Не удалось обновить статус групповой политики (локальный gpo) до «Не настроено» с помощью Powershell

С помощью PowerShell, обновив соответствующие разделы реестра, мы можем переключить статус локального объекта групповой политики на «Включено» или «Отключено», но у меня есть особое требование, чтобы убедиться, что для определенных локальных объектов групповой политики установлено значение «Не настроено». Пробовал удалять соответствующие ключи реестра, но это не помогло.

Есть ли способ добиться этого в PowerShell?


windows powershell gpo
person Nithun D    schedule 31.03.2020    source источник
comment
Какие ключи вы удаляете и для какой политики?   -  person Lance U. Matthews    schedule 31.03.2020
comment
Съемные диски: запретить доступ на запись, я хочу восстановить это локальное состояние gpo на «Не настроено».   -  person Nithun D    schedule 31.03.2020
comment
с помощью Powershell я могу удалить следующий куст HKML:\Software\Policies\Microsoft\windows\RemovableStorageDevices.   -  person Nithun D    schedule 31.03.2020

Ответы (1)


arrow_upward
0
arrow_downward

Если я запускаю Local Group Policy Editor (gpedit.msc) как Administrator и устанавливаю политику Computer Configuration\Administrative Templates\System\Removable Storage Access\Removable Disks: Deny write access на Enabled или Disabled в соответствии с Process Monitor что фактически устанавливает значение Deny_Write равным HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{GUIDGUID-GUID-GUID-GUID-GUIDGUIDGUID}Machine\Software\Policies\Microsoft\Windows\RemovableStorageDevices\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}.

Если я изменю, удалю или переименую это значение Deny_Write в Administrator, то я увижу изменение, отраженное в Local Group Policy Editor, когда редактирую/повторно открываю эту политику. Я не совсем уверен, как получается, что политика машины устанавливается в реестре пользователя; возможно, есть символическая ссылка или загруженный улей. Process Monitor указывает, что C:\Windows\System32\GroupPolicy\Machine\Registry.pol также изменяется во время установки политики, поэтому это должно быть базовое хранилище для изменений реестра на основе Group Policy.

person Lance U. Matthews    schedule 31.03.2020
comment
я хотел изменить это на системном уровне. Путем переключения значений в HKLM:\Machine\Software\Policies\Microsoft\Windows\RemovableStorageDevices\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b} я могу установить состояние для включения и отключения . Попытался удалить этот реестр, который не устанавливает для состояния gpo значение «Не настраивать», и это мое желаемое конечное состояние. - person Nithun D; 31.03.2020
comment
Я это понимаю. Мой ответ говорит о том, что Local Group Policy Editor манипулирует ключом RemovableStorageDevices\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b} под (что кажется) HKCU, а не HKLM, потому что он поддерживается специфичным для машины Registry.pol, так что это ключ, который вы должны попытаться удалить. См. раздел Почему gpedit и соответствующие записи реестра не синхронизируются?. Другими словами, ключ, который вы удаляете, содержит текущую системную настройку, тогда как ключ, на который я ссылаюсь, содержит настройку policy. - person Lance U. Matthews; 31.03.2020
comment
это сработало :), но я заметил, что когда я переключаю пользователя, состояние gpo снова меняется - person Nithun D; 01.04.2020
comment
Я надеялся, что это будет не так. Я не совсем уверен, какова связь/механизм между ключом реестра пользователя и файлом политики машины. Я думал, может быть, он просто загружается под HKCU, потому что его больше некуда связать, но, очевидно, нет. - person Lance U. Matthews; 01.04.2020