У меня проблема с настройкой AutoAdminLogon для работы с моим образом Windows Server 2008 R2. Это тест AMI Amazon Windows Server 2008 R2 CIS уровня 2 с Amazon Marketplace.
У меня возникает проблема, когда я устанавливаю AutoAdminLogin на 1 и выполняю gpupdate или перезагружаюсь, чтобы вернуться к 0.
Я использую Packer для подготовки своего AMI, поэтому я прохожу следующие шаги: удалите PowerShell 3.0 и перезагрузите компьютер. AutoAdminLogon устанавливается до перезагрузки, но gpupdate запускается, когда система перезапускается. Gpupdate возвращает значение 0 обратно.
AutoAdminLogon необходим, потому что сервер должен перезагрузиться несколько раз во время подготовки.
Шаги
1. Удалите PowerShell 3.0
2. Перезагрузка
3. АвтоАдминЛогон
4. Установите .Net 4.5.2
5. Установите Windows Management Framework 5.1
6. Перезагрузка.
На этом этапе Packer попытается подключиться с помощью WINRM, чтобы завершить подготовку экземпляра для захвата в качестве AMI.
Я знаю, что это как-то связано с настройками MSS-Legacy, примененными к AMI. Но как мне их не применять? Или просто для AutoAdminLogin установлено значение Disabled?
Я пытался использовать secedit:
secedit /export /cfg c:\temp\secpol.cfg
(gc C:\temp\secpol.cfg).replace('AutoAdminLogon=1,"0"','AutoAdminLogon=1,"1"') | Out-File C:\temp\secpol.cfg
secedit /configure /db c:\windows\security\secedit.sdb /cfg c:\temp\secpol.cfg
Ссылка: Изменение локальной политики безопасности с помощью Powershell
Я пробовал перечисленные ниже шаги: https://docs.bmc.com/docs/tssa89/rollback-of-cis-and-pciv2-templates-after-remediation-does-not-work-808908846.html
Вот также ссылка на скрипт, который я изменил для обновления PowerShell:
https://github.com/jborean93/ansible-windows/blob/master/scripts/Upgrade-PowerShell.ps1
Теперь, если я загружаю шаблоны MSS-Legacy GPO и использую графический интерфейс для установки MSS: (AutoAdminLogon) Включить автоматический вход в систему (не рекомендуется) в значение Включено,
Это будет работать, и настройки останутся после перезагрузки или gpudpate. Но мне нужен способ сделать это с помощью сценариев, потому что во время процесса хлебопечения взаимодействие с экземпляром отсутствует.
Я не могу выполнить шаги с использованием графического интерфейса, поскольку это является частью нашего процесса выпечки AMI.
Большое спасибо, я с нетерпением жду возможности увидеть мысли людей.