
组策略操作基本对象是GPO(组策略对象)
GPO分本地GPO和非本地GPO
本地GPO以文件形式存储在本地计算机上
一般位于C:\WINDOWS\system32\GroupPolicy下
其中Machine存储计算机策略内容
User下存储用户策略内容
Adm下存储的是组策略模板
非本地GPO主要存储在企业域结构的域控制器上
一般位于系统卷下的对应域组织的目录下
组织主要包括站点、域、OU、下级OU等
也有类似本地GPO的文件内容
它们如果在域中被定义
会依次覆盖本地GPO的策略
GPO的来源是GPT(组策略模板)
GPO依靠GPT初始化了策略信息
随后用户和管理员进行修改这些策略信息
GPT主要包括管理模板(ADM)和安全模板
管理模板一般是C:\WINDOWS\system32\GroupPolicy\Adm\*.adm
安全模板一般是C:\WINDOWS\security\templates\*.inf
GPO的目标是系统及软件配置
GPO默认每90~120分钟向系统刷新一次
此外计算机启动时会刷新一次计算机策略
用户登录时会刷新一次用户策略
刷新过程主要包括注册表、窗口消息、缓冲池、内存变量等一系列变化
有些变化必须重启才会生效
刷新的过程是静默的
不会有用户提示信息
作者: fastslz 时间: 2011-7-9 18:50
修改可以参考这个,刷新策略gpupdate /force貌似没用
http://www.bathome.net/thread-4755-1-1.html
| 欢迎光临 批处理之家 (http://www.bathome.net/) |
Powered by Discuz! 7.2 |