Прехвърлете локални настройки на груповата политика между компютрите

Групова политика те са мощен и в същото време гъвкав инструмент за конфигуриране на параметри на Windows OS и са незаменимо средство за привеждане на компютрите в една конфигурация в домейна на Active Directory. Ако няма домейн, можете да конфигурирате индивидуални настройки на компютъра чрез местната групова политика. Значителна липса на местни политики - липса на средства за тяхното разпределение между компютрите на работните групи. В резултат администраторът трябва да конфигурира ръчно настройките на груповата политика на всеки компютър. С голям брой компютри и персонализирани настройки това не е много продуктивно ...

Оптимално би било да се създаде референтен компютър в рамките на работната група с необходимите настройки за политиките на местната група и настройките за защита, които трябва да се прилагат на всички компютри, и когато правите промени, разпределете тази конфигурация на други компютри.

В тази статия ще разгледаме точно такъв сценарий, който позволи прост и бърз прехвърлете настройките на местната групова политика от един конфигуриран компютър на други компютри в работната група.

Съдържание:

• Проблеми с мигрирането на локалната групова политика между компютрите
• Инсталиране на LocalGPO Utility
• Експорт на местната политика
• Импортирайте локални настройки за GPO
• GPOPack - формат за прехвърляне на местна групова политика към други компютри
• Възстановяване на настройките на местната политика до стойности по подразбиране
• Импортиране на местната групова политика в AD домейн
• LGPO.exe помощна програма за управление на локални GPO

Проблеми с мигрирането на локалната групова политика между компютрите

Най-лесният начин за прехвърляне на локални GP настройки (Групова политика) между компютрите е да копирате ръчно съдържанието на папката %основна_папка_на_системата% \ Система32 \ GroupPolicy (по подразбиране тази директория е скрита) от един компютър на друг с подмяна на съдържанието (след като подмените файловете, трябва ръчно да стартирате актуализиране на политиките с командата gpupdate / сила или рестартирайте компютъра).

Този метод е доста прост, но има няколко съществени недостатъци:

1. Така локалните настройки за сигурност (Шаблони за сигурност) не се прехвърлят;
2. Има вероятност GPO да не работи, ако версията или сглобяването на ОС на донорския компютър и получателя е много различна;
3. Невъзможност за създаване на GPO за домейн въз основа на местната политика (импортиране на политиката в домейн в Active Directory за бъдеща употреба);
4. Когато копирате правилото, ще трябва да редактирате ръчно всяко споменаване на името на локалния компютър в настройките;
5. Има редица проблеми с мигрирането на персонализирани admx шаблони.

Много по-лесно и по-удобно е да импортирате / експортирате местната групова политика, създадена с помощта на gpedit.msc, като използвате помощната програма LocalGPO, включени в пакета Microsoft сигурност съгласие мениджър 3.0. Помощната програма LocalGPO ви позволява не само да създадете резервно копие на локалния GPO и да възстановите настройките на местната политика от него, но и да създадете изпълним файл GPOPack, позволявайки настройките за прехвърляне (импортиране) с едно щракване на локалния GPO на друга машина.

Важно е. полезност LocalGPO в момента е остарял и не се поддържа официално от Microsoft. В допълнение, тя не работи в съвременните Windows 10 и Windows Server 2016 (въпреки че това може да бъде заобиколено чрез промяна на описания по-долу скрипт). Препоръчва се да използвате помощната програма за експортиране, импортиране и прехвърляне на настройки на локални GPO между компютрите LGPO.exe (примери за използване на тази програма можете да намерите в последния раздел на тази статия).

полезност LocalGPO - Позволява ви да експортирате всички настройки на локалните политики, включително от секциите INF, POL, одит, настройки на защитната стена на Windows и т.н. LocalGPO е идеален за използване в организации без домейни за разпространение на GPO между компютрите. Освен това е изключително полезен, когато се използва заедно с инструментариума на Microsoft Deployment Toolkit (MDT) или SCCM.

Инсталиране на LocalGPO Utility

За да инсталирате помощната програма LocalGPO на локалния компютър (в нашия случай тя ще действа като донор на настройките на политиката за местна групова политика):

1. Изтеглете пакет Мениджър за съответствие на сигурността (SCM) 3.0 (https://technet.microsoft.com/en-us/solutionaccelerators/cc835245.aspx
2. Отворете изтегления файл Security_Compliance_Manager_Setup.exe като архив, използващ всеки архиватор (7Zip или WinRar).забележка. Не искаме напълно да инсталираме пакета за управление на спазването на сигурността, защото тя е доста тежка и съдържа много компоненти, които не ни трябват за тази задача (SQL Server Express, Microsoft Visual C ++ 2010 Redistributable и т.н.).
3. Извличане на файл от архив data.cab, което от своя страна, разопаковайте (например в директорията C: \ Distr \ data).
4. Намерете файла в получената директория GPOMSI и го преименувайте на GPO.MSI.
5. Стартирайте инсталацията на GPO.msi.

Нека да разберем как да използваме помощната програма LocalGPO. Управлението е възможно само чрез конзолния интерфейс (команден ред). Отворете командния ред с права на администратор и отидете в директорията C: \ Програма файлове\ LocalGPO (на 32 битови системи) или C: \ Програма файлове (х86) \ LocalGPO (на 64-битов).

забележка. Ако се опитате да използвате помощната програма LocalGPO за мигриране на политиките на местните групи към Windows 10, ще получите грешка.

LocalGPO Tool
---------------------------
Този инструмент работи само в Windows XP Professional, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 или Windows Server 2012

Факт е, че помощната програма LocalGPO поддържа само Windows 8 (Windows Server 2012) и по-долу. В по-новите версии на Windows (Windows 8.1, Windows 10) се препоръчва използването на новата помощна програма LGPO.Търсейки (вижте последния раздел в тази статия). Макар и технически, старият скрипт LocalGPO.wsf поддържа както Windows 10 / 8.1, така и Windows Server 2016/2012 R2. За да може LocalGPO.wsf да работи с нови ОС, достатъчно е да промените кода на функцията за проверка на версията на OS (ChkOSVersion) във файла, като добавите следните редове:

Ако (наляво (strOpVer, 4) = "10.0") и (strProductType = "1"), тогава
strOS = "Win10"
ElseIf (Ляво (strOpVer, 3) = "6.3") и (strProductType "1"), тогава
strOS = "WS16"
ElseIf (Ляво (strOpVer, 3) = "6.3") и (strProductType = "1"), тогава
strOS = "Win81"

Експорт на местната политика

За да експортирате настройките на политиката за локална група в директорията C: \ GPObackup (директорията трябва да бъде създадена първо), изпълнете командата
cscript LocalGPO.wsf / Path: C: \ GPObackup / Export

Нова папка с определен GPO GUID ще се появи в целевата директория, която ще съдържа всички параметри на локалната компютърна политика.

Всъщност създадохме резервно копие на местния GPO, към което винаги можем да се върнем.

Помощната програма LocalGPO.wsf поддържа работа с множество локални GPO (MLGPO). За да разтоварите локална политика, свързана с конкретна местна група или потребител, трябва да използвате следния формат за използване на LocalGPO.wsf.

cscript LocalGPO.wsf / Path: C: \ GPObackup / Export / MLGPO: Администратори

или

cscript LocalGPO.wsf / Path: C: \ GPObackup / Export / MLGPO: LocalUserName

Импортирайте локални настройки за GPO

За да възстановим настройките на местната групова политика от полученото копие, ще импортираме, използвайки следната команда, като посочим пътя на директорията като аргумент.
cscript LocalGPO.wsf / Path: C: \ GPObackup \ B6542366-C0C0-4948-AF39-B17F0B1F0E9A

GPOPack - формат за прехвърляне на местна групова политика към други компютри

LocalGPO помощната програма предполага възможността за създаване на пакет GPOPack, създаден за удобно импортиране на локални GPO настройки на други компютри (не изисква предварителна инсталация на LocalGPO на целевия компютър). Същият формат е удобен за използване в задачи за внедряване на ОС чрез Microsoft Deployment Toolkit (MDT) или Microsoft System Center Configuration Manager (SCCM). За да създадете преносим пакет, изпълнете:
cscript LocalGPO.wsf / Path: C: \ GPObackup / Export / GPOPack
Копирайте получената папка на друг компютър (където се планира да се прилагат тези правила), отворете командния ред с права на администратор и стартирайте файла GPOPack.wsf.

Съобщение "приложен GPOPack за местен политика"казва, че правилата са били прехвърлени успешно. Остава да рестартирате системата и да проверите дали сега на този компютър се прилагат същите настройки на местната политика.

Пълният списък с аргументи към помощната програма LocalGPO.wsf е достъпен с превключвателя /?

cscript LocalGPO.wsf /?

Възстановяване на настройките на местната политика до стойности по подразбиране

Използвайки LocalGPO, можете да възстановите всички текущи настройки на местната политика до стандартните. За да направите това, изпълнете командата:

cscript LocalGPO.wsf / Възстановяване

съвет. По-рано показахме как ръчно да нулираме конфигурацията на местната групова политика..

Импортиране на местната групова политика в AD домейн

Форматът за импортиране на политики LocalGPO предполага възможността да се импортират настройките на местната групова политика в GPO на домейн. Тази операция може да се извърши чрез архивиране и възстановяване на функционалността на домейни GPO в конзолата за управление. GPMC (Group политика управление конзола). Пример за използването на такава техника е в статията Прехвърляне на GPO между домейни.

LGPO.exe помощна програма за управление на локални GPO

Помощна линия за конзолна линия LGPO.Търсейки Той е предназначен да автоматизира управлението на местните групови политики и е предназначен да замени вече не поддържаната програма LocalGPO. Ето защо в момента се препоръчва да се използва само. LGPO.exe е част от мениджъра за съответствие на сигурността (SCM).

Изтеглете LGPO.exe на https://www.microsoft.com/en-us/download/details.aspx?id=55319.

Помощната програма LGPO.exe има следните функции:

• Възможност за експортиране на настройки за местна групова политика.
• Импортиране на GPO настройки от архивиране. Поддържа се импортиране, включително файлове на register.pol, шаблони за сигурност, CSV файлове.
• Конвертирайте файловете register.pol в четим формат на LGPO и обратно.

За да експортирате текущите локални GPO настройки в указаната директория, изпълнете командата:

LGPO.exe / b c: \ tools \ GPO

Помощната програма ще качи всички текущи настройки на политиката в папка с GUID на групови правила.

За да представите текущите настройки на GPO в архивния файл от файла register.pol във текстови формат за анализ, изпълнете командата:

lgpo.exe / parse / m "C: \ tools \ GPO \ 6DFFBBF4-91A3-4235-925B-FD108878E8F \ DomainSysvol \ GPO \ Machine \ register.pol" >> c: \ tools \ gpo \ lgpo.txt

Отворете текстовия файл lgpo.txt. Както можете да видите, той съдържа всички настройки на системния регистър, които се прилагат от тази политика.

Направете необходимите промени във файла с параметрите на системния регистър lgpo.txt и го преобразувайте във формат register.pol:

LGPO.exe / r "C: \ tools \ GPO \ lgpo.txt" / w "C: \ tools \ GPO \ register_new.pol"

Сега импортирайте новите настройки на правилата от pol файла:

LGPO.exe / m "C: \ tools \ GPO \ register_new.pol"

За да импортирате (прехвърлите) локални GPO настройки от този компютър на друг, копирайте директорията с политики на целевия компютър и изпълнете командата:

LGPO.exe / g C: \ инструменти \ GPO \

Версия LGPO v2.2 поддържа правилната работа с множество локални политики (MLGPO), която ви позволява да конфигурирате отделни политики за различни потребители (налични в Windows Vista и по-горе).

Така че, както виждате, използването на помощната програма LGPO.exe за създаване на резервно копие на локални политики и прехвърляне на GPO настройки между компютрите изобщо не е трудно..