Preneste miestne nastavenia skupinovej politiky medzi počítačmi

Skupinová politika Sú to výkonný a zároveň flexibilný nástroj na konfiguráciu parametrov operačného systému Windows a sú nevyhnutným prostriedkom na uvedenie počítačov do jedinej konfigurácie v rámci domény Active Directory. Ak neexistuje doména, môžete nakonfigurovať jednotlivé nastavenia počítača pomocou politiky lokálnej skupiny. Významný nedostatok miestnych politík - nedostatok prostriedkov na ich distribúciu medzi počítačmi pracovných skupín. Výsledkom je, že správca musí manuálne nakonfigurovať nastavenia skupinovej politiky na každom počítači. S veľkým počtom počítačov a prispôsobiteľnými nastaveniami to nie je príliš produktívne ...

Bolo by optimálne vytvoriť referenčný počítač v rámci pracovnej skupiny s potrebnými nastaveniami pre politiky miestnej skupiny a nastavenia zabezpečenia, ktoré by sa mali použiť na všetkých počítačoch a pri vykonávaní zmien distribuovať túto konfiguráciu do iných počítačov..

V tomto článku sa budeme zaoberať iba takým scenárom, ktorý je jednoduchý a rýchly preniesť nastavenia politiky miestnej skupiny z jedného nakonfigurovaného počítača na iné počítače v pracovnej skupine.

obsah:

  • Problémy s migráciou lokálnej skupinovej politiky medzi počítačmi
  • Inštalácia pomôcky LocalGPO
  • Export miestnej politiky
  • Importovať miestne nastavenia GPO
  • GPOPack - formát na prenos politiky miestnej skupiny do iných počítačov
  • Obnovenie pôvodných nastavení miestnych pravidiel
  • Importujte zásady miestnej skupiny do domény AD
  • Obslužný program LGPO.exe na správu miestnych GPO

Problémy s migráciou lokálnej skupinovej politiky medzi počítačmi

Najjednoduchší spôsob, ako preniesť miestne nastavenia GP (skupinová politika) medzi počítačmi, je manuálne kopírovanie obsahu priečinka %systemroot% \ System32 \ GroupPolicy (v predvolenom nastavení je tento adresár skrytý) z jedného počítača na druhý s nahradením obsahu (po nahradení súborov je potrebné manuálne začať aktualizovať politiky príkazom gpupdate / force alebo reštartujte počítač).

Táto metóda je pomerne jednoduchá, má však niekoľko významných nedostatkov:

  1. Nastavenia lokálneho zabezpečenia (bezpečnostné šablóny) sa teda neprenášajú;
  2. Je pravdepodobné, že GPO nebude fungovať, ak sa verzia alebo zostavenie operačného systému v počítači darcu a príjemcu veľmi líšia;
  3. Neschopnosť vytvoriť doménu GPO na základe miestnej politiky (import politiky do domény Active Directory pre budúce použitie);
  4. Pri kopírovaní politiky budete musieť manuálne upraviť každú zmienku o názve miestneho počítača v nastaveniach;
  5. Pri migrácii vlastných šablón admx existuje množstvo problémov.

Je oveľa jednoduchšie a pohodlnejšie importovať / exportovať politiku miestnej skupiny vytvorenú pomocou nástroja gpedit.msc pomocou tohto nástroja LocalGPO, súčasťou balenia Microsoft zabezpečenia dodržiavanie manažér 3.0. Obslužný program LocalGPO vám umožňuje nielen rýchlo vytvoriť zálohu miestneho GPO a obnoviť z nej nastavenia miestnej politiky, ale tiež vytvoriť spustiteľný súbor. GPOPack, umožňuje nastavenie prenosu (importu) lokálneho GPO jedným kliknutím na iný počítač.

Je dôležité. užitočnosť LocalGPO je v súčasnosti zastaraný a spoločnosť Microsoft ho oficiálne nepodporuje. Okrem toho to nefunguje v moderných systémoch Windows 10 a Windows Server 2016 (hoci sa to dá obísť úpravou skriptu opísaného nižšie). Odporúča sa použiť tento nástroj na export, import a prenos nastavení miestnych GPO medzi počítačmi LGPO.exe (príklady použitia tohto nástroja nájdete v poslednej časti tohto článku).

užitočnosť LocalGPO - Umožňuje exportovať všetky nastavenia miestnych politík vrátane nastavení z časti INF, POL, Audit, nastavení politiky brány firewall systému Windows atď. LocalGPO je ideálny na použitie v organizáciách bez domén na distribúciu GPO medzi počítačmi. Je tiež mimoriadne užitočný, keď sa používa v spojení s Microsoft Deployment Toolkit (MDT) alebo SCCM.

Inštalácia pomôcky LocalGPO

Ak chcete nainštalovať obslužný program LocalGPO na lokálny počítač (v našom prípade bude fungovať ako darca nastavení zásad miestnej skupiny):

  1. Stiahnite si balík Správca dodržiavania bezpečnostných pravidiel (SCM) 3.0 (https://technet.microsoft.com/en-us/solutionaccelerators/cc835245.aspx
  2. Otvorte stiahnutý súbor Security_Compliance_Manager_Setup.exe ako archív pomocou ľubovoľného archivátora (7Zip alebo WinRar).poznámka. Nechceme preto úplne nainštalovať balík Security Compliance Manager, pretože je pomerne ťažký a obsahuje veľa komponentov, ktoré pre túto úlohu nepotrebujeme (SQL Server Express, Microsoft Visual C ++ 2010 Redistribuovateľná atď.).
  3. Extrahovať súbor z archívu data.cab, ktoré sa zase rozbaľujú (napríklad v adresári C: \ Distr \ data).
  4. Nájdite súbor vo výslednom adresári GPOMSI a premenovať ho na GPO.msi.
  5. Spustite inštaláciu GPO.msi.

Poďme zistiť, ako používať nástroj LocalGPO. Správa je možná iba cez rozhranie konzoly (príkazový riadok). Otvorte príkazový riadok s právami správcu a prejdite do adresára C: \ Program súbory\ LocalGPO (na 32 bitových systémoch) alebo C: \ Program súbory (x86) \ LocalGPO (64-bitové).

poznámka. Ak sa pokúsite použiť nástroj LocalGPO na migráciu politík miestnej skupiny do systému Windows 10, zobrazí sa chyba.

Nástroj LocalGPO
---------------------------
Tento nástroj je možné spustiť iba v systéme Windows XP Professional, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 alebo Windows Server 2012

Faktom je, že obslužný program LocalGPO podporuje iba Windows 8 (Windows Server 2012) a nižšie. V novších verziách systému Windows (Windows 8.1, Windows 10) sa odporúča použiť nový nástroj LGPO.exe (pozri poslednú časť tohto článku). Aj keď je to technicky, starý skript LocalGPO.wsf podporuje systémy Windows 10 / 8.1 a Windows Server 2016/2012 R2. Aby LocalGPO.wsf pracoval s novými OS, stačí zmeniť kód funkcie na kontrolu verzie OS (ChkOSVersion) v súbore pridaním nasledujúcich riadkov:

Ak (Ľavý (strOpVer, 4) = "10,0") a (strProductType = "1"), potom
strOS = "Win10"
ElseIf (doľava (strOpVer, 3) = "6,3") a (strProductType "1"), potom
strOS = "WS16"
ElseIf (doľava (strOpVer, 3) = "6,3") a (strProductType = "1"), potom
strOS = "Win81"

Export miestnej politiky

Ak chcete exportovať nastavenia politiky miestnej skupiny do adresára C: \ GPObackup (najprv musíte vytvoriť adresár), vykonajte príkaz
cscript LocalGPO.wsf / Cesta: C: \ GPObackup / Export

V cieľovom adresári sa objaví nový priečinok s určitým identifikátorom GUI GPO, ktorý bude obsahovať všetky parametre politiky lokálneho počítača.

V skutočnosti sme vytvorili zálohu miestneho GPO, do ktorej sa môžeme kedykoľvek vrátiť.

Obslužný program LocalGPO.wsf podporuje prácu s viacerými miestnymi GPO (MLGPO). Ak chcete uvoľniť miestnu politiku spojenú s konkrétnou miestnou skupinou alebo používateľom, musíte použiť nasledujúci formát na použitie LocalGPO.wsf.

cscript LocalGPO.wsf / Cesta: C: \ GPObackup / Export / MLGPO: Administrators

alebo

cscript LocalGPO.wsf / Cesta: C: \ GPObackup / Export / MLGPO: LocalUserName

Importovať miestne nastavenia GPO

Ak chcete z výslednej kópie obnoviť nastavenia politiky lokálnej skupiny, importujeme pomocou nasledujúceho príkazu a ako argument uvedieme cestu k adresáru.
cscript LocalGPO.wsf / Cesta: C: \ GPObackup \ B6542366-C0C0-4948-AF39-B17F0B1F0E9A

GPOPack - formát na prenos politiky miestnej skupiny do iných počítačov

Obslužný program LocalGPO predpokladá schopnosť vytvoriť balík GPOPack, určené na pohodlný import nastavení lokálneho GPO do iných počítačov (nevyžaduje si predbežnú inštaláciu LocalGPO na cieľový počítač). Rovnaký formát je vhodný na použitie v úlohách nasadenia OS pomocou Microsoft Deployment Toolkit (MDT) alebo Microsoft System Center Configuration Manager (SCCM). Ak chcete vytvoriť prenosný balík, vykonajte:
cscript LocalGPO.wsf / Cesta: C: \ GPObackup / Export / GPOPack
Skopírujte výsledný priečinok na iný počítač (kde sa tieto zásady plánujú uplatniť), otvorte príkazový riadok s právami správcu a spustite súbor GPOPack.wsf..

Správa “aplikovaný GPOPack na miestna politika“hovorí, že politiky boli úspešne prenesené. Zostáva reštartovať systém a overiť, či sa na tento počítač teraz vzťahujú rovnaké nastavenia miestnych politík..

Úplný zoznam argumentov pre pomôcku LocalGPO.wsf je k dispozícii s prepínačom /?

cscript LocalGPO.wsf /?

Obnovenie pôvodných nastavení miestnych pravidiel

Pomocou LocalGPO môžete resetovať všetky aktuálne nastavenia lokálnej politiky na štandardné. Spustite príkaz:

cscript LocalGPO.wsf / Restore

rada. Skôr sme ukázali, ako ručne resetovať konfiguráciu politiky miestnej skupiny..

Importujte zásady miestnej skupiny do domény AD

Formát importu politiky LocalGPO predpokladá možnosť importovať nastavenia politiky miestnej skupiny do GPO domény. Túto operáciu je možné vykonať prostredníctvom funkcie zálohovania a obnovenia GPO domény v riadiacej konzole. GPMC (Group politika management konzola). Príklad použitia takejto techniky je v článku Prenos GPO medzi doménami.

Obslužný program LGPO.exe na správu miestnych GPO

Obslužný program konzoly LGPO.exe Je určený na automatizáciu riadenia politík miestnych skupín a má nahradiť už podporovaný nástroj LocalGPO. Preto sa v tejto chvíli odporúča používať iba tento produkt. LGPO.exe je súčasťou nástroja Security Compliance Manager (SCM).

Stiahnite si LGPO.exe na https://www.microsoft.com/en-us/download/details.aspx?id=55319.

Obslužný program LGPO.exe má nasledujúce funkcie:

  • Schopnosť exportovať nastavenia politiky miestnych skupín.
  • Importujte nastavenia GPO zo zálohy. Import je podporovaný vrátane súborov registry.pol, bezpečnostných šablón, súborov CSV.
  • Konvertujte súbory registry.pol do formátu čitateľného pre LGPO a naopak.

Ak chcete exportovať aktuálne nastavenia lokálneho GPO do zadaného adresára, spustite príkaz:

LGPO.exe / b c: \ tools \ GPO

Obslužný program nahrá všetky aktuálne nastavenia politiky do priečinka s GUID skupinovej politiky.

Ak chcete prezentovať aktuálne nastavenia GPO v záložnom súbore zo súboru registry.pol v textovo prijateľnom formáte na analýzu, spustite príkaz:

lgpo.exe / parse / m "C: \ tools \ GPO \ 6DFFBBF4-91A3-4235-925B-FD108878E8F \ DomainSysvol \ GPO \ Machine \ registry.pol" >> c: \ tools \ gpo \ lgpo.txt

Otvorte textový súbor lgpo.txt. Ako vidíte, obsahuje všetky nastavenia registra, ktoré sa používajú v tejto politike.

Vykonajte potrebné zmeny v súbore s parametrami registra lgpo.txt a skonvertujte ho do formátu registry.pol:

LGPO.exe / r "C: \ tools \ GPO \ lgpo.txt" / w "C: \ tools \ GPO \ registry_new.pol"

Teraz importujte nové nastavenia politiky zo súboru pol:

LGPO.exe / m "C: \ tools \ GPO \ registry_new.pol"

Ak chcete importovať (preniesť) nastavenia lokálneho GPO z tohto počítača do iného, ​​skopírujte adresár politiky na cieľovom počítači a spustite príkaz:

LGPO.exe / g C: \ tools \ GPO \

Verzia LGPO v2.2 podporuje správnu prevádzku s viacerými miestnymi politikami (MLGPO), čo vám umožňuje konfigurovať jednotlivé politiky pre rôznych používateľov (k dispozícii v systéme Windows Vista a vyššie).

Ako vidíte, použitie nástroja LGPO.exe na vytvorenie zálohy miestnych politík a prenos nastavení GPO medzi počítačmi nie je vôbec ťažké..

Kategórie