Trebam pomoć.

Na Win2022 serveru imam desetke lokalnih usera kojima trebam promijeniti nekakve parametre u Group Policy-u kroz powershell.

Kroz GUI bi to išlo: Run > MMC > Add-Snapin "Group Policy Object Editor" > Group Policy Object odaberem lokalnog usera i onda u konzoli idem na Administrative Templates > System > Custom User Interface i tamo editiram što mi treba

E sad, to bi trebao odraditi kroz PS, ali ne mogu pronaći kako to napraviti. Ima ko kakvu ideju?

Taj Custom User Interface izgleda mijenja jedan registy key - https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policies.WindowsLogon2::CustomShell

Teoretski, mogao bi uloviti Registy od pojedinog usera i promijeniti taj key.

Problem je kada kreiram novog usera sa New-LocalUser, dodam ga u grupe (Add-LocalGroupMember -Group <ime grupe> -Member <username>) u kojima bi trebao biti, nemam njegov profil u C:\Users\<user>\NTUSER.DAT

Jel se taj user ulogirao? Mislim da profil niti neće biti tamo dok se prvi put ne ulogira.

Mogao bi napraviti da mu se na loginu odvrti skripta koja pogleda da li ima taj key i ako nema doda (i možda baci message bit ćete izlogirani za 30 sekundi...).

-juzer se mora ulogirati.. tek tad se kreiraju ostali fileovi-sys.. (osalo kroz PS je 'isto', tj moguće je baš sve, prođi poneki help ili u ps-cmd-u utipkaš i vidiš kratki help, dovoljno za dalje ali relativno naporno za ručno tipkanje svega.. pogotovo kad ćeš to raditi-koristiti više od jednom i tad se ne radi ručno nego pripremaš skriptu..).

Ne, ali kroz MMC mogu editirati taj parametar bez obzira što se user nikada nije ulogirao...

Probao sam na sljedeći način: kreirao sam usera, kroz MMC editirao parametar i searchao u Registryu di se sve pojavljuje

Našao sam ga na:

Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{B3CEB1A0-E987-4796-A171-305E37EA28D3}User\Software\Microsoft\Windows\CurrentVersion\Policies\System

i

Computer\HKEY_USERS\S-1-5-21-964623966-752752591-3583135566-500\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{B3CEB1A0-E987-4796-A171-305E37EA28D3}User\Software\Microsoft\Windows\CurrentVersion\Policies\System

Al nije mi jasno zašto je to upisano tamo, jer je SID S-1-5-21-964623966-752752591-3583135566-500 od Administratora, ne od korisnika za kojeg sam editirao policy, a current user je Administrator, ne taj tnakir

PS C:\Windows\system32> Get-LocalUser | Select-Object Name, SID

Name SID
---- ---
Administrator S-1-5-21-964623966-752752591-3583135566-500
DefaultAccount S-1-5-21-964623966-752752591-3583135566-503
Guest S-1-5-21-964623966-752752591-3583135566-501
tnakir S-1-5-21-964623966-752752591-3583135566-1007

Jesi napravio gpupdate /force ?

Da, napravio sam triple-check svega.

Taj value mi se u registry-u pojavljuje samo na ta dva mjesta.

Ponovo sam otvorio tog usera u MMC i tamo i dalje stoji taj value uredno upisan. 

Na Administrator useru (kojem pripada taj SID iz registry-a) mi je navedeno da mi taj parametar nije konfiguriran, što je i ispravno...

To se nekako applya kasnije, tko zna gdje to stoji dok se ne postavi na usera.

Ja bi probao kako sam gore naveo, da se ta promjena odradi na loginu usera - praktički prvi put kad se ulogira, da powershell skripta krene iz startupa (to možeš kroz registry recimo riješiti isto), pogleda koji je user (!= Administrator), vidi jel ima taj key, postavi, baci message box i odlogira usera. Ili ih ubaci u neku grupu, "non-provisioned" ili "new", pa tamo pobacaj nove i neka se odradi, ne treba ti ovaj check koji je user.

I pogledaj cijeli ovaj thread na stack exchange, vrlo slično tvom zahtjevu. Možda si i krenuo od ovog ;)