管理者によるシステム時刻の変更を制限する-Windows XPマシン（ドメインなし）

Question

すべてのWindows XPマシンのローカルグループポリシー（gpedit.msc）からLocal Computer Policy > Computer Configuration > Windows Settings > Security Settings > User Rights Assignment > Change the system timeの下のすべてのユーザーを削除するスクリプトを作成する必要があります。これらのマシンはドメイン上にありません。スクリプトを自動的に配布して実行する方法はありますが、このようなスクリプトを作成するための正しい方向を誰かに教えてもらえますか？

Shane Madden · Answer

まあ、管理者がそれを元に戻すことができるという事実を無視して..;）

secedit ツールは、必要な機能を提供する必要があります。使用する /areas SECURITYPOLICY。

Konstantin · Answer

遅い答えですが、役に立つかもしれません。 Windows Server 2003リソースキットツール ntrights.exeのユーティリティを使用して実行することもできます。

サンプルスクリプト（Windowsでテスト済みXP Professional SP3）：

@echo off echo Start process %date% %time% >> %~dp0%~n0.log cd /d "c:\work" rem Revokes "Change system time" right from Administrators ntrights.exe -r SeSystemtimePrivilege -u "Administrators" >> %~dp0%~n0.log rem Revokes "Change system time" right from Power users ntrights.exe -r SeSystemtimePrivilege -u "Power Users" >> %~dp0%~n0.log rem Revokes "Change system time" right from user2 ntrights.exe -r SeSystemtimePrivilege -u "user2" >> %~dp0%~n0.log rem Grant "Change system time" right to user1 ntrights.exe +r SeSystemtimePrivilege -u "user1" >> %~dp0%~n0.log echo End process %date% %time% >> %~dp0%~n0.log rem Reboot if you need shutdown /r /t 10