问题标签 [local-security-policy]

我使用 Windows Server 2012。

我可以做这个：

在管理工具文件夹中，双击本地安全策略图标，展开帐户策略并单击密码策略。

在右窗格中双击密码必须满足复杂性要求并将其设置为已禁用。单击确定以保存您的策略更改。

如何使用 Powershell 以编程方式执行此操作？

我可以通过 API LsaEnumerateAccountsWithUserRight 获取用户帐户的权限。但是这个函数忽略了作为组成员身份的一部分继承的特权。msdn 文档清楚地提到了这一点

此函数返回的帐户直接通过用户帐户持有指定的权限，而不是作为组成员资格的一部分。

是否有可能在 Windows 中完成此操作？任何指导表示赞赏。

在 Windows 本地组策略中，我们有最小密码长度、密码历史要求等。所以我想使用 c++ 以编程方式检索最小密码长度和密码历史要求

根据此 SQL Server 2008 白皮书，SQL Server 仅应在 Check_Expiration（强制密码过期）选项打开时注意最小密码年龄策略。白皮书中的第 7 页明确指出“CHECK_EXPIRATION 使用 Windows Server 2003 策略的最短和最长密码期限部分，而 CHECK_POLICY 使用其他策略设置”。但是，这不是我发现的。看起来您只需要打开 Check_Policy（强制密码策略）。

例如，我有一个 SQL 登录（使用 SQL Server 身份验证），启用了强制密码策略，但强制密码过期关闭。我的域的密码策略将最小密码年龄设置为 1。我可以使用 sp_password 更改密码一次，但是当我再次尝试更改密码时，我收到此错误：

服务器：消息 15114，级别 16，状态 1，行 1 密码验证失败。用户密码太新，无法更改。

本白皮书中的文档是否完全错误？为什么在 Check_Expiration 关闭时会发生这种情况？我还发现这个网站还说只有在 Check_Expiration 开启时才应该强制执行最小密码年龄。我认为这对于 MAXIMUM Password Age 是正确的，但我发现当 Check_Expiration 关闭时，Minimum Password Age 仍在强制执行。

我的配置有什么奇怪的地方吗？当 Check_Expiration 关闭（但 Check_Policy 开启）时，是否真的应该强制执行最小密码年龄？

是否可以在 Powershell 中（使用 Get-WmiObject 或类似方法）检索本地、单赢 8.1 或服务器 2012 R2 核心机器上的现有策略设置？

在 SecPol 中，我要检索设置的策略是“本地策略”->“用户权限分配”->“作为服务登录”

我已经知道我可以使用 secedit /export 将数据转储到配置文件中，想知道是否有更直接的方法，例如 Get-WmiObject 可以将有问题的对象和属性返回到标准输出。

谢谢！

是否可以授予用户特定权限，但随后将该权限的使用限制为特定的应用程序列表？例如，假设我有一个特殊的调试应用程序，我想在一个需要SeDebugPrivilege启用它才能工作的普通帐户上使用它。但是，我希望限制在普通帐户下运行的上述调试器以外的所有应用程序使用此权限。这可能吗？如果是这样，如何以编程方式完成？

我正在编写一个类似于 VNC 的远程桌面软件，并希望通过利用 UIAccess 权限和安全策略提供的功能来捕获 UAC 提示。

理论：

根据下面给出的 MSDN 博客，您需要将“安全设置\本地策略\安全选项\允许 UIAccess 应用程序在不使用安全桌面的情况下提示提升”属性设置为“启用”，以允许具有“UIAccess”权限的应用程序使“UAC 提示”显示在用户交互式桌面而不是安全桌面上。

https://blogs.msdn.microsoft.com/cjacks/2009/01/08/helpdesk-elevation-on-windows-vista-and-windows-7/

https://blogs.msdn.microsoft.com/cjacks/2009/10/15/using-the-uiaccess-attribute-of-requestedexecutionlevel-to-improve-applications-providing-remote-control-of-the-desktop/

https://blogs.msdn.microsoft.com/asklar/2012/03/14/remote-assistance-and-uac-prompts/

观察： 我用下面给定的代码编写了一个程序。

然后我将以下内容添加到 app.manifest

然后我按照MSDN 论坛说明对应用程序进行了自签名。

然后我手动将程序复制到 Program Files (x86) 文件夹中的子文件夹。

然后我启用了“允许 UIAccess 应用程序在不使用安全桌面的情况下提示提升”安全策略。

当我运行程序时（在我生成证书的同一系统中），我希望 UAC 提示会显示在用户的交互式桌面中。但即使调用它的应用程序具有 UIAccess 权限，它仍然在“安全桌面”中运行。

可能出了什么问题？

我编写了一个接收 WMI 事件的程序。现在我必须手动进入安全设置才能打开感兴趣的事件。

我可以通过 Windows GUI 执行此操作，但想要一种以编程方式执行此操作的方法。

我看过seceditand auditpol，但我似乎无法正确理解它们的语法。我要么不知道要使用哪个数据库，要么无法建立有效路径，要么没有找到正确的权限。

我很乐意在batch, powershell, 甚至C++. 如何创建在运行时设置审核策略的小脚本或应用程序？

2016 年 8 月 3 日编辑

为什么不能用 备份auditpol？

有谁知道如何创建一个 Powershell 脚本（我可以添加到批处理文件中）来禁用 Windows-10 secpol.msc 选项：“用户帐户控制：在管理员批准模式下运行所有​​管理员”

我已经可以通过以下操作手动完成此操作：开始 -> 运行 -> secpol.msc -> 展开本地策略，然后展开安全选项 -> 向下滚动到：“用户帐户控制：在管理员批准模式下运行所有​​管理员” 并选择：禁用 -> 单击“应用”按钮，然后单击“确定”。但是，我预计这在我们正在测试的多台计算机上需要一段时间（以及其他命令），因此，我正在尝试创建一个 powershell 命令批处理文件以在此测试期间为我提供帮助。

如果您能解释基本准则 - 我将不胜感激。- 由此：我应该能够为其他一些选项重复它。

对于上下文：使用它作为临时。在 windows-10 中运行的旧应用程序的解决方法（同时寻找新的替代品）。

提前感谢您提供的所有未来帮助和指导。

我已经看到很多关于早期版本的 Windows 指向 RSAT 和 ntrights.exe 的帖子，但这些解决方案都不适用于 Windows 10。我正在寻找一个最好在 powershell 或批处理中的解决方案。