Necesito agregar claves y valores HKCU a todas las máquinas en una unidad organizativa específica, para todos los perfiles de usuario existentes y para el perfil predeterminado. ¿Cuál es la mejor manera de abordar esto?
Podría enumerar e iterar a través de todos los NTUSER.DAT, cargando la colmena, agregando las claves y descargando la colmena, pero eso parece una forma torpe de hacerlo.
Alguien tiene una mejor idea? Me gustaría escribir esto (preferiblemente PowerShell) e impulsar los cambios si es posible, pero los scripts de inicio de sesión de política de grupo también funcionarían.
windows
powershell
windows-registry
Doug Chase
fuente
fuente
Respuestas:
Mi método preferido es usar la configuración activa. Lo que hace es comprobar cuando un usuario inicia sesión en una máquina si ha ejecutado un script o comando en particular (como el que tendría) y, si no, ejecutarlo. Por lo tanto, solo ejecutará un script en particular para un usuario una vez en su estación de trabajo. Descubrí que esto es perfecto para escribir en HKCU, porque no tiene que cargar cada colmena y solo se modifican las cuentas en las que las personas inician sesión.
No para auto promocionarme, pero escribí una publicación de blog sobre esto. La solución básica es la siguiente:
Agregue las siguientes entradas de registro:
Version
es el número de versión que quieras usar.Stubpath
es el comando que se ejecutará. Las llamadas MSI, EXE y VBS parecen estar bien.@
es lo que se debe mostrar cuando se ejecuta el comando.Con esta solución, el lenguaje de secuencias de comandos es irrelevante. Puede hacer un archivo VBScript, Powershell, Batch. Lo que sea que le permita escribir a HKCU como usuario registrado. Usar
reg.exe
directamente funciona bien también.El otro toque final opcional que podría hacer es cargar y modificar la sección predeterminada del usuario. Eso establecería el valor de registro para cualquier usuario nuevo que inicie sesión por primera vez en ese sistema en particular.
fuente
Puede agregar claves de registro personalizadas creando un archivo adm personalizado e importándolo como plantilla en la sección Plantillas administrativas de un Objeto de directiva de grupo. Luego vincule ese GPO a su OU. Hay documentos en MS sobre cómo hacer esto, o puede ver los archivos adm que ya existen en el servidor (creo que en algún lugar bajo Sysvol).
Este proceso se llama "tatuar el registro" y significa que está fuera del control de la eliminación de la política de grupo, es decir, las entradas de registro permanecerán incluso si se elimina la política. Debe crear una clave de registro "invertida" e implementarla (o simplemente eliminarla).
fuente