С помощью локальной групповой политики вы можете настраивать параметры Windows и пользователя на компьютерах в небольших рабочих группах сетях (без домена AD). Ранее одним из важных недостатков локальной групповой политики считалась невозможность применить политику только к определенному локальному пользователю/группе. Т.е. если вы через локальную GPO запретили использование USB устройств , эта настройка применяется не только для пользователей, но и для администраторов компьютера.
Начиная с Vista, в Windows появился функционал множественных локальных групповых политик ( MLGPO — Multiple Local Group Policy Objects), позволяющий применить разные настройки локальных GPO для разных локальных пользователей или групп. В этой статье, мы покажем, как с помощью MLGPO применить локальную GPO к одному локальному пользователю, или только пользователям, не входящим в группу локальных администраторов.
MLGPO можно назначить на:
Чтобы создать новую локальную политику для пользователя или группы:
Win + R
-> mmc
; Если нужно удалить локальную политику для данной группы пользователей, нужно на вкладке Users щелкнуть по нужной группе и выбрать пункт меню Remove Group Policy Object .
Основной недостаток локальных политик – сложность их переноса между компьютерами (в отличии от доменных GPO, которые хранятся на контроллерах домена AD и редактируются централизованно). Для переноса настроек локальных MLGPO можно использовать официальную утилиту Microsoft – lgpo.exe (входит в состав Security Compliance Manager, как и Microsoft Security Baseline ).
lgpo /b c:GPObackup
Для импорта настроек локальной политики на другом компьютере, нужно указать ее GUID (можно в полученных файлах найти папку политики по SIDу группы Non-Administrators — S-1-5-32-545). Для применения настроек используется команда:
lgpo /parse /u C:GPObackup{GUID}DomainSysvolGPOUserregistry.pol
Осталось обновить настройки политик командой:
gpupdate /force
LocalGPO.wsf
: Экспорт:
cscript LocalGPO.wsf /Path:C:GPObackup /Export /MLGPO:Non-Administrators
Импорт:
cscript LocalGPO.wsf /Path:C:GPObackup{GUID}
[/alert]
Zulip — программное обеспечение для реализации корпоративного чата. Разработан в 2012 году, в 2014 был…
Zookeeper — cервис-координатор, который позволяет обеспечить контроль синхронизации данных. Разработан на Java компанией Apache Software…
Zimbra — программное обеспечение для реализации почтового сервиса или, если сказать точнее, автоматизации совместной деятельности…
Zabbix — бесплатная система мониторинга. Позволяет отслеживать состояние сетевых узлов, компьютеров и серверов. Возможности: Поддержка…
YouTube — компания-владелец одноименного портала для просмотра и хранения видео. Чтобы пользоваться данным порталом достаточно…
Yota — провайдер, предоставляющий доступ к сети Интернет по беспроводной связи. Впервые, сервис начал работать…