Politica de grup este un instrument puternic și flexibil pentru reglarea simultană a setărilor Windows și sunt un mijloc indispensabil de a aduce computere într-o singură configurație ca parte dintr-un domeniu Active Directory. Dacă nu există niciun domeniu, puteți configura setările unui anumit computer prin intermediul politicii locale de grup. Un deficit semnificativ al politicilor locale este lipsa mijloacelor de distribuire a acestora între computerele grupului de lucru. Ca urmare, administratorul trebuie să configureze manual setările de politică de grup pe fiecare computer. Cu un număr mare de computere și parametri configurați, acest lucru nu este foarte productiv ....
Optim, ar fi înființat în cadrul grupului de lucru pe un computer de referință cu setările necesare și setările de securitate politică de grup locale, care ar trebui aplicate acestor calculatoare, și când se modifică pentru a copia această configurație pentru alte computere.
În acest articol, vom examina doar un scenariu care vă permite să migrați rapid și ușor setările locale de politică de grup de la un calculator configurat la alte PC-uri din grupul de lucru.
Probleme privind transferul politicii locale de grup între computere
Cel mai simplu mod de a migra setările GP locale (Group Policy) între calculatoare - pentru a copia manual conținutul folderului% systemroot% \ System32 \ GroupPolicy (în mod implicit, acest director este ascuns), de la un calculator la altul cu înlocuirea conținutului (după înlocuirea fișierele de care aveți nevoie pentru a porni manual politicile de actualizare de comandă gpupdate / forță sau reporniți PC-ul).
Această metodă este destul de simplă, dar are câteva dezavantaje semnificative:
- Aceasta nu se traduce în setările locale de securitate (Șabloane de securitate)
- Există o șansă ca GPO să nu funcționeze dacă versiunile și construirea sistemului de operare pe computerul donor și receptor sunt foarte diferite
- Incapacitatea de a crea un GPO bazat pe domeniu bazat pe politica locală (importând o politică într-un domeniu Active Directory pentru o utilizare ulterioară)
- Când copiați o politică, trebuie să editați manual orice mențiune a numelui computerului local în setări
- Există o serie de probleme legate de transferul de șabloane admx non-standard
Este mult mai ușor și mai convenabil de a importa / exporta politica grup local creat folosind gpedit.msc, utilizați utilitarul LocalGPO. care face parte din MicrosoftSecurityComplianceManager3.0. Utilitarul LocalGPO permite nu numai să creeze rapid o copie de rezervă a GPO locală și să restabilească setările politicilor locale din ea, ci și să creeze un fișier executabil GPOPack. permițând un clic pentru a transfera (importa) setările GPO locală pe o altă mașină.
Utilitar LocalGPO - permite exportul tuturor setărilor politicilor locale, inclusiv din secțiunile INF, POL, Audit, setări de firewall etc. LocalGPO este ideal pentru utilizarea în organizații fără domenii pentru a distribui șablonul Politica de grup între computere. De asemenea, este extrem de util atunci când este utilizat împreună cu sistemul de implementare Microsoft Deployment Toolkit (MDT) sau SCCM.
Instalarea utilitarului LocalGPO
Pentru a instala utilitarul LocalGPO pe computerul local (în cazul nostru, acesta va acționa ca un donator pentru setările locale de politică de grup):
Vom afla cum să folosiți utilitarul LocalGPO. Controlul este posibil numai prin interfața consolei (linia de comandă). Deschideți un prompt de comandă ca administrator și navigați la C: \ Program Files \ LocalGPO (32 sisteme de biți) sau C: \ Program Files (x86) \ LocalGPO (64-bit)
Exportarea politicii locale
Pentru a exporta setările politicii locale de grup în directorul C: \ GPObackup (directorul trebuie să fie creat în prealabil), executați comanda
cscript LocalGPO.wsf / Cale: C: \ GPObackup / Export
Importul setărilor GPO locale
Pentru a restabili setările politicii grupului local din copia recepționată, vom importa următoarea comandă, specificând calea spre director ca argument.
cscript LocalGPO.wsf / Cale: C: \ GPObackup \
GPOPack - format pentru migrarea politicii locale de grup la alte computere
Utilitarul LocalGPO își asumă capacitatea de a crea un pachet GPOPack. destinate importului convenabil a setărilor GPO locale pe alte computere (nu necesită instalarea preliminară a LocalGPO pe computerul țintă). Același format este potrivit pentru utilizarea în sarcinile de implementare utilizând Microsoft Deployment Toolkit (MDT) sau Microsoft System Center Configuration Manager (SCCM). Pentru a crea un pachet portabil, efectuați:
cscript LocalGPO.wsf / Cale: C: \ GPObackup / Export / GPOPack
Mesajul "AppliedGPOPacktoLocalPolicy" indică faptul că politicile au fost migrate cu succes. Rămâne restabilirea sistemului și verificarea faptului că aceleași setări de politică locală se aplică acum acestui computer.
Resetați setările politicii locale la valorile implicite
Cu ajutorul LocalGPO, puteți restabili toate setările curente ale politicii locale la cele implicite, pentru aceasta executați comanda:
cscript LocalGPO.wsf / Restaurare
Importul politicii locale de grup în domeniul AD
Formatul de import pentru politicile LocalGPO presupune posibilitatea de a importa setările politicii locale de grup într-un domeniu GPO. Această operație poate fi efectuată prin copierea și recuperarea funcțională a obiectelor GPO în GPMC (Consola de administrare a politicii de grup). Un exemplu de utilizare a unei astfel de tehnici este în articolul Transferarea obiectelor GPO între domenii.