web-dev-qa-db-ja.com

グループポリシーを含むバッチファイルを展開して管理者として実行できますか?

この場所のhostsファイルを修正してFacebookをブロックするバッチスクリプトを作成しましたC:\windows\system32\drivers\etc\hosts

これは、バッチファイルの内容です。

@echo off
echo 127.0.0.1 www.facebook.com >> C:\windows\system32\drivers\etc\hosts
exit

このバッチファイルをローカルマシンでテストしましたが、機能しますが、管理者として実行した場合にのみ機能します。

このバッチファイルをネットワーク上のすべてのコンピューターに展開し、グループポリシーを使用して管理者として実行することはできますか?

Windows Server 2012を使用しています。

2
pgunston

はい、ローカルシステムのコンテキストで実行されるグループポリシーを介してバッチファイルを展開できます。そうするための非常に一般的な方法は、コンピュータの起動スクリプトです。 (ユーザーログオンスクリプトとは異なります。)

また、これはおそらくFacebookをブロックすることで想像できる最悪の方法です。

Computer Startup Script

から http://technet.Microsoft.com/en-us/library/cc770556.aspx

起動スクリプトはローカルシステムアカウントで実行され、ローカルシステムアカウントで実行できることに関連する完全な権限を持っています。

ローカルシステムアカウントは、基本的に管理者よりも強力です。

6
Ryan Ries

これを次のように変更できます。

0.0.0.0 www.facebook.com 

ループバックアドレスを使用する場合は、ローカルWebサーバーがない限り、タイムアウトを待つ必要があります。

1
Dylan Knoll

私はこれが古い記事であることを知っていますが、一体何ですか。反論者たちがどうなっているかわからない。不快なドメインをローカルループバックアドレスにポイントすることは、アクセスをブロックするための完全に優れた方法のようです。 DNSがFacebookサイトの実際のアドレスを返さないようにします。ユーザーがローカル管理者でない場合は、おそらく知らないhostsファイルを知っていても、変更する権限がありません。 。

私があなたのアプローチで目にする問題は、実行した場合、同じ行をhostsファイルに無期限に何度も追加することです。

これを行う場合は、ファイル内のその行を検索し、それがまだ存在しない場合にのみ追加するスクリプトが必要です(おそらく、必要なことを示さない場合は編集します)。 )。

最後に、スクリプトがネットワークアクセスを必要とする場合、ADの "Domain Computers"グループに適切なアクセス許可を与え、少しデバッグを行う準備ができていなければ、ローカルのSYSTEMアカウントとして実行することはできません。

1
Craig