Skupinska politika so močno in hkrati fleksibilno orodje za konfiguriranje parametrov operacijskega sistema Windows in so nepogrešljivo sredstvo za povezovanje računalnikov v enotno konfiguracijo znotraj domene Active Directory. Če domene ni, lahko posamezne nastavitve računalnika konfigurirate s pravilnikom lokalne skupine. Bistveno pomanjkanje lokalnih politik - pomanjkanje sredstev za njihovo distribucijo med računalniki delovnih skupin. Kot rezultat tega mora skrbnik ročno konfigurirati nastavitve skupinske politike v vsakem računalniku. Z velikim številom računalnikov in prilagodljivimi nastavitvami to ni zelo produktivno ...
Optimalno bi bilo ustvariti referenčni računalnik v delovni skupini s potrebnimi nastavitvami za pravilnike lokalne skupine in varnostne nastavitve, ki bi jih bilo treba uporabiti na vseh računalnikih, in ko spreminjate, razdelite to konfiguracijo na druge računalnike.
V tem članku bomo razmislili ravno takšen scenarij, ki je omogočil preprosto in hitro prestavite nastavitve lokalnih skupinskih pravil z enega konfiguriranega računalnika na druge osebne računalnike v delovni skupini.
Vsebina:
- Težave s selitvijo lokalne skupinske politike med računalniki
- Namestitev LocalGPO Utility
- Izvoz lokalne politike
- Uvozi lokalne nastavitve GPO
- GPOPack - format za prenos politike lokalne skupine v druge računalnike
- Ponastavitev nastavitev lokalne politike na privzete vrednosti
- Uvoz pravilnika lokalne skupine v domeno AD
- LGPO.exe pripomoček za upravljanje lokalnih GPO
Težave s selitvijo lokalne skupinske politike med računalniki
Najlažji način za prenos lokalnih nastavitev GP (Group Policy) med računalnike je ročno kopiranje vsebine mape %sistemsko% \ Sistem32 \ GroupPolicy (privzeto je ta imenik skrit) z enega računalnika na drugega z nadomeščanjem vsebine (po zamenjavi datotek morate ročno začeti posodabljati pravilnike z gpupdate / sila ali znova zaženite računalnik).
Ta metoda je precej preprosta, vendar ima več pomembnih pomanjkljivosti:
- Tako se lokalne varnostne nastavitve (Varnostne predloge) ne prenesejo;
- Obstaja verjetnost, da GPO ne deluje, če sta različica ali sklop OS na donatorskem računalniku in prejemniku zelo različni;
- Nezmožnost ustvarjanja GPO domene na podlagi lokalne politike (uvoz politike v domeno Active Directory za prihodnjo uporabo);
- Ko boste kopirali pravilnik, boste morali ročno urediti vsako omembo imena lokalnega računalnika v nastavitvah;
- Pri migraciji predlog po meri admx po meri obstajajo številne težave.
Mnogo lažje in bolj priročno je uvoziti / izvoziti lokalno skupinsko politiko, ustvarjeno s pomočjo gpedit.msc s pomočjo pripomočka Localgpo, vključeno v paketu Microsoft Varnost Skladnost Manager 3.0. Pomožni program LocalGPO vam omogoča, da ne samo hitro ustvarite varnostno kopijo lokalnega GPO in obnovite nastavitve lokalne politike iz njega, ampak tudi ustvarite izvršljivo datoteko GPOPack, ki omogočajo prenos (uvoz) nastavitev lokalnega GPO z enim klikom na drug stroj.
Je pomembno. Uporabnost Localgpo je trenutno zastarel in ga Microsoft uradno ne podpira. Poleg tega ne deluje v sodobnih sistemih Windows 10 in Windows Server 2016 (čeprav je to mogoče zaobiti s spreminjanjem spodaj opisanega skripta). Priporočljivo je, da uporabite pripomoček za izvoz, uvoz in prenos nastavitev lokalnih GPO med računalnike Lgpo.exe (primere uporabe tega pripomočka najdete v zadnjem razdelku tega članka).Uporabnost Localgpo - Omogoča izvoz vseh nastavitev lokalnih pravilnikov, vključno z razdelki INF, POL, revizija, nastavitve pravilnika o požarnem zidu Windows itd. LocalGPO je idealen za uporabo v organizacijah brez domen za distribucijo GPO med računalniki. Zelo uporabna je tudi, če se uporablja skupaj z Microsoftovim orodjem za uvajanje (MDT) ali SCCM.
Namestitev LocalGPO Utility
Če želite namestiti pripomoček LocalGPO na lokalni računalnik (v našem primeru bo deloval kot darovalec nastavitev lokalne lokalne politike):
- Prenesite paket Upravitelj skladnosti varnosti (SCM) 3.0 (https://technet.microsoft.com/en-us/solutionaccelerators/cc835245.aspx
- Odprite naloženo datoteko Security_Compliance_Manager_Setup.exe kot arhiv z uporabo katerega koli arhivarja (7Zip ali WinRar).Opomba. Nočemo v celoti namestiti paketa za varnost skladnosti, ker je precej težak in vsebuje veliko komponent, ki jih za to nalogo ne potrebujemo (SQL Server Express, Microsoft Visual C ++ 2010 Redistributable itd.).
- Izvleči datoteko iz arhiva data.cab, ki ga nato razpakirate (na primer v imeniku C: \ Distr \ data).
- V dobljenem imeniku poiščite datoteko GPOMSI in ga preimenovali v GPO.msi.
- Zaženite namestitev GPO.msi.
Ugotovimo, kako uporabiti pripomoček Localgpo. Upravljanje je možno samo prek vmesnika konzole (ukazna vrstica). Odprite ukazno vrstico s skrbniškimi pravicami in pojdite v imenik C: \ Program Datoteke\ LocalGPO (v 32 bitnih sistemih) ali C: \ Program Datoteke (x86) \ LocalGPO (na 64-bitnih).
Opomba. Če poskusite uporabiti pripomoček LocalGPO za selitev pravilnikov lokalne skupine v sistem Windows 10, se prikaže napaka.Orodje LocalGPO
---------------------------
To orodje deluje samo v sistemih Windows XP Professional, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 ali Windows Server 2012
Dejstvo je, da pripomoček LocalGPO podpira samo Windows 8 (Windows Server 2012) in novejši. V novejših različicah sistema Windows (Windows 8.1, Windows 10) je priporočljivo uporabljati nov pripomoček Lgpo.exe (glej zadnji razdelek tega članka). Čeprav tehnično gledano stari skript LocalGPO.wsf podpira Windows 10 / 8.1 in Windows Server 2016/2012 R2. Da bi LocalGPO.wsf deloval z novimi OS-ji, je dovolj, da spremenite kodo funkcije za preverjanje različice OS (ChkOSVersion) v datoteki in dodate naslednje vrstice:
Če (levo (strOpVer, 4) = "10,0") in (strProductType = "1") potem
strOS = "Win10"
ElseIf (levo (strOpVer, 3) = "6.3") in (strProductType "1") potem
strOS = "WS16"
ElseIf (levo (strOpVer, 3) = "6.3") in (strProductType = "1") potem
strOS = "Win81"
Izvoz lokalne politike
Če želite izvoziti nastavitve pravilnika lokalne skupine v imenik C: \ GPObackup (imenik je treba najprej ustvariti), izvedite ukazcscript LocalGPO.wsf / Pot: C: \ GPObackup / Export
V ciljnem imeniku se bo pojavila nova mapa z določenim GUO GUO, ki bo vsebovala vse parametre lokalnega računalniškega pravilnika.
Pravzaprav smo ustvarili varnostno kopijo lokalnega GPO, na katero se lahko vedno vrnemo.
Program LocalGPO.wsf podpira delo z več lokalnimi GPO (MLGPO). Če želite sprostiti lokalni pravilnik, povezan z določeno lokalno skupino ali uporabnikom, morate za uporabo LocalGPO.wsf uporabiti naslednji format.
cscript LocalGPO.wsf / Pot: C: \ GPObackup / Export / MLGPO: Skrbniki
Or
cscript LocalGPO.wsf / Pot: C: \ GPObackup / Export / MLGPO: LocalUserName
Uvozi lokalne nastavitve GPO
Če želite obnoviti nastavitve lokalne skupinske politike iz nastale kopije, bomo uvozili z naslednjim ukazom in kot argument navedli pot v imenik.cscript LocalGPO.wsf / Pot: C: \ GPObackup \ B6542366-C0C0-4948-AF39-B17F0B1F0E9A
GPOPack - format za prenos politike lokalne skupine v druge računalnike
Uslužni program LocalGPO prevzame možnost ustvarjanja paketa GPOPack, zasnovan za udoben uvoz lokalnih nastavitev GPO v druge računalnike (ne zahteva predhodne namestitve LocalGPO na ciljni računalnik). Ista oblika je primerna za uporabo v nalogah uvajanja OS prek Microsoftovega orodja za razmestitev (MDT) ali Microsoft System Center Configuration Manager (SCCM). Če želite ustvariti prenosni paket, izvedite:cscript LocalGPO.wsf / Pot: C: \ GPObackup / Export / GPOPack
Kopirajte nastalo mapo v drug računalnik (kjer se načrtuje uporaba teh pravilnikov), odprite ukazno vrstico s skrbniškimi pravicami in zaženite datoteko GPOPack.wsf.
Sporočilo "Uporablja se GPOPack do Lokalno Politika"pravi, da so bili pravilniki uspešno preneseni. Ostalo je ponovno zagnati sistem in preveriti, ali so za ta računalnik zdaj uporabljene iste nastavitve lokalne politike..
Celoten seznam argumentov za pripomoček LocalGPO.wsf je na voljo s stikalom /?
cscript LocalGPO.wsf /?
Ponastavitev nastavitev lokalne politike na privzete vrednosti
Z uporabo LocalGPO lahko ponastavite vse trenutne nastavitve lokalne politike na standardne. Če želite to narediti, zaženite ukaz:
cscript LocalGPO.wsf / Obnovi
Uvoz pravilnika lokalne skupine v domeno AD
Oblika uvoza pravilnika LocalGPO pomeni sposobnost uvažanja nastavitev pravil lokalne skupine v GPO domene. To operacijo je mogoče izvesti s pomočjo varnostnih kopij in obnovitve funkcionalnosti domene GPO v upravljalni konzoli. GPMC (Skupina Politika Upravljanje Konzola). Primer uporabe takšne tehnike je v članku Prenos GPO-jev med domene.
LGPO.exe pripomoček za upravljanje lokalnih GPO
Pomožni program za konzolo Lgpo.exe Namenjen je avtomatizaciji upravljanja politik lokalnih skupin in je nadomestil ne več podprti pripomoček LocalGPO. Zato je trenutno priporočljivo uporabljati samo to. LGPO.exe je del upravitelja varnosti skladnosti (SCM).
LGPO.exe prenesite na https://www.microsoft.com/en-us/download/details.aspx?id=55319.
Pripomoček LGPO.exe ima naslednje funkcije:
- Sposobnost izvoza nastavitev lokalnih političnih skupin.
- Uvoz nastavitev GPO iz varnostnih kopij. Uvoz je podprt, vključno z datotekami regist.pol, varnostnimi predlogami, datotekami CSV.
- Pretvorite datoteke register.pol v berljivo obliko LGPO in obratno.
Če želite izvoziti trenutne lokalne nastavitve GPO v določen imenik, zaženite ukaz:
LGPO.exe / b c: \ orodja \ GPO
Pomožni program bo naložil vse trenutne nastavitve pravilnika v mapo z GUID-om pravilnika skupine.
Če želite predstaviti trenutne nastavitve GPO v varnostni kopiji iz datoteke register.pol v besedilno prijazni obliki za analizo, zaženite ukaz:
lgpo.exe / razčleni / m "C: \ orodja \ GPO \ 6DFFBBF4-91A3-4235-925B-FD108878E8F \ DomainSysvol \ GPO \ Machine \ register.pol" >> c: \ tools \ gpo \ lgpo.txt
Odprite besedilno datoteko lgpo.txt. Kot lahko vidite, vsebuje vse nastavitve registra, ki jih uporablja ta pravilnik.
Naredite potrebne spremembe datoteke s parametri registra lgpo.txt in jo pretvorite v obliko register.pol:
LGPO.exe / r "C: \ orodja \ GPO \ lgpo.txt" / w "C: \ orodja \ GPO \ register_new.pol"
Zdaj uvozite nove nastavitve pravilnika iz datoteke pol:
LGPO.exe / m "C: \ orodja \ GPO \ register_new.pol"
Če želite uvoziti (prenesti) lokalne nastavitve GPO iz tega računalnika v drugega, kopirajte imenik pravilnikov v ciljni računalnik in zaženite ukaz:
LGPO.exe / g C: \ orodja \ GPO \
Različica LGPO v2.2 podpira pravilno delovanje z več lokalnimi politikami (MLGPO), ki omogoča konfiguriranje ločenih pravilnikov za različne uporabnike (na voljo v operacijskem sistemu Windows Vista in novejših).
Kot vidite, uporaba pripomočka LGPO.exe za ustvarjanje varnostne kopije lokalnih pravilnikov in prenos nastavitev GPO med računalnike sploh ni težavna..