Skupinová politika jsou výkonným a zároveň flexibilním nástrojem pro konfiguraci parametrů operačního systému Windows a jsou nezbytným prostředkem pro uvedení počítačů do jediné konfigurace v doméně Active Directory. Pokud neexistuje doména, můžete nakonfigurovat jednotlivá nastavení počítače pomocí zásad místní skupiny. Významný nedostatek místních politik - nedostatek prostředků pro jejich distribuci mezi počítači pracovní skupiny. V důsledku toho musí správce ručně nakonfigurovat nastavení zásad skupiny v každém počítači. S velkým počtem počítačů a přizpůsobitelným nastavením to není příliš produktivní ...
Bylo by optimální vytvořit referenční počítač v rámci pracovní skupiny s nezbytným nastavením pro zásady místní skupiny a nastavení zabezpečení, které by mělo být použito na všech počítačích, a při provádění změn distribuovat tuto konfiguraci do jiných počítačů..
V tomto článku se budeme zabývat jen takovým scénářem, který umožňuje jednoduché a rychlé Přeneste nastavení zásad místní skupiny z jednoho nakonfigurovaného počítače do jiných počítačů v pracovní skupině.
Obsah:
- Problémy s migrací místních zásad skupiny mezi počítači
- Instalace nástroje LocalGPO
- Export místních zásad
- Importujte místní nastavení GPO
- GPOPack - formát pro přenos zásad místní skupiny do jiných počítačů
- Obnovení nastavení místních zásad na výchozí hodnoty
- Import zásad místní skupiny do domény AD
- Nástroj LGPO.exe pro správu místních objektů GPO
Problémy s migrací místních zásad skupiny mezi počítači
Nejjednodušší způsob, jak přenést místní nastavení GP (Zásady skupiny) mezi počítači, je ručně zkopírovat obsah složky %systemroot% \ System32 \ GroupPolicy (ve výchozím nastavení je tento adresář skrytý) z jednoho počítače do druhého nahrazením obsahu (po nahrazení souborů je třeba ručně spustit aktualizaci zásad pomocí příkazu gpupdate / force nebo restartujte počítač).
Tato metoda je poměrně jednoduchá, ale má několik významných nedostatků:
- Místní nastavení zabezpečení (šablony zabezpečení) se tedy nepřenášejí;
- Je pravděpodobné, že GPO nebude fungovat, pokud se verze nebo sestavení operačního systému v počítači dárce a příjemce velmi liší;
- Neschopnost vytvořit GPO domény na základě místní politiky (import této politiky do domény Active Directory pro budoucí použití);
- Při kopírování zásady budete muset ručně upravit jakékoli zmínky o názvu místního počítače v nastavení;
- Při migraci vlastních šablon admx existuje řada problémů.
Je mnohem snazší a pohodlnější importovat / exportovat zásady místní skupiny vytvořené pomocí gpedit.msc pomocí obslužného programu Localgpo, součástí balení Microsoft Zabezpečení Soulad Manažer 3.0. Nástroj LocalGPO umožňuje nejen rychle vytvořit zálohu místního GPO a obnovit z něj nastavení místních zásad, ale také vytvořit spustitelný soubor. GPOPack, umožňující nastavení přenosu (importu) lokálního GPO jedním kliknutím do jiného počítače.
Je důležité. Nástroj Localgpo je aktuálně zastaralý a společnost Microsoft jej oficiálně nepodporuje. Navíc v moderních systémech Windows 10 a Windows Server 2016 nefunguje (ačkoli to lze obejít úpravou skriptu popsaného níže). Doporučuje se použít tento nástroj k exportu, importu a přenosu nastavení místních GPO mezi počítači Lgpo.exe (příklady použití tohoto nástroje naleznete v poslední části tohoto článku).Nástroj Localgpo - Umožňuje exportovat všechna nastavení místních zásad, včetně nastavení z INF, POL, sekcí Audit, nastavení zásad brány firewall systému Windows atd. LocalGPO je ideální pro použití v organizacích bez domén k distribuci GPO mezi počítači. Je také velmi užitečný při použití ve spojení s Microsoft Deployment Toolkit (MDT) nebo SCCM.
Instalace nástroje LocalGPO
Chcete-li nainstalovat obslužný program LocalGPO na místní počítač (v našem případě bude fungovat jako dárce nastavení zásad místní skupiny):
- Stáhněte si balíček Security Compliance Manager (SCM) 3.0 (https://technet.microsoft.com/en-us/solutionaccelerators/cc835245.aspx
- Otevřete stažený soubor Security_Compliance_Manager_Setup.exe jako archiv pomocí libovolného archivátoru (7Zip nebo WinRar).Poznámka:. Nechceme plně nainstalovat balíček Security Compliance Manager, protože je poměrně těžký a obsahuje mnoho komponent, které pro tento úkol nepotřebujeme (SQL Server Express, Microsoft Visual C ++ 2010 Redistribuovatelné atd.).
- Extrahujte soubor z archivu data.cab, které se zase rozbalí (například v adresáři C: \ Distr \ data).
- Vyhledejte soubor ve výsledném adresáři GPOMSI a přejmenovat na GPO.msi.
- Spusťte instalaci GPO.msi.
Pojďme na to, jak tento nástroj používat Localgpo. Správa je možná pouze přes rozhraní konzoly (příkazový řádek). Otevřete příkazový řádek s právy správce a přejděte do adresáře C: \ Program Soubory\ LocalGPO (na 32bitových systémech) nebo C: \ Program Soubory (x86) \ LocalGPO (na 64bitové verzi).
Poznámka:. Pokud se pokusíte použít nástroj LocalGPO k migraci zásad místní skupiny do systému Windows 10, zobrazí se chybová zpráva.LocalGPO Tool
---------------------------
Tento nástroj lze spustit pouze v systémech Windows XP Professional, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 nebo Windows Server 2012
Faktem je, že obslužný program LocalGPO podporuje pouze Windows 8 (Windows Server 2012) a nižší. V novějších verzích systému Windows (Windows 8.1, Windows 10) se doporučuje použít nový nástroj Lgpo.exe (viz poslední část tohoto článku). Ačkoli je to technicky, starý skript LocalGPO.wsf podporuje Windows 10 / 8.1 a Windows Server 2016/2012 R2. Aby LocalGPO.wsf pracoval s novými operačními systémy, stačí změnit kód funkce pro kontrolu verze operačního systému (ChkOSVersion) v souboru a přidat následující řádky:
Pokud (Left (strOpVer, 4) = "10.0") a (strProductType = "1"), pak
strOS = "Win10"
ElseIf (Left (strOpVer, 3) = "6,3") a (strProductType "1"), pak
strOS = "WS16"
ElseIf (Left (strOpVer, 3) = "6.3") a (strProductType = "1"), pak
strOS = "Win81"
Export místních zásad
Chcete-li exportovat nastavení zásady místní skupiny do adresáře C: \ GPObackup (adresář musí být nejprve vytvořen), proveďte příkazcscript LocalGPO.wsf / Cesta: C: \ GPObackup / Export
V cílovém adresáři se objeví nová složka s určitým identifikátorem GUI GPO, který bude obsahovat všechny parametry politiky místního počítače.
Ve skutečnosti jsme vytvořili zálohu místního GPO, do které se můžeme vždy vrátit.
Nástroj LocalGPO.wsf podporuje práci s více místními GPO (MLGPO). Chcete-li uvolnit místní zásadu přidruženou k určité místní skupině nebo uživateli, musíte použít následující formát pro použití LocalGPO.wsf.
cscript LocalGPO.wsf / Cesta: C: \ GPObackup / Export / MLGPO: Správci
Nebo
cscript LocalGPO.wsf / Cesta: C: \ GPObackup / Export / MLGPO: LocalUserName
Importujte místní nastavení GPO
Chcete-li obnovit nastavení místní zásady skupiny z výsledné kopie, importujeme pomocí následujícího příkazu a jako argument uvedeme cestu k adresáři.cscript LocalGPO.wsf / Cesta: C: \ GPObackup \ B6542366-C0C0-4948-AF39-B17F0B1F0E9A
GPOPack - formát pro přenos zásad místní skupiny do jiných počítačů
Nástroj LocalGPO předpokládá schopnost vytvořit balíček GPOPack, určené pro pohodlný import nastavení lokálního GPO do jiných počítačů (nevyžaduje předběžnou instalaci LocalGPO na cílovém počítači). Stejný formát je vhodný pro použití v úlohách nasazení operačního systému pomocí Microsoft Deployment Toolkit (MDT) nebo Microsoft System Center Configuration Manager (SCCM). Chcete-li vytvořit přenosný balíček, proveďte následující kroky:cscript LocalGPO.wsf / Cesta: C: \ GPObackup / Export / GPOPack
Zkopírujte výslednou složku do jiného počítače (kde se tyto zásady plánují použít), otevřete příkazový řádek s právy správce a spusťte soubor GPOPack.wsf.
Zpráva “Aplikováno GPOPack do Místní Zásady“říká, že zásady byly úspěšně přeneseny. Zbývá restartovat systém a ověřit, zda se na tento počítač nyní vztahují stejná nastavení místních zásad.
Úplný seznam argumentů obslužného programu LocalGPO.wsf je k dispozici s přepínačem /?
cscript LocalGPO.wsf /?
Obnovení nastavení místních zásad na výchozí hodnoty
Pomocí LocalGPO můžete obnovit všechna aktuální nastavení místních zásad na standardní. Spusťte příkaz:
cscript LocalGPO.wsf / Restore
Import zásad místní skupiny do domény AD
Formát importu zásad LocalGPO implikuje možnost importovat nastavení zásad místní skupiny do GPO domény. Tuto operaci lze provést pomocí funkce zálohování a obnovy doménových objektů GPO v konzole pro správu. GPMC (Skupina Zásady Řízení Konzola). Příklad použití takové techniky je v článku Přenos GPO mezi doménami.
Nástroj LGPO.exe pro správu místních objektů GPO
Obslužný program konzoly Lgpo.exe Jeho účelem je automatizovat správu zásad místní skupiny a má nahradit již nepodporovaný nástroj LocalGPO. Proto se v tuto chvíli doporučuje používat pouze to. LGPO.exe je součástí nástroje Security Compliance Manager (SCM).
Stáhněte si LGPO.exe na adrese https://www.microsoft.com/en-us/download/details.aspx?id=55319.
Nástroj LGPO.exe má následující funkce:
- Možnost exportovat nastavení místních skupinových zásad.
- Importujte nastavení GPO ze zálohy. Import je podporován včetně souborů registry.pol, bezpečnostních šablon, souborů CSV.
- Převod souborů registry.pol do formátu čitelného pro LGPO a naopak.
Chcete-li exportovat aktuální místní nastavení GPO do zadaného adresáře, spusťte příkaz:
LGPO.exe / b c: \ tools \ GPO
Nástroj nahraje všechna aktuální nastavení zásad do složky s GUID skupinových zásad.
Chcete-li prezentovat aktuální nastavení GPO v záložním souboru ze souboru registry.pol v textově příznivém formátu pro analýzu, spusťte příkaz:
lgpo.exe / parse / m "C: \ tools \ GPO \ 6DFFBBF4-91A3-4235-925B-FD108878E8F \ DomainSysvol \ GPO \ Machine \ registry.pol" >> c: \ tools \ gpo \ lgpo.txt
Otevřete textový soubor lgpo.txt. Jak vidíte, obsahuje všechna nastavení registru, která jsou používána touto zásadou.
Proveďte potřebné změny v souboru s parametry registru lgpo.txt a převeďte jej do formátu registry.pol:
LGPO.exe / r "C: \ tools \ GPO \ lgpo.txt" / w "C: \ tools \ GPO \ registry_new.pol"
Nyní importujte nová nastavení zásad ze souboru pol:
LGPO.exe / m "C: \ tools \ GPO \ registry_new.pol"
Chcete-li importovat (přenést) nastavení místní GPO z tohoto počítače do jiného, zkopírujte adresář zásad v cílovém počítači a spusťte příkaz:
LGPO.exe / g C: \ tools \ GPO \
Verze LGPO v2.2 podporuje správný provoz s více místními politikami (MLGPO), což umožňuje konfigurovat samostatné zásady pro různé uživatele (k dispozici v systému Windows Vista a výše).
Jak vidíte, použití nástroje LGPO.exe k vytvoření zálohy místních zásad a přenosu nastavení GPO mezi počítači není vůbec obtížné.