С помощью локальной групповой политики вы можете настраивать параметры Windows и пользователя на компьютерах в небольших рабочих группах сетях (без домена AD). Ранее одним из важных недостатков локальной групповой политики считалась невозможность применить политику только к определенному локальному пользователю/группе. Т.е. если вы через локальную GPO запретили использование USB устройств , эта настройка применяется не только для пользователей, но и для администраторов компьютера.

Начиная с Vista, в Windows появился функционал множественных локальных групповых политик ( MLGPO — Multiple Local Group Policy Objects), позволяющий применить разные настройки локальных GPO для разных локальных пользователей или групп. В этой статье, мы покажем, как с помощью MLGPO применить локальную GPO к одному локальному пользователю, или только пользователям, не входящим в группу локальных администраторов.

MLGPO можно назначить на:

• Любого локального пользователя (по его имени);
• Всех пользователей, входящих в локальную группу Administrators;
• Всех пользователей, которые не входят в локальные администраторы.

Чтобы создать новую локальную политику для пользователя или группы:

1. Нажмите Win + R -> mmc ;
2. Нажмите File -> Add/Remove Snap-in;
3. В списке нажмите доступных оснасток выберите Group Policy Object Editor и нажмите Add ;
4. Нажмите кнопку Browse , перейдите на вкладку Users . Здесь вы можете выбрать локальную группу или пользователя, к которому нужно применить политику. Если на пользователя или группу уже назначена отдельная локальная GPO, в столбце Group Policy Object Exists будет указано Yes . Чтобы применить политику ко всем локальным пользователям, кроме администраторов, выберите Non-Administrators ;
5. Убедитесь, что выбрана политика Local ComputerNon-Administrators и нажмите кнопку Finish .
6. Перед вами откроется консоль редактора GPO с настройками пользователя. Здесь вы можете настроить нужные параметры локальной политики, которые должны применяться к обычным пользователям компьютера;
7. Настройте нужные параметры политики локальных пользователей.
   Вы можете использовать MLGPO для внесения ограничений для пользователей, которые уже должны применяться до добавления компьютера в домен. Например, вы можете ограничить сетевой доступ под локальными учетными записями .

Если нужно удалить локальную политику для данной группы пользователей, нужно на вкладке Users щелкнуть по нужной группе и выбрать пункт меню Remove Group Policy Object .

Основной недостаток локальных политик – сложность их переноса между компьютерами (в отличии от доменных GPO, которые хранятся на контроллерах домена AD и редактируются централизованно). Для переноса настроек локальных MLGPO можно использовать официальную утилиту Microsoft – lgpo.exe (входит в состав Security Compliance Manager, как и Microsoft Security Baseline ).

Чтобы экспортировать все настроенные локальные политики в файлы используется команда:

lgpo /b c:GPObackup

Для импорта настроек локальной политики на другом компьютере, нужно указать ее GUID (можно в полученных файлах найти папку политики по SIDу группы Non-Administrators — S-1-5-32-545). Для применения настроек используется команда:

lgpo /parse /u C:GPObackup{GUID}DomainSysvolGPOUserregistry.pol

Осталось обновить настройки политик командой:

gpupdate /force

Экспорт:

cscript LocalGPO.wsf /Path:C:GPObackup /Export /MLGPO:Non-Administrators

Импорт:

cscript LocalGPO.wsf /Path:C:GPObackup{GUID}

[/alert]