Что устанавливает AutoAdminLogon на 0 (MSS-Legacy)

У меня проблема с работой AutoAdminLogon с моим образом Windows Server 2008 R2. Это AMI Amazon Windows Server 2008 R2 CIS Level 2 Benchmark из Amazon Marketplace.

Проблема, с которой я сталкиваюсь, заключается в том, что когда я устанавливаю AutoAdminLogin на 1 и выполняю gpupdate или перезагружаюсь, он возвращается к 0.

Я использую Packer для подготовки своего AMI, поэтому выполняю следующие шаги: удаление PowerShell 3.0 и перезагрузка. AutoAdminLogon устанавливается перед перезагрузкой, но gpupdate запускается при перезапуске системы. Gpupdate возвращает значение 0.

AutoAdminLogon необходим, потому что серверу необходимо перезагрузить несколько раз во время подготовки. Шаги: 1. Удаление PowerShell 3.0 2. Перезагрузка 3. AutoAdminLogon 4. Установка .Net 4.5.2 5. Установка Windows Management Framework 5.1 6. Перезагрузка.

На этом этапе Packer попытается подключиться с помощью WINRM, чтобы завершить подготовку экземпляра для захвата в качестве AMI.

Я знаю, что это как-то связано с настройками MSS-Legacy, примененными к AMI. Но как мне отменить их? Или просто для AutoAdminLogin установлено значение Disabled?

Я пробовал использовать secedit:

secedit /export /cfg c:\temp\secpol.cfg
(gc C:\temp\secpol.cfg).replace('AutoAdminLogon=1,"0"','AutoAdminLogon=1,"1"') | Out-File C:\temp\secpol.cfg
secedit /configure /db c:\windows\security\secedit.sdb /cfg c:\temp\secpol.cfg

Ссылка: изменение локальной политики безопасности с помощью Powershell

Я пробовал шаги, перечисленные здесь: https://docs.bmc.com/docs/tssa89/rollback-of-cis-and-pciv2-templates-after-remediation-does-not-work-808908846.html < / а>

Вот также ссылка на сценарий, который я изменил для обновления PowerShell: https://github.com/jborean93/ansible-windows/blob/master/scripts/Upgrade-PowerShell.ps1

Теперь, если я загружу шаблоны MSS-Legacy GPO и использую графический интерфейс для установки MSS: (AutoAdminLogon) Включить автоматический вход в систему (не рекомендуется) на Включено, он будет работать, и настройка сохранится после перезагрузки или gpudpate. Но мне нужен способ сделать это с помощью сценария, потому что нет взаимодействия с экземпляром во время процесса выпечки.

Я не могу выполнять эти шаги с помощью графического интерфейса, поскольку это часть нашего процесса выпечки AMI.

Большое спасибо, я с нетерпением жду возможности увидеть мысли людей.


windows amazon-web-services powershell packer gpo
person Irenicus    schedule 10.01.2019    source источник

Ответы (2)


arrow_upward
1
arrow_downward

Я только что наткнулся на эту забаву!

Я использовал модуль PowerShell PolicyFileEditor и множество проб и ошибок в сочетании с информацией в вашем вопросе ( спасибо за это!), чтобы это заработало.

Моя ОС - Windows Server 2016, поэтому, надеюсь, она также работает с Windows Server 2008 R2 (не то чтобы кто-то больше должен ее использовать).

Вот код PowerShell, который я использую в своей сборке Packer:

Install-Module PolicyFileEditor
Import-Module PolicyFileEditor
# Change the Autologon GPO setting
Set-PolicyFileEntry -Path "$env:windir\system32\GroupPolicy\Machine\registry.pol" -Key "Software\Microsoft\Windows NT\CurrentVersion\Winlogon" -ValueName "AutoAdminLogon" -Data "1"
# Force the policy update to occur
gpupdate /force

# Configure the auto login user and password so that the next restart has autologin
$loginPath = "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
Set-ItemProperty -Path $loginPath -Name "DefaultUserName " -Value "<your_admin_user>" -Type String
Set-ItemProperty -Path $loginPath -Name "DefaultPassword" -Value "<your_admin_password>" -Type String
person testworks    schedule 15.07.2020

arrow_upward
0
arrow_downward

Также необходимо указать еще один параметр реестра - AutoLogonCount. AutoAdminLogon напрямую зависит от количества входов в систему, сколько раз система будет автоматически входить в систему после перезагрузки.

Если ваш счетчик входа в систему не установлен, это может быть причиной его сброса на 0.

Если вы хотите, чтобы это значение было установлено бесконечно, просто установите 999999 или что-то смехотворно высокое.

Дополнительную информацию можно найти в этом MSDN: MSGina. dll

person Peter Kay    schedule 11.01.2019
comment
Привет, Питер, я установил счетчик входа в систему на 999999. Но AutoAdminLogon все равно возвращается к 0 после перезагрузки или gpupdate. - person Irenicus; 11.01.2019
comment
Уменьшается ли счет автолога? Кроме того, пока вы занимаетесь этим, попробуйте проверить системные журналы, если вы видите какие-либо записи для этого реестра. - person Peter Kay; 11.01.2019
comment
Он остается прежним, а для AutoAdminLogon установлено значение 0. - person Irenicus; 11.01.2019
comment
@Irenicus уменьшает ли счет автолога с 99999 до 0? - person Peter Kay; 11.01.2019
comment
Нет, остается прежним. Я думаю, что это было бы, если бы AutoAdminLogon был установлен на 1 во время процесса перезагрузки. - person Irenicus; 11.01.2019