域內批量分發登錄檔設定

2021-05-26 22:50:45 字數 2934 閱讀 4834

適合讀者:網管

前置知識:域伺服器基本操作

域內批量分發登錄檔設定

我想很多網管朋友都遇到過這樣一種情況,就是需要在域內所有的機器上更改某項登錄檔設定,但如果一台一台地去修改,那實在是一件效率不高又累人的事情,我就曾遇到過這種情況,直到我自定義安全模板之後。因為通過自定義安全模板,我就可以在整個域範圍內使用組策略分發登錄檔設定,再也不必到桌面進行操作了。

安全模板是組策略的乙個組成部分,這裡的安全模板表現於組策略視窗下的「計算機配置/windows設定/安全設定/本地策略/安全選項」,雖然說是安全相關的選項,實際上它可以容納各種登錄檔設定,而並非一定要是安全相關的設定,我這裡的實際情況就不是安全相關的設定。

安全模板主要由sceregvl.inf檔案控制,它位於%windir%\inf目錄下,圖1是這個檔案的一部分:

圖1這個檔案初看起來很複雜,實際上很簡單,它由[version]、[register registry values]和[strings]三個小節組成,很像ini檔案的結構。其中[version]指明此檔案的版本,而[register registry values]是我們主要關注的部分,它是登錄檔鍵路徑及相關設定,而[strings]是[register registry values]小節中變數的賦值區,下面我們來看看[register registry values]中每個條目的組成,包括四個字段(如圖2所示):

圖21, 登錄檔的路徑,形如

machine\system\currentcontrolset\control\lsa\auditbaseobjects,對應於hklm\system\currentcontrolset\control\lsa\auditbaseobjects,

2, 登錄檔值的型別,有五種型別,

1——reg_sz,字串值

2——reg_expand_sz---擴充套件字串值 

3——reg_binary

4——reg_dword

7——reg_multi_sz

3,在安全模板中的顯示名稱,可以使用變數,如果使用變數,請用%%包含起來,並在[strings]小節中賦值;

4, 顯示值的型別:

0 -boolean

1 -number

2 -string

3-choices

4 -multivalued

5-bitmask

如果這裡是choices或者bitmask,那麼這些可選值應該被列出來,格式為「值|顯示的字串」,這些可選值之間用逗號分隔,例如:0|%ra0%,1|%ra1%,2|%ra2%

好了,我們知道了安全模板檔案的組成,這下我們就可以自定義了,下面就以我的實際例子來講解。

我們公司有個管理軟體客戶端,在windows 2000/xp中需要修改登錄檔值和配置環境變數才能使用,開始時我自製了兩個登錄檔檔案,安裝時手工匯入即可,後來發現這樣還是不方便,於是就想到了利用組策略,因為組策略很多設定都是修改登錄檔,所以登錄檔相關的就可以考慮組策略,當然後來就想到了自定義安全模板,實際上我這裡的登錄檔設定與安全是無關的,但仍然可以在安全模板進行定義。下面將說說從自定義安全模板到在域相關ou中分發策略的大致步驟。

步驟一:根據要求修改sceregvl.inf檔案

我在域控制器的sceregvl.inf 檔案中[register registry values]小節尾部加上了下面的部分:

; 自定義設定部分

; 修改環境變數

machine\system\currentcontrolset\control\session manager\environment\sybase,1,"c配置sybase",2

machine\system\currentcontrolset\control\session manager\environment\dsquery,1,"c配置dsquery",2

machine\system\currentcontrolset\control\session manager\environment\include,2,"c配置include",2

machine\system\currentcontrolset\control\session manager\environment\lib,2,"c配置lib",2

machine\system\currentcontrolset\control\session manager\environment\path,2,"c配置path",2

; 建立與win98相容的ip相關配置

machine\system\currentcontrolset\services\class\nettrans\0000\ipaddress,1,"c配置ip位址",2

machine\system\currentcontrolset\services\class\nettrans\0000\ipmask,1,"c配置子網掩碼",2

其中每個條目第3部分的c字頭是為了便於在安全模板中進行識別,這樣一眼就可以看出是自定義設定。

步驟2:完成了對sceregvl.inf的修改,還需要在計算機中登記這些新的入口(也就是新添的自定義設定),在修改此檔案的計算機上執行下面的命令(通常都是在dc上):

regsvr32 %windir%\system32\scecli.dll

注意每次修改完sceregvl.inf檔案後都需要這樣註冊,註冊完之後,在這台計算機上開啟任何乙個組策略編輯視窗,你就將會看到上面的自定義條目(如圖3所示):

圖3步驟3:在相應域或ou的組策略視窗中給上面的自定義條目賦值,雙擊條目,在彈出視窗中賦值或選擇即可,如圖4所示。

圖4注意對於reg_expand_sz型別的賦值,請用雙引號(」」)把他們引起來,比如我這裡為path環境變數賦值就必須把它引起來,不然它只會應用第乙個分號前的值。編輯完之後,你可以在一台客戶機上使用gpupdate /target:computer(xp支援)命令來重新整理組策略,然後到登錄檔中檢查是否已成功應用了修改,如果成功了,那祝賀你,如果有不如意的地方,那就再仔細檢查一下上面幾個步驟。

登錄檔設定例子

using system using microsoft.win32 namespace registryproc endregion region setregkey set registry key private bool setregkey string strkeyname,string ...

域環境提權 編輯登錄檔

token 令牌 域環境中提權 使用者每次登入時,賬號繫結臨時的token 訪問資源時提交token進行身份驗證,類似於web cookie。delegate token 互動會話登入,例如直接登入 遠端桌面登入 impersonate token 非互動登入,例如訪問檔案共享 注意 在域環境中,d...

登錄檔中設定頁面列印引數

網頁檔案,可以通過 檔案 頁面設定 並修改相應的引數,就可實現列印格式的調整,如下圖 但是如何通過程式實現,根據列印的需要,動態設定這些引數。可以通過操作登錄檔,達到同樣的效果,因為這些登錄檔項與上圖的設定是對應的,如下 hkey current user software microsoft in...