Групповые политики используются для централизованной настройки параметров компьютеров и пользователей. Если ваши компьютер добавлены в домен Windows , вы можете использовать доменные GPO для приведения компьютеров к единой конфигурации в рамках домена Active Directory. При отсутствии домена настраивать параметры отдельного компьютера можно через локальную групповую политику ( редактор локальной групповой политики запускается командой gpedit.msc). В этой статье мы покажем, как создать резервную копию локальной GPO и перенести настройки локальной политики на другие компьютеры.
Если ваша сеть построена на рабочей группе Windows (workgroup), вы можете привести все компьютеры к единой конфигурации с помощью локальных групповых политик. Для этого нужно настроить локальную GPO на эталонном компьютере, скопировать настройки на другие компьютер и применить их.
В Windows нет встроенных средств для резервного копирования, импорта, экспорта или переноса настроек локальной GPO. Windows хранить настройки административных шаблонов локальных политик в файлах Registry .pol в каталогах:
%SystemRoot%System32GroupPolicyMachine %SystemRoot%System32GroupPolicyUser Поэтому самый простой способов перенести настройки локальной групповой политики между компьютерами – вручную скопировать содержимое папки % systemroot %System 32GroupPolicy с одного компьютера на другой с заменой содержимого. После замены файлов нужно вручную выполнить обновление политик командой gpupdate /force или перезагрузить Windows.
Недостатки этого способа переноса настроек GPO:
gpmc.msc ); Для резервного копирования/импорта/экспорта и переноса настроек локальной групповой политики Microsoft предлагает использовать консольную утилиту LGPO. exe . LGPO (текущая версия 3.0) входит в состав Microsoft Security Compliance Toolkit и доступна для загрузки по ссылке https://www.microsoft.com/en-us/download/details.aspx?id=55319 .
Утилита LGPO.exe позволяет следующими возможностями:
Чтобы создать резервную копию (экспортировать) текущих настроек локальной GPO в указанный каталог, выполните команду:
LGPO.exe /b c:toolsGPO
Утилита сохранит настройки локальной политики в папку с GUID в качестве имени. Этот каталог будет содержать все необходимые файлы, которые необходимы для восстановления настроек локальной GPO или применения их на другом компьютере.
Restore-GPO -Name Win10Settings -Path C:BackupGPO_W10
Чтобы просмотреть текущие настройки GPO в файле registry.pol в удобном виде, выполните команду:
lgpo.exe /parse /m "C:ToolsGPO{985966AD-21BE-4A9C-BF7D-26C879982067}DomainSysvolGPOMachineregistry.pol" >>c:toolsgpolgpo.txt
В текстовом файл lgpo.txt будут содержаться настройки реестра, которые применяются данной политикой.
Вы можете вручную отредактировать файл lgpo.txt и сконвертировать его в формат registry.pol:
LGPO.exe /r "C:toolsGPOlgpo.txt" /w "C:toolsGPOregistry_new.pol"
Чтобы применить новые настройки из файла registry_new.pol к текущей политике компьютера, выполните:
LGPO.exe /m "C:toolsGPOregistry_new.pol"
Чтобы импортировать (восстановить) настройки локальной GPO из резервной копии на другом компьютере, нужно скопировать каталог с GUID политики на целевой компьютер и выполнить команду:
LGPO.exe /g C:toolsGPO
Некоторые администраторы используют множественные локальные групповые политики (MLGPO ), чтобы применить настройки GPO только для определенных групп пользователей. По умолчанию утилита lgpo.exe не экспортирует настройки MLGPO.
Далее мы рассмотрим, как скопировать настройки MLGPO на другие компьютеры.
Когда администратор создает новую локальную политику (MLGPO) для локального пользователя или группы, в каталоге C:WindowsSystem32GroupPolicyUsers создается отдельная папка для этой GPO. В качестве имени каталога используется SID пользователя или группы . Например,
S-1-5-32-545 – non-administrators (BUILTINUSERS) S-1-5-32-544 –administrators (BUILTINADMINISTRATORS)
Например, вам нужно скопировать настройки локальной GPO для non-administrators на другом компьютере.
C:WindowsSystem32GroupPolicyUsersS-1-5-32-545UserRegistry.pol ); lgpo /un "C:tmpRegistry.pol"
lgpo /ua "C:tmpRegistry.pol" lgpo /u:username "C:tmpRegistry.pol"
Ранее для импорта/экспорта локальной групповой политики использовалась утилита LocalGPO , входящая в состав Microsoft Security Compliance Manager 3.0 . Утилита LocalGPO позволяла не только быстро создать резервную копию локальной GPO и восстанавливать из нее настройки локальных политик, но и создавать исполняемый файл GPOPack , позволяющий одним щелчком перенести (импортировать) настройки локальной GPO на другую машину.
Для экспорта настроек локальной групповой политики в каталог C:GPObackup (каталог нужно создать предварительно):
cscript LocalGPO.wsf /Path:C:GPObackup /Export
Утилита LocalGPO позволяла экспортировать в каталог настройки MLGPO. Использовался синтаксис:
cscript LocalGPO.wsf /Path:C:GPObackup /Export /MLGPO:Administrators
или
cscript LocalGPO.wsf /Path:C:GPObackup /Export /MLGPO:LocalUserName
Чтобы восстановить настройки Local Group Policy из полученной ранее копии:
cscript LocalGPO.wsf /Path:C:GPObackup{B6542366-C0C0-4948-AF39-B17F0B1F0E9A}
С помощью LocalGPO можно сбросить все текущие настройки локальной политики на стандартные::
cscript LocalGPO.wsf /Restore
. Ранее мы уже показывали как можно вручную сбросить конфигурацию локальной групповой политики .
Zulip — программное обеспечение для реализации корпоративного чата. Разработан в 2012 году, в 2014 был…
Zookeeper — cервис-координатор, который позволяет обеспечить контроль синхронизации данных. Разработан на Java компанией Apache Software…
Zimbra — программное обеспечение для реализации почтового сервиса или, если сказать точнее, автоматизации совместной деятельности…
Zabbix — бесплатная система мониторинга. Позволяет отслеживать состояние сетевых узлов, компьютеров и серверов. Возможности: Поддержка…
YouTube — компания-владелец одноименного портала для просмотра и хранения видео. Чтобы пользоваться данным порталом достаточно…
Yota — провайдер, предоставляющий доступ к сети Интернет по беспроводной связи. Впервые, сервис начал работать…