Prenesite lokalne postavke pravila grupe između računala

Grupna politika oni su moćan i ujedno fleksibilan alat za konfiguriranje parametara sustava Windows OS i nezaobilazno su sredstvo povezivanja računala u jednu konfiguraciju u domeni Active Directory. Ako nema domene, možete konfigurirati pojedinačne postavke računala putem lokalne grupe pravila. Značajan nedostatak lokalnih politika - nedostatak sredstava za njihovu raspodjelu između računala radne skupine. Kao rezultat toga, administrator mora ručno konfigurirati postavke grupe pravila na svakom računalu. S velikim brojem računala i prilagodljivim postavkama, to nije baš produktivno ...

Bilo bi optimalno stvoriti referentno računalo unutar radne skupine s potrebnim postavkama za pravila lokalne grupe i sigurnosne postavke koje bi se trebale primijeniti na svim računalima, a prilikom uvođenja promjena distribuirati ovu konfiguraciju na druga računala.

U ovom ćemo članku razmotriti upravo takav scenarij koji je omogućio jednostavno i brzo prenesite postavke lokalne grupe pravila s jednog konfiguriranog računala na druga računala u radnoj skupini.

sadržaj:

  • Problemi s migracijom lokalne grupne politike između računala
  • Instaliranje LocalGPO uslužnog programa
  • Izvoz lokalne politike
  • Uvezi lokalne GPO postavke
  • GPOPack - format za prijenos politike lokalne grupe na druga računala
  • Poništavanje postavki lokalnih pravila na zadane vrijednosti
  • Uvoz pravila lokalne grupe u AD domenu
  • LGPO.exe uslužni program za upravljanje lokalnim GPO-ovima

Problemi s migracijom lokalne grupne politike između računala

Najlakši način za prijenos lokalnih GP postavki (Grupna pravila) s računala na računalo je ručno kopiranje sadržaja u mapu %systemroot% \ Sustav32 \ GroupPolicy (prema zadanom je ova mapa skrivena) s jednog računala na drugo s zamjenom sadržaja (nakon zamjene datoteka potrebno je ručno pokrenuti ažuriranje pravila pomoću naredbe gpupdate / sila ili ponovno pokrenite računalo).

Ova je metoda vrlo jednostavna, ali ima nekoliko značajnih nedostataka:

  1. Tako se lokalne sigurnosne postavke (sigurnosni predlošci) ne prenose;
  2. Postoji vjerojatnost da GPO ne radi ako su inačica ili sastavljanje OS-a na računalu donatoru i primatelju vrlo različiti;
  3. Nemogućnost kreiranja GPO domene na temelju lokalne politike (uvoz pravila u domenu Active Directory za buduću upotrebu);
  4. Pri kopiranju pravila morat ćete ručno urediti bilo koje spominjanje naziva lokalnog računala u postavkama;
  5. Postoje brojni problemi s migracijom prilagođenih admx predložaka.

Mnogo je jednostavnije i praktičnije uvoziti / izvoziti lokalnu grupnu politiku kreiranu pomoću gpedit.msc pomoću uslužnog programa LocalGPO, uključeno u paketu Microsoft sigurnosti popustljivost menadžer 3.0. Uslužni program LocalGPO omogućuje vam ne samo brzo stvaranje sigurnosne kopije lokalnog GPO-a i vraćanje postavki lokalne politike iz njega, nego i stvaranje izvršne datoteke GPOPack, dopuštajući postavke za prijenos (uvoz) lokalnog GPO-a jednim klikom na drugi stroj.

Važno je. korisnost LocalGPO trenutno je zastario i Microsoft ga službeno ne podržava. Osim toga, to ne radi u modernim sustavima Windows 10 i Windows Server 2016 (iako se to može zaobići izmjenom skripte opisane u nastavku). Preporučuje se ovaj uslužni program za izvoz, uvoz i prijenos postavki lokalnih GPO-a između računala LGPO.exe (primjeri upotrebe ovog alata mogu se naći u posljednjem odjeljku ovog članka).

korisnost LocalGPO - Omogućuje vam izvoz svih postavki lokalnih pravila, uključujući odjeljke INF, POL, Revizija, postavke pravila zaštitnog zida Windows itd. LocalGPO je idealan za korištenje u organizacijama bez domena za distribuciju GPO-a između računala. Također je izuzetno koristan kada se koristi zajedno s Microsoft Deployment Toolkit (MDT) ili SCCM.

Instaliranje LocalGPO uslužnog programa

Da biste na lokalno računalo instalirali uslužni program LocalGPO (u našem slučaju, on će djelovati kao donator postavki lokalne politike grupe):

  1. Preuzmi paket Menadžer sigurnosne sigurnosti (SCM) 3.0 (https://technet.microsoft.com/en-us/solutionaccelerators/cc835245.aspx
  2. Otvorite preuzetu datoteku Security_Compliance_Manager_Setup.exe kao arhiva koja koristi bilo koji arhiver (7Zip ili WinRar).primjedba. Ne želimo u potpunosti instalirati paket Security Compliance Manager jer prilično je teška i sadrži mnoge komponente koje nam nisu potrebne za ovaj zadatak (SQL Server Express, Microsoft Visual C ++ 2010 Redistributable, itd.).
  3. Izdvoji datoteku iz arhive data.cab, koje zauzvrat, raspakirajte (na primjer, u direktoriju C: \ Distr \ podaci).
  4. Nađite datoteku u rezultirajućem direktoriju GPOMSI i preimenovati u GPO.MSI.
  5. Pokrenite instalaciju GPO.msi.

Donosimo kako koristiti uslužni program LocalGPO. Upravljanje je moguće samo putem sučelja konzole (naredbeni redak). Otvorite naredbeni redak s administratorskim pravima i idite u direktorij C: \ Program datoteke\ LocalGPO (na 32 bitnim sustavima) ili C: \ Program datoteke (x86) \ LocalGPO (na 64-bitnom).

primjedba. Ako pokušate koristiti uslužni program LocalGPO za migraciju pravila lokalne grupe na Windows 10, dobit ćete pogrešku.

LocalGPO alat
---------------------------
Ovaj se alat pokreće samo u sustavima Windows XP Professional, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 ili Windows Server 2012

Činjenica je da LocalGPO uslužni program podržava samo Windows 8 (Windows Server 2012) i starije verzije. U novijim verzijama sustava Windows (Windows 8.1, Windows 10) preporučuje se upotreba novog uslužnog programa LGPO.eXE (pogledajte zadnji odjeljak u ovom članku). Iako tehnički gledano, stara LocalGPO.wsf skripta podržava i Windows 10 / 8.1 i Windows Server 2016/2012 R2. Da bi LocalGPO.wsf mogao raditi s novim OS-ovima, dovoljno je promijeniti kôd funkcije za provjeru verzije OS-a (ChkOSVersion) u datoteci dodajući sljedeće retke:

Ako je (lijevo (strOpVer, 4) = "10,0") i (strProductType = "1") tada
strOS = "Win10"
ElseIf (Lijevo (strOpVer, 3) = "6.3") i (strProductType "1") tada
strOS = "WS16"
ElseIf (Lijevo (strOpVer, 3) = "6.3") i (strProductType = "1") tada
strOS = "Win81"

Izvoz lokalne politike

Da biste izvezli postavke politike lokalne grupe u direktorij C: \ GPObackup (direktorij mora biti kreiran prvi), izvršite naredbu
cscript LocalGPO.wsf / Path: C: \ GPObackup / Export

Nova se mapa s određenom GPO GUID-om pojavit će u ciljnom direktoriju, koja će sadržavati sve parametre lokalnog računalnog pravila.

Zapravo smo stvorili sigurnosnu kopiju lokalnog GPO-a do koje se uvijek možemo vratiti.

Uslužni program LocalGPO.wsf podržava rad s više lokalnih GPO-a (MLGPO). Da biste ispravili lokalna pravila povezana s određenom lokalnom grupom ili korisnikom, morate koristiti sljedeći format za korištenje LocalGPO.wsf.

cscript LocalGPO.wsf / Path: C: \ GPObackup / Export / MLGPO: Administratori

ili

cscript LocalGPO.wsf / Path: C: \ GPObackup / Export / MLGPO: LocalUserName

Uvezi lokalne GPO postavke

Da bismo vratili postavke lokalne politike pravila iz rezultirajuće kopije, uvest ćemo sljedeću naredbu, navodeći put direktorija kao argument.
cscript LocalGPO.wsf / Path: C: \ GPObackup \ B6542366-C0C0-4948-AF39-B17F0B1F0E9A

GPOPack - format za prijenos politike lokalne grupe na druga računala

Uslužni program LocalGPO pretpostavlja mogućnost kreiranja paketa GPOPack, dizajniran za zgodan uvoz lokalnih GPO postavki na druga računala (ne zahtijeva prethodnu instalaciju LocalGPO na ciljno računalo). Isti format prikladan je za upotrebu u zadacima implementacije OS-a kroz Microsoft Deployment Toolkit (MDT) ili Microsoft System Center Configuration Manager (SCCM). Da biste stvorili prijenosni paket, izvršite:
cscript LocalGPO.wsf / Path: C: \ GPObackup / Export / GPOPack
Kopirajte rezultirajuću mapu na drugo računalo (na kojem se planiraju primijeniti ova pravila), otvorite naredbenu liniju s pravima administratora i pokrenite datoteku GPOPack.wsf.

Poruka "primijenjen GPOPack u lokalne politika"kaže da su pravila uspješno prenesena. Ostaje ponovno pokrenuti sustav i provjeriti jesu li sada iste postavke lokalnih pravila primijenjene na ovo računalo.

Potpuni popis argumenata uslužnom programu LocalGPO.wsf dostupan je s prekidačem /?

cscript LocalGPO.wsf /?

Poništavanje postavki lokalnih pravila na zadane vrijednosti

Koristeći LocalGPO, možete resetirati sve trenutne postavke lokalnih pravila na standardne. Da biste to učinili, pokrenite naredbu:

cscript LocalGPO.wsf / Vrati

vijeće. Ranije smo pokazali kako ručno resetirati konfiguraciju pravila lokalne grupe..

Uvoz pravila lokalne grupe u AD domenu

Format uvoza pravila LocalGPO podrazumijeva mogućnost uvoza postavki politike lokalne grupe u GPO domene. Ova se operacija može izvesti kroz sigurnosno kopiranje i vraćanje funkcionalnosti GPO-a domena u upravljačkoj konzoli. GPMC (Grupa politika upravljanje konzola). Primjer upotrebe takve tehnike je u članku Prijenos GPO-a između domena.

LGPO.exe uslužni program za upravljanje lokalnim GPO-ovima

Uslužni program konzole LGPO.eXE Namjera je automatizirati upravljanje politikama lokalnih grupa i zamijeniti više ne podržani uslužni program LocalGPO. Stoga se trenutno preporučuje samo korištenje. LGPO.exe dio je Upravitelja sigurnosnih usklađenosti (SCM).

Preuzmite LGPO.exe na https://www.microsoft.com/en-us/download/details.aspx?id=55319.

Uslužni program LGPO.exe ima sljedeće značajke:

  • Sposobnost izvoza postavki lokalne politike grupe.
  • Uvoz GPO postavki iz sigurnosne kopije. Uvoz je podržan, uključujući datoteke register.pol, predloške sigurnosti, CSV datoteke.
  • Pretvorite datoteke register.pol u čitljiv format LGPO i obrnuto.

Za izvoz trenutnih lokalnih GPO postavki u specificirani direktorij, pokrenite naredbu:

LGPO.exe / b c: \ alati \ GPO

Program će učitati sve trenutne postavke pravila u mapu s GUID-om grupnih pravila.

Da biste prikazali trenutne postavke GPO-a u datoteci sigurnosne kopije iz datoteke register.pol u tekstualnom formatu za analizu, pokrenite naredbu:

lgpo.exe / parse / m "C: \ tools \ GPO \ 6DFFBBF4-91A3-4235-925B-FD108878E8F \ DomainSysvol \ GPO \ Machine \ register.pol" >> c: \ tools \ gpo \ lgpo.txt

Otvorite tekstnu datoteku lgpo.txt. Kao što vidite, sadrži sve postavke registra koje primjenjuju ova pravila.

Izvršite potrebne promjene u datoteci s parametrima registra lgpo.txt i pretvorite je u format register.pol:

LGPO.exe / r "C: \ alati \ GPO \ lgpo.txt" / w "C: \ tools \ GPO \ register_new.pol"

Sada uvezite nove postavke pravila iz pol datoteke:

LGPO.exe / m "C: \ alati \ GPO \ registar_new.pol"

Za uvoz (prijenos) lokalnih GPO postavki s ovog računala na drugo, kopirajte direktorij pravila na ciljno računalo i pokrenite naredbu:

LGPO.exe / g C: \ alati \ GPO \

Verzija LGPO v2.2 podržava ispravan rad s više lokalnih pravila (MLGPO), što vam omogućuje konfiguriranje pojedinačnih pravila za različite korisnike (dostupno u sustavu Windows Vista i novije verzije).

Kao što vidite, korištenje alata LGPO.exe za izradu sigurnosnih kopija lokalnih pravila i prijenos GPO postavki između računala uopće nije teško..