Групові політики є потужним і одночасно гнучким інструментом налаштування параметрів ОС Windows і є незамінним засобом приведення комп'ютерів до єдиної конфігурації в рамках домену Active Directory. При відсутності домену налаштовувати параметри окремого комп'ютера можна через локальну групову політику. Істотні недолік локальних політик - відсутність коштів їх поширення між комп'ютерами робочої групи. В результаті, адміністраторові доводиться на кожному комп'ютері вручну налаштовувати параметри групової політики. При великій кількості комп'ютерів і параметрів, що настроюються це не дуже-то продуктивно ....
Оптимально було б створити в рамках робочої групи якийсь еталонний комп'ютер з необхідними налаштуваннями локальних групових політик і параметрів безпеки, які повинні бути застосовані на цих комп'ютерах, і при внесенні змін копіювати цю конфігурацію на інші ПК.
У цій статті ми розглянемо саме такий сценарій, який дозволяв просто і швидко перенести настройки локальної групової політики з одного налаштованого комп'ютера на інші ПК в робочій групі.
Проблеми перенесення локальних Group Policy між комп'ютерами
Найпростіший способів перенести настройки локальної GP (групової політики) між комп'ютерами - вручну скопіювати вміст папки% systemroot% \ System32 \ GroupPolicy (за замовчуванням цей каталог прихований) з одного комп'ютера на інший з заміною вмісту (після заміни файлів потрібно вручну запустити оновлення політик командою gpupdate / force або перезавантажити ПК).
Цей метод досить простий, але має кілька суттєвих недоліків:
- Так не переносяться локальні параметри безпеки (Security Templates)
- Є ймовірність непрацездатності GPO, якщо версії і білд ОС на комп'ютері-донора і одержувача сильно відрізняються
- Неможливість створення на базі локальної політики доменної GPO (імпорту політики в домен Active Directory для подальшого використання)
- При копіюванні політики доведеться вручну правити будь-які згадки імені локального комп'ютера в настройках
- Є ряд проблем з перенесенням нестандартних admx шаблонів
Набагато простіше і зручніше для імпорту / експорту локальної групової політики, створеної за допомогою gpedit.msc, скористатися утилітою LocalGPO. що входить до складу пакету MicrosoftSecurityComplianceManager3.0. Утиліта LocalGPO дозволяє не тільки швидко створити резервну копію локальної GPO і відновлювати з неї настройки локальних політик, але і створювати виконуваний файл GPOPack. дозволяє одним клацанням перенести (імпортувати) настройки локальної GPO на іншу машину.
Утиліта LocalGPO - дозволяє експортувати всі налаштування локальних політик, в тому числі з розділів INF, POL, Audit, параметри брандмауера і т.п. LocalGPO ідеально підходить для використання в організаціях без доменів для поширення шаблона групової політики між комп'ютерами. Також вона дуже корисна при використанні в зв'язці з системою розгортання Microsoft Deployment Toolkit (MDT) або SCCM.
Установка утиліти LocalGPO
Щоб встановити утиліту LocalGPO на локальному комп'ютері (в нашому випадку він буде виступати в якості донора налаштувань локальної групової політики):
Розберемося, як користуватися утилітою LocalGPO. Управління можливо тільки через інтерфейс консолі (командного рядка). Відкриємо командний рядок з правами адміністратора і перейдемо в каталог C: \ Program Files \ LocalGPO (на 32 бітних системах) або C: \ Program Files (x86) \ LocalGPO (на 64-бітних)
Експорт локальної політики
Для експорту налаштувань локальної групової політики в каталог C: \ GPObackup (каталог потрібно створити попередньо), виконаємо команду
cscript LocalGPO.wsf / Path: C: \ GPObackup / Export
Імпорт налаштувань локальної GPO
Щоб відновити настройки Local Group Policy з отриманої копії, виконаємо імпорт наступною командою, вказавши в якості аргументу шлях до каталогу.
cscript LocalGPO.wsf / Path: C: \ GPObackup \
GPOPack - формат перенесення локальної групової політики на інші комп'ютери
Утиліта LocalGPO передбачає можливість створення пакета GPOPack. призначеного для зручного імпорту налаштувань локальної GPO на інші комп'ютери (не вимагає попередньої установки LocalGPO на цільовий комп'ютер). Цей же формат зручний для використання в задачах розгортання ОС через Microsoft Deployment Toolkit (MDT) або Microsoft System Center Configuration Manager (SCCM). Для створення переноситься пакета, виконаємо:
cscript LocalGPO.wsf / Path: C: \ GPObackup / Export / GPOPack
Повідомлення «AppliedGPOPacktoLocalPolicy» говорить про те, що політики перенесені успішно. Залишилося перезавантажити систему і перевірити, що на цей комп'ютер тепер діють такі ж налаштування локальної політики.
Повний список аргументів утиліти LocalGPO.wsf доступний з ключем / ?:Скидання налаштувань локальної політики на значення за умовчанням
За допомогою LocalGPO можна скинути всі поточні настройки локальної політики на стандартні, для цього виконаємо команду:
cscript LocalGPO.wsf / Restore
Імпорт локальної групової політики в домен AD
Формат імпорту політик LocalGPO передбачає можливість імпорту налаштувань локальної групової політики в доменну GPO. Ця операція може бути виконана через функціонал швидкого копіювання і відновлення доменних GPO в консолі управління GPMC (Group Policy Management Console). Приклад використання подібної техніки є в статті Перенесення GPO між доменами.