Множественные локальные GPO (MLGPO): применяем локальную политику для не-администраторов или одного пользователя

С помощью локальной групповой политики вы можете настраивать параметры Windows и пользователя на компьютерах в небольших рабочих группах сетях (без домена AD). Ранее одним из важных недостатков локальной групповой политики считалась невозможность применить политику только к определенному локальному пользователю/группе. Т.е. если вы через локальную GPO запретили использование USB устройств , эта настройка применяется не только для пользователей, но и для администраторов компьютера.

Начиная с Vista, в Windows появился функционал множественных локальных групповых политик ( MLGPO — Multiple Local Group Policy Objects), позволяющий применить разные настройки локальных GPO для разных локальных пользователей или групп. В этой статье, мы покажем, как с помощью MLGPO применить локальную GPO к одному локальному пользователю, или только пользователям, не входящим в группу локальных администраторов.

MLGPO можно назначить на:

  • Любого локального пользователя (по его имени);
  • Всех пользователей, входящих в локальную группу Administrators;
  • Всех пользователей, которые не входят в локальные администраторы.
Редактор локальной групповой политики есть только в редакциях Pro, Enterprise и Education. В Windows 10 Home gpedit.msc придется доставлять нештатными средствами.

Чтобы создать новую локальную политику для пользователя или группы:

  1. Нажмите Win + R -> mmc ;
  2. Нажмите File -> Add/Remove Snap-in;
  3. В списке нажмите доступных оснасток выберите Group Policy Object Editor и нажмите Add ;
  4. Нажмите кнопку Browse , перейдите на вкладку Users . Здесь вы можете выбрать локальную группу или пользователя, к которому нужно применить политику. Если на пользователя или группу уже назначена отдельная локальная GPO, в столбце Group Policy Object Exists будет указано Yes . Чтобы применить политику ко всем локальным пользователям, кроме администраторов, выберите Non-Administrators ;
  5. Убедитесь, что выбрана политика Local ComputerNon-Administrators и нажмите кнопку Finish .
  6. Перед вами откроется консоль редактора GPO с настройками пользователя. Здесь вы можете настроить нужные параметры локальной политики, которые должны применяться к обычным пользователям компьютера;
  7. Настройте нужные параметры политики локальных пользователей.
    Вы можете использовать MLGPO для внесения ограничений для пользователей, которые уже должны применяться до добавления компьютера в домен. Например, вы можете ограничить сетевой доступ под локальными учетными записями .

Если нужно удалить локальную политику для данной группы пользователей, нужно на вкладке Users щелкнуть по нужной группе и выбрать пункт меню Remove Group Policy Object .

Основной недостаток локальных политик – сложность их переноса между компьютерами (в отличии от доменных GPO, которые хранятся на контроллерах домена AD и редактируются централизованно). Для переноса настроек локальных MLGPO можно использовать официальную утилиту Microsoft – lgpo.exe (входит в состав Security Compliance Manager, как и Microsoft Security Baseline ).

Чтобы экспортировать все настроенные локальные политики в файлы используется команда:

lgpo /b c:GPObackup

Для импорта настроек локальной политики на другом компьютере, нужно указать ее GUID (можно в полученных файлах найти папку политики по SIDу группы Non-Administrators — S-1-5-32-545). Для применения настроек используется команда:

lgpo /parse /u C:GPObackup{GUID}DomainSysvolGPOUserregistry.pol

Осталось обновить настройки политик командой:

gpupdate /force

Либо можно для экспорта/импорта конкретной MLGPO можно использовать скрипт LocalGPO.wsf :

Экспорт:

cscript LocalGPO.wsf /Path:C:GPObackup /Export /MLGPO:Non-Administrators

Импорт:

cscript LocalGPO.wsf /Path:C:GPObackup{GUID}

[/alert]

admin

Share
Published by
admin

Recent Posts

Что такое Zulip

Zulip — программное обеспечение для реализации корпоративного чата. Разработан в 2012 году, в 2014 был…

3 месяца ago

Что такое Zookeeper

Zookeeper — cервис-координатор, который позволяет обеспечить контроль синхронизации данных. Разработан на Java компанией Apache Software…

3 месяца ago

Что такое Zimbra

Zimbra — программное обеспечение для реализации почтового сервиса или, если сказать точнее, автоматизации совместной деятельности…

3 месяца ago

Что такое Zabbix

Zabbix — бесплатная система мониторинга. Позволяет отслеживать состояние сетевых узлов, компьютеров и серверов. Возможности: Поддержка…

3 месяца ago

Что такое YouTube

YouTube — компания-владелец одноименного портала для просмотра и хранения видео. Чтобы пользоваться данным порталом достаточно…

3 месяца ago

Что такое yota

Yota — провайдер, предоставляющий доступ к сети Интернет по беспроводной связи. Впервые, сервис начал работать…

3 месяца ago