Przenieś lokalne ustawienia zasad grupy między komputerami

Zasady grupy są potężnym, a jednocześnie elastycznym narzędziem do konfigurowania parametrów systemu operacyjnego Windows i są niezbędnym sposobem dostosowania komputerów do pojedynczej konfiguracji w domenie Active Directory. Jeśli nie ma domeny, możesz skonfigurować indywidualne ustawienia komputera za pomocą lokalnych zasad grupy. Znaczący brak lokalnych polityk - brak środków do ich dystrybucji między komputerami grupy roboczej. W rezultacie administrator musi ręcznie skonfigurować ustawienia zasad grupy na każdym komputerze. Przy dużej liczbie komputerów i konfigurowalnych ustawieniach nie jest to zbyt produktywne ...

Optymalne byłoby utworzenie komputera odniesienia w grupie roboczej z niezbędnymi ustawieniami zasad grupy lokalnej i ustawieniami zabezpieczeń, które powinny być stosowane na wszystkich komputerach, a podczas wprowadzania zmian rozpowszechniać tę konfigurację na innych komputerach.

W tym artykule rozważymy właśnie taki scenariusz, który pozwolił na proste i szybkie przenieś ustawienia lokalnych zasad grupy z jednego skonfigurowanego komputera na inne komputery w grupie roboczej.

Treść

  • Problemy z migracją lokalnych zasad grupy między komputerami
  • Instalowanie narzędzia LocalGPO
  • Eksport zasad lokalnych
  • Zaimportuj lokalne ustawienia GPO
  • GPOPack - format przesyłania lokalnych zasad grupy na inne komputery
  • Resetowanie lokalnych ustawień zasad do wartości domyślnych
  • Zaimportuj lokalne zasady grupy do domeny AD
  • Narzędzie LGPO.exe do zarządzania lokalnymi obiektami GPO

Problemy z migracją lokalnych zasad grupy między komputerami

Najłatwiejszym sposobem przesłania lokalnych ustawień GP (zasad grupy) między komputerami jest ręczne skopiowanie zawartości folderu %systemroot% \ System32 \ GroupPolicy (domyślnie ten katalog jest ukryty) z jednego komputera na drugi z zamianą zawartości (po zamianie plików należy ręcznie rozpocząć aktualizację zasad za pomocą polecenia gpupdate / force lub uruchom ponownie komputer).

Ta metoda jest dość prosta, ale ma kilka istotnych wad:

  1. Dlatego lokalne ustawienia zabezpieczeń (szablony zabezpieczeń) nie są przesyłane;
  2. Istnieje prawdopodobieństwo, że obiekt GPO nie będzie działał, jeśli wersja lub zestaw systemu operacyjnego na komputerze dawcy i odbiorcy będą się bardzo różnić;
  3. Niemożność utworzenia obiektu GPO domeny na podstawie lokalnych zasad (zaimportowanie zasad do domeny Active Directory do przyszłego użytku);
  4. Podczas kopiowania zasad będziesz musiał ręcznie edytować dowolną wzmiankę o nazwie komputera lokalnego w ustawieniach;
  5. Istnieje wiele problemów z migracją niestandardowych szablonów admx.

Znacznie łatwiejsze i wygodniejsze jest importowanie / eksportowanie lokalnych zasad grupy utworzonych za pomocą narzędzia gpedit.msc przy użyciu narzędzia Localgpo, zawarte w pakiecie Microsoft Bezpieczeństwo Zgodność Kierownik 3.0. Narzędzie LocalGPO pozwala nie tylko szybko utworzyć kopię zapasową lokalnego obiektu zasad grupy i przywrócić z niego ustawienia lokalnych zasad, ale także utworzyć plik wykonywalny GPOPack, zezwalając na przeniesienie (import) ustawień lokalnego obiektu GPO jednym kliknięciem na inny komputer.

Jest ważne. Utility Localgpo jest obecnie przestarzały i nie jest oficjalnie obsługiwany przez Microsoft. Ponadto nie działa w nowoczesnych systemach Windows 10 i Windows Server 2016 (chociaż można to obejść, modyfikując skrypt opisany poniżej). Zaleca się użycie tego narzędzia do eksportowania, importowania i przesyłania ustawień lokalnych obiektów GPO między komputerami Lgpo.exe (przykłady użycia tego narzędzia można znaleźć w ostatniej części tego artykułu).

Utility Localgpo - Umożliwia eksport wszystkich ustawień lokalnych zasad, w tym z sekcji INF, POL, sekcji Audyt, ustawień zasad zapory systemu Windows itp. LocalGPO jest idealny do stosowania w organizacjach nieposiadających domen w celu dystrybucji obiektu zasad grupy między komputerami. Jest także niezwykle przydatny, gdy jest używany w połączeniu z Microsoft Deployment Toolkit (MDT) lub SCCM.

Instalowanie narzędzia LocalGPO

Aby zainstalować narzędzie LocalGPO na komputerze lokalnym (w naszym przypadku będzie działać jako dawca ustawień lokalnych zasad grupy):

  1. Pobierz pakiet Security Compliance Manager (SCM) 3.0 (https://technet.microsoft.com/en-us/solutionaccelerators/cc835245.aspx
  2. Otwórz pobrany plik Security_Compliance_Manager_Setup.exe jako archiwum przy użyciu dowolnego archiwizatora (7Zip lub WinRar).Uwaga. Nie chcemy w pełni instalować pakietu Security Compliance Manager, ponieważ jest dość ciężki i zawiera wiele składników, których nie potrzebujemy do tego zadania (SQL Server Express, Microsoft Visual C ++ 2010 Redistributable itp.).
  3. Wyodrębnij plik z archiwum data.cab, które z kolei rozpakuj (na przykład w katalogu C: \ Distr \ data).
  4. Znajdź plik w wynikowym katalogu GPOMSI i zmień nazwę na GPO.msi.
  5. Uruchom instalację GPO.msi.

Zastanówmy się, jak korzystać z tego narzędzia Localgpo. Zarządzanie jest możliwe tylko poprzez interfejs konsoli (wiersz poleceń). Otwórz wiersz poleceń z uprawnieniami administratora i przejdź do katalogu C.: \ Program Pliki\ LocalGPO (w systemach 32-bitowych) lub C.: \ Program Pliki (x86) \ LocalGPO (w wersji 64-bitowej).

Uwaga. Jeśli spróbujesz użyć narzędzia LocalGPO do migracji zasad grupy lokalnej do systemu Windows 10, pojawi się błąd.

Narzędzie LocalGPO
---------------------------
To narzędzie działa tylko w systemie Windows XP Professional, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 lub Windows Server 2012

Faktem jest, że narzędzie LocalGPO obsługuje tylko system Windows 8 (Windows Server 2012) i nowsze wersje. W nowszych wersjach systemu Windows (Windows 8.1, Windows 10) zaleca się korzystanie z nowego narzędzia Lgpo.exe (patrz ostatnia sekcja w tym artykule). Chociaż technicznie rzecz biorąc, stary skrypt LocalGPO.wsf obsługuje zarówno Windows 10 / 8.1, jak i Windows Server 2016/2012 R2. Aby LocalGPO.wsf działał z nowymi systemami operacyjnymi, wystarczy zmienić kod funkcji sprawdzania wersji systemu operacyjnego (ChkOSVersion) w pliku, dodając następujące wiersze:

Jeśli (Lewo (strOpVer, 4) = „10,0”) i (strProductType = „1”), to
strOS = „Win10”
ElseIf (Left (strOpVer, 3) = „6.3”) i (strProductType „1”), a następnie
strOS = „WS16”
ElseIf (Left (strOpVer, 3) = „6.3”) i (strProductType = „1”), a następnie
strOS = „Win81”

Eksport zasad lokalnych

Aby wyeksportować ustawienia lokalnych zasad grupy do katalogu C: \ GPObackup (katalog musi zostać utworzony jako pierwszy), wykonaj polecenie
cscript LocalGPO.wsf / Path: C: \ GPObackup / Export

Nowy folder z określonym GUID GPO pojawi się w katalogu docelowym, który będzie zawierał wszystkie parametry lokalnych zasad komputera.

W rzeczywistości stworzyliśmy kopię zapasową lokalnego obiektu zasad grupy, do którego zawsze możemy przywrócić.

Narzędzie LocalGPO.wsf obsługuje pracę z wieloma lokalnymi obiektami GPO (MLGPO). Aby zwolnić zasady lokalne związane z określoną grupą lokalną lub użytkownikiem, musisz użyć następującego formatu do używania LocalGPO.wsf.

cscript LocalGPO.wsf / Ścieżka: C: \ GPObackup / Export / MLGPO: Administrators

Lub

cscript LocalGPO.wsf / Ścieżka: C: \ GPObackup / Export / MLGPO: LocalUserName

Zaimportuj lokalne ustawienia GPO

Aby przywrócić ustawienia lokalnych zasad grupy z wynikowej kopii, zaimportujemy za pomocą następującego polecenia, określając ścieżkę katalogu jako argument.
cscript LocalGPO.wsf / Ścieżka: C: \ GPObackup \ B6542366-C0C0-4948-AF39-B17F0B1F0E9A

GPOPack - format przesyłania lokalnych zasad grupy na inne komputery

Narzędzie LocalGPO zakłada możliwość utworzenia pakietu GPOPack, przeznaczony do wygodnego importowania lokalnych ustawień GPO na inne komputery (nie wymaga wstępnej instalacji LocalGPO na komputerze docelowym). Ten sam format jest wygodny w użyciu w zadaniach związanych z wdrażaniem systemu operacyjnego za pośrednictwem Microsoft Deployment Toolkit (MDT) lub Microsoft System Center Configuration Manager (SCCM). Aby utworzyć pakiet przenośny, wykonaj:
cscript LocalGPO.wsf / Path: C: \ GPObackup / Export / GPOPack
Skopiuj folder wynikowy na inny komputer (gdzie planowane jest zastosowanie tych zasad), otwórz wiersz poleceń z uprawnieniami administratora i uruchom plik GPOPack.wsf.

Wiadomość „Stosowane GPOPack do Lokalny Zasady„mówi, że zasady zostały pomyślnie przesłane. Pozostaje zrestartować system i sprawdzić, czy te same ustawienia zasad lokalnych są teraz stosowane na tym komputerze.

Pełna lista argumentów dla narzędzia LocalGPO.wsf jest dostępna z przełącznikiem /?

cscript LocalGPO.wsf /?

Resetowanie lokalnych ustawień zasad do wartości domyślnych

Korzystając z LocalGPO, możesz zresetować wszystkie bieżące lokalne ustawienia zasad do standardowych. Aby to zrobić, uruchom polecenie:

cscript LocalGPO.wsf / Restore

Wskazówka. Wcześniej pokazaliśmy, jak ręcznie zresetować konfigurację lokalnych zasad grupy..

Zaimportuj lokalne zasady grupy do domeny AD

Format importu zasad LocalGPO oznacza możliwość importowania ustawień lokalnych zasad grupy do GPO domeny. Tę operację można wykonać za pomocą funkcji tworzenia kopii zapasowych i przywracania GPO domeny w konsoli zarządzania. GPMC (Grupa Zasady Zarządzanie Konsola). Przykładem zastosowania takiej techniki jest artykuł Przenoszenie obiektów zasad grupy między domenami.

Narzędzie LGPO.exe do zarządzania lokalnymi obiektami GPO

Narzędzie linii konsolowej Lgpo.exe Ma on zautomatyzować zarządzanie lokalnymi zasadami grupy i zastąpić nieobsługiwane narzędzie LocalGPO. Dlatego w tej chwili zaleca się stosowanie tylko tego. LGPO.exe jest częścią Security Compliance Manager (SCM).

Pobierz LGPO.exe ze strony https://www.microsoft.com/en-us/download/details.aspx?id=55319.

Narzędzie LGPO.exe ma następujące funkcje:

  • Możliwość eksportu ustawień lokalnych zasad grupy.
  • Importuj ustawienia GPO z kopii zapasowej. Obsługiwany jest import, w tym pliki register.pol, szablony bezpieczeństwa, pliki CSV.
  • Konwertuj pliki register.pol na format czytelny dla LGPO i odwrotnie.

Aby wyeksportować bieżące lokalne ustawienia GPO do określonego katalogu, uruchom polecenie:

LGPO.exe / b c: \ tools \ GPO

Narzędzie prześle wszystkie bieżące ustawienia zasad do folderu z identyfikatorem GUID zasad grupy.

Aby przedstawić bieżące ustawienia obiektu GPO w pliku kopii zapasowej z pliku register.pol w formacie tekstowym do analizy, uruchom polecenie:

lgpo.exe / parse / m "C: \ tools \ GPO \ 6DFFBBF4-91A3-4235-925B-FD108878E8F \ DomainSysvol \ GPO \ Machine \ register.pol" >> c: \ tools \ gpo \ lgpo.txt

Otwórz plik tekstowy lgpo.txt. Jak widać, zawiera wszystkie ustawienia rejestru stosowane przez te zasady.

Wprowadź niezbędne zmiany w pliku za pomocą parametrów rejestru lgpo.txt i przekonwertuj go do formatu rejestru.pol:

LGPO.exe / r „C: \ tools \ GPO \ lgpo.txt” / w „C: \ tools \ GPO \ register_new.pol”

Teraz zaimportuj nowe ustawienia zasad z pliku pol:

LGPO.exe / m „C: \ tools \ GPO \ register_new.pol”

Aby zaimportować (przenieść) lokalne ustawienia GPO z tego komputera na inny, skopiuj katalog zasad na komputer docelowy i uruchom polecenie:

LGPO.exe / g C: \ tools \ GPO \

Wersja LGPO v2.2 obsługuje prawidłowe działanie z wieloma lokalnymi politykami (MLGPO), co pozwala konfigurować indywidualne polityki dla różnych użytkowników (dostępne w systemie Windows Vista i nowszych).

Jak widać, użycie narzędzia LGPO.exe do utworzenia kopii zapasowej lokalnych zasad i przeniesienia ustawień GPO między komputerami wcale nie jest trudne.