Transferarea setărilor politicii locale de grup între computere, compania de computere - it-service

Transferarea setărilor politicii locale de grup între computere, compania de computere - it-service

Politica de grup este un instrument puternic și flexibil pentru reglarea simultană a setărilor Windows și sunt un mijloc indispensabil de a aduce computere într-o singură configurație ca parte dintr-un domeniu Active Directory. Dacă nu există niciun domeniu, puteți configura setările unui anumit computer prin intermediul politicii locale de grup. Un deficit semnificativ al politicilor locale este lipsa mijloacelor de distribuire a acestora între computerele grupului de lucru. Ca urmare, administratorul trebuie să configureze manual setările de politică de grup pe fiecare computer. Cu un număr mare de computere și parametri configurați, acest lucru nu este foarte productiv ....

Optim, ar fi înființat în cadrul grupului de lucru pe un computer de referință cu setările necesare și setările de securitate politică de grup locale, care ar trebui aplicate acestor calculatoare, și când se modifică pentru a copia această configurație pentru alte computere.

În acest articol, vom examina doar un scenariu care vă permite să migrați rapid și ușor setările locale de politică de grup de la un calculator configurat la alte PC-uri din grupul de lucru.

Probleme privind transferul politicii locale de grup între computere

Cel mai simplu mod de a migra setările GP locale (Group Policy) între calculatoare - pentru a copia manual conținutul folderului% systemroot% \ System32 \ GroupPolicy (în mod implicit, acest director este ascuns), de la un calculator la altul cu înlocuirea conținutului (după înlocuirea fișierele de care aveți nevoie pentru a porni manual politicile de actualizare de comandă gpupdate / forță sau reporniți PC-ul).

Această metodă este destul de simplă, dar are câteva dezavantaje semnificative:

  1. Aceasta nu se traduce în setările locale de securitate (Șabloane de securitate)
  2. Există o șansă ca GPO să nu funcționeze dacă versiunile și construirea sistemului de operare pe computerul donor și receptor sunt foarte diferite
  3. Incapacitatea de a crea un GPO bazat pe domeniu bazat pe politica locală (importând o politică într-un domeniu Active Directory pentru o utilizare ulterioară)
  4. Când copiați o politică, trebuie să editați manual orice mențiune a numelui computerului local în setări
  5. Există o serie de probleme legate de transferul de șabloane admx non-standard

Este mult mai ușor și mai convenabil de a importa / exporta politica grup local creat folosind gpedit.msc, utilizați utilitarul LocalGPO. care face parte din MicrosoftSecurityComplianceManager3.0. Utilitarul LocalGPO permite nu numai să creeze rapid o copie de rezervă a GPO locală și să restabilească setările politicilor locale din ea, ci și să creeze un fișier executabil GPOPack. permițând un clic pentru a transfera (importa) setările GPO locală pe o altă mașină.

Utilitar LocalGPO - permite exportul tuturor setărilor politicilor locale, inclusiv din secțiunile INF, POL, Audit, setări de firewall etc. LocalGPO este ideal pentru utilizarea în organizații fără domenii pentru a distribui șablonul Politica de grup între computere. De asemenea, este extrem de util atunci când este utilizat împreună cu sistemul de implementare Microsoft Deployment Toolkit (MDT) sau SCCM.

Instalarea utilitarului LocalGPO

Pentru a instala utilitarul LocalGPO pe computerul local (în cazul nostru, acesta va acționa ca un donator pentru setările locale de politică de grup):

Transferarea setărilor politicii locale de grup între computere, compania de computere - it-service
  • Extrage fișierul data.cab din arhivă. care, la rândul său, este decomprimat (de exemplu, în directorul C: \ Distr \ data.
  • Găsiți fișierul GPOMSI în directorul rezultat și renumiți-l la GPO.msi
    Transferarea setărilor politicii locale de grup între computere, compania de computere - it-service
  • Rulați instalarea GPO.msi
    Transferarea setărilor politicii locale de grup între computere, compania de computere - it-service
  • Vom afla cum să folosiți utilitarul LocalGPO. Controlul este posibil numai prin interfața consolei (linia de comandă). Deschideți un prompt de comandă ca administrator și navigați la C: \ Program Files \ LocalGPO (32 sisteme de biți) sau C: \ Program Files (x86) \ LocalGPO (64-bit)

    Exportarea politicii locale

    Pentru a exporta setările politicii locale de grup în directorul C: \ GPObackup (directorul trebuie să fie creat în prealabil), executați comanda
    cscript LocalGPO.wsf / Cale: C: \ GPObackup / Export

    Transferarea setărilor politicii locale de grup între computere, compania de computere - it-service
    Un nou dosar cu un anumit GUID GPO va apărea în directorul țintă, care va conține toți parametrii politicii computerului local.

    Transferarea setărilor politicii locale de grup între computere, compania de computere - it-service
    De fapt, am creat o copie de rezervă a GPO locală, la care ne putem întoarce întotdeauna.

    Importul setărilor GPO locale

    Pentru a restabili setările politicii grupului local din copia recepționată, vom importa următoarea comandă, specificând calea spre director ca argument.
    cscript LocalGPO.wsf / Cale: C: \ GPObackup \

    Transferarea setărilor politicii locale de grup între computere, compania de computere - it-service

    GPOPack - format pentru migrarea politicii locale de grup la alte computere

    Utilitarul LocalGPO își asumă capacitatea de a crea un pachet GPOPack. destinate importului convenabil a setărilor GPO locale pe alte computere (nu necesită instalarea preliminară a LocalGPO pe computerul țintă). Același format este potrivit pentru utilizarea în sarcinile de implementare utilizând Microsoft Deployment Toolkit (MDT) sau Microsoft System Center Configuration Manager (SCCM). Pentru a crea un pachet portabil, efectuați:
    cscript LocalGPO.wsf / Cale: C: \ GPObackup / Export / GPOPack

    Transferarea setărilor politicii locale de grup între computere, compania de computere - it-service
    Copiați dosarul primit pe alt computer (unde intenționați să aplicați aceste politici), deschideți un prompt de comandă cu drepturi de administrator și rulați fișierul GPOPack.wsf.

    Mesajul "AppliedGPOPacktoLocalPolicy" indică faptul că politicile au fost migrate cu succes. Rămâne restabilirea sistemului și verificarea faptului că aceleași setări de politică locală se aplică acum acestui computer.

    Transferarea setărilor politicii locale de grup între computere, compania de computere - it-service
    Lista completă a argumentelor pentru LocalGPO.wsf este disponibilă cu tasta /:

    Transferarea setărilor politicii locale de grup între computere, compania de computere - it-service

    Resetați setările politicii locale la valorile implicite

    Cu ajutorul LocalGPO, puteți restabili toate setările curente ale politicii locale la cele implicite, pentru aceasta executați comanda:

    cscript LocalGPO.wsf / Restaurare

    Importul politicii locale de grup în domeniul AD

    Formatul de import pentru politicile LocalGPO presupune posibilitatea de a importa setările politicii locale de grup într-un domeniu GPO. Această operație poate fi efectuată prin copierea și recuperarea funcțională a obiectelor GPO în GPMC (Consola de administrare a politicii de grup). Un exemplu de utilizare a unei astfel de tehnici este în articolul Transferarea obiectelor GPO între domenii.