可以修改域上的HKLM\SOFTWARE\ modify和HKCU\SOFTWARE\modify吗？

Question

背景：

我有一个域(2003功能级别)，它混合了Windows和Windows 7客户端。我们一直使用组策略来管理我们的工作站。

现在，我需要基于一些复杂的逻辑应用不同的GPO策略(而不是首选项)。我也许能够创建多个GPO并进行安全性/WMI过滤，但是它会变得很混乱。对于我们来说，脚本将是一种更加简洁的方法(特别是PowerShell)。

我想做的事：

我希望使用启动脚本来启用GPO策略。我的登录脚本似乎可以编辑HKEY_LOCAL_MACHINE\SOFTWARE\Policies和HKEY_CURRENT_USER\SOFTWARE\Policies的内容。这些注册表项是有据可查，设置它们非常简单。我见过很多人在网上做这件事，但我想在我做这件事之前确保这是个明智的想法。

PC仍将被加入到域，并且仍然会有一些GPO存在(至少默认的域策略)。因此，与任何现有政策发生冲突是有可能的。我预期会发生以下情况：

• 如果策略项在GPO中“未配置”，则没有冲突。启动脚本中的注册表值将被写入，并且策略将生效。
• 如果在GPO中将策略项设置为禁用/启用，则它将与我的脚本发生冲突。脚本可能在启动时“获胜”，但在后台刷新时，它将被覆盖。

那么，我的理解正确吗？这样做可以吗？

Answer 1

你的理解是正确的。

当你的公司达到了你需要引进一个专用的Windows系统管理员的规模时，他们会对你这样做感到不高兴。

我无法想象您的逻辑如此复杂，以至于组策略中的内置功能无法解决它。安全组筛选、WMI筛选(这是性能昂贵但灵活的)以及组策略首选项级别的目标定位都为表带来了很大的灵活性。坚持股票操作系统的功能意味着你可以得到微软和合格第三方的支持。如果你喜欢的话，告诉我们更多你的逻辑需求。

从功能的角度来看，你扔掉了很多东西。要记住的前几项内容包括背景刷新、站点感知、SYSVOL冗余以及库存OS管理、日志记录和报告工具。我肯定还有更多我没想过的。

从可维护性的角度来看:当你滚动你自己的东西，它破坏了，你可以保留这两个部分。当你离开公司时，你会给他们留下“高高在上”的东西，对你来说，就像一些简单的、自我记录的东西，但对下一个人来说，它会呈现出某种程度的学习曲线(尤其是当你的逻辑如此复杂的时候)。

要告诉您的评论re:版本控制--我认为您可以使用Powershell cmdlet Get-GPOReport相当容易地"version and diff“组策略对象设置，它可以输出包含GPO设置的XML文件。

Answer 2

您的理解是正确的，但是当计算机启动时，您可能会在发生冲突和优先级设置时导致脚本更改无法工作(例如，具有启动脚本的GPO首先运行，然后有另一个GPO修改该值)。

GPO建模为您提供了配置到位的单一视图。当你拿出一些设置，在客户端上做一个RSOP只会告诉你一半的故事。如果支持工作站的人员不知道您正在插入这些密钥，而这会影响到机器，那么故障排除就会更加困难。