Helyi csoportházirend-beállítások átvitele a számítógépek között

Csoportházirend erőteljes és ugyanakkor rugalmas eszköz a Windows operációs rendszer paramétereinek konfigurálására, és nélkülözhetetlen eszköz a számítógépek egyetlen konfigurációhoz történő hozzáigazításához az Active Directory tartományon belül. Ha nincs tartomány, az egyedi számítógépes beállításokat a helyi csoportházirend segítségével konfigurálhatja. A helyi politikák jelentős hiánya - az eszközök hiánya a munkacsoport-számítógépek közötti elosztáshoz. Ennek eredményeként az adminisztrátornak manuálisan kell konfigurálnia a csoportházirend-beállításokat minden számítógépen. Nagyszámú számítógép és testreszabható beállítások miatt ez nem túl eredményes ...

Optimális lenne egy referenciaszámítógépet létrehozni a munkacsoporton belül a helyi csoportszabályok és a biztonsági beállítások szükséges beállításaival, amelyeket minden számítógépen alkalmazni kell, és a módosítások elvégzésekor ezt a konfigurációt terjesztni más számítógépekre..

Ebben a cikkben csak egy ilyen forgatókönyvet fogunk megvizsgálni, amely lehetővé tette az egyszerű és gyors alkalmazást vigye át a helyi csoportházirend-beállításokat az egyik konfigurált számítógépről a munkacsoport más PC-jére.

Tartalom:

  • Problémák a helyi csoportházirend migrálásával a számítógépek között
  • A LocalGPO segédprogram telepítése
  • Helyi házirend-export
  • Helyi GPO-beállítások importálása
  • GPOPack - formátum a helyi csoportszabályok más számítógépekre történő átviteléhez
  • A helyi házirend-beállítások visszaállítása az alapértelmezett értékekre
  • Importálja a helyi csoportházirendet egy AD tartományba
  • LGPO.exe segédprogram a helyi GPO-k kezelésére

Problémák a helyi csoportházirend áttelepítésével a számítógépek között

A helyi GP-beállítások (csoportházirend) a számítógépek közötti átvitelének legegyszerűbb módja a mappa tartalmának kézi másolása %systemroot% \ System32 \ GroupPolicy (alapértelmezés szerint ez a könyvtár rejtett) egyik számítógépről a másikra a tartalom cseréjével (a fájlok cseréje után, manuálisan el kell kezdenie a házirendek frissítését a paranccsal gpupdate / erő vagy indítsa újra a számítógépet).

Ez a módszer nagyon egyszerű, de számos jelentős hátránya van:

  1. Tehát a helyi biztonsági beállításokat (biztonsági sablonok) nem továbbítják;
  2. Valószínűleg nem működik a csoportházirend-objektum, ha az operációs rendszer verziója vagy összeállítása az adományozó számítógépen és a címzettben nagyon különbözik;
  3. A helyi házirend alapján nem lehet tartományi csoportházirend-objektumot létrehozni (a házirend importálása az Active Directory tartományba későbbi felhasználás céljából);
  4. Az irányelv másolásakor manuálisan kell szerkesztenie a helyi számítógép nevének minden említését a beállításokban;
  5. Számos probléma merül fel az egyedi admx sablonok áttelepítésével.

Sokkal könnyebb és kényelmesebb a gpedit.msc használatával létrehozott helyi csoportházirend importálása / exportálása a segédprogrammal LocalGPO, a csomagban Microsoft biztonság teljesítés menedzser 3.0. A LocalGPO segédprogram segítségével nemcsak gyorsan készíthet biztonsági másolatot a helyi csoportházirend-objektumról, és helyreállíthatja a helyi házirend-beállításokat, hanem létrehozhat egy futtatható fájlt is. GPOPack, lehetővé téve a helyi GPO egy kattintással történő átvitelét (importálását) egy másik gépre.

Fontos. hasznosság LocalGPO jelenleg elavult, és a Microsoft nem hivatalosan támogatja. Ezenkívül nem működik a modern Windows 10 és a Windows Server 2016 rendszerben (bár ezt az alábbiakban ismertetett szkript módosításával lehet megkerülni). Ajánlott a segédprogram használata a helyi GPO-k beállításainak exportálására, importálására és átvitelére a számítógépek között LGPO.exe (a segédprogram használatának példái megtalálhatók a cikk utolsó részében).

hasznosság LocalGPO - Lehetővé teszi a helyi házirendek összes beállításának exportálását, ideértve az INF, POL, Felügyeleti szakaszok, a Windows tűzfal házirend-beállításai stb. A LocalGPO ideális domainek nélküli szervezetekben GPO-k terjesztésére számítógépek között. Rendkívül hasznos, ha a Microsoft telepítési eszközkészlettel (MDT) vagy az SCCM-rel együtt használják.

A LocalGPO segédprogram telepítése

A LocalGPO segédprogram telepítéséhez a helyi számítógépre (a mi esetünkben a helyi csoportházirend-beállítások adományozójaként jár majd el):

  1. Töltse le a csomagot Biztonsági megfelelőségkezelő (SCM) 3.0 (https://technet.microsoft.com/en-us/solutionaccelerators/cc835245.aspx
  2. Nyissa meg a letöltött fájlt Security_Compliance_Manager_Setup.exe archívumként bármilyen archiváló segítségével (7Zip vagy WinRar).megjegyzés. Nem akarjuk teljes mértékben telepíteni a Security Compliance Manager csomagot, mert elég nehéz, és számos olyan összetevőt tartalmaz, amelyekre nincs szükségünk ehhez a feladathoz (SQL Server Express, Microsoft Visual C ++ 2010 újraterjeszthető stb.).
  3. Fájl kibontása az archívumból data.cab, amelyek viszont kicsomagolják (például a C: \ Distr \ data könyvtárban).
  4. Keresse meg a fájlt a kapott könyvtárban GPOMSI és nevezze át GPO.msi.
  5. Futtassa a GPO.msi telepítését.

Gondoljuk ki, hogyan kell használni a segédprogramot LocalGPO. A kezelés csak a konzol felületén (parancssorban) lehetséges. Nyissa meg a parancssort az adminisztrátori jogokkal, és lépjen a könyvtárba C: \ Program Files\ LocalGPO (32 bites rendszeren) vagy C: \ Program Files (x86) \ LocalGPO (64 bites).

megjegyzés. Ha megpróbálja a LocalGPO segédprogramot a helyi csoportszabályok áttelepítésére a Windows 10 rendszerre, hibaüzenetet kap.

LocalGPO eszköz
---------------------------
Ez az eszköz csak Windows XP Professional, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 vagy Windows Server 2012 rendszeren fut.

A helyzet az, hogy a LocalGPO segédprogram csak a Windows 8-at (Windows Server 2012) és későbbi verziókat támogatja. A Windows újabb verzióiban (Windows 8.1, Windows 10) ajánlott az új segédprogram használata LGPO.exe (lásd a cikk utolsó részét). Bár a régi LocalGPO.wsf szkript technikailag támogatja a Windows 10 / 8.1 és a Windows Server 2016/2012 R2 szoftvert is. Annak érdekében, hogy a LocalGPO.wsf új operációs rendszerekkel működjön, elegendő megváltoztatni a fájl kódját az operációs rendszer verziójának ellenőrzéséhez (ChkOSVersion) a következő sorok hozzáadásával:

Ha (Balra (strOpVer, 4) = "10,0") és (strProductType = "1"), akkor
strOS = "Win10"
ElseIf (Balra (strOpVer, 3) = "6,3") és (strProductType "1"), majd
strOS = "WS16"
ElseIf (Balra (strOpVer, 3) = "6,3") és (strProductType = "1"), majd
strOS = "Win81"

Helyi házirend-export

A helyi csoportházirend-beállítások exportálásához a C: \ GPObackup könyvtárba (a könyvtárat előbb létre kell hozni), hajtsa végre a parancsot
cscript LocalGPO.wsf / Útvonal: C: \ GPObackup / Export

Egy új GPO GUID azonosítóval rendelkező mappa jelenik meg a célkönyvtárban, amely a helyi számítógépes házirend összes paraméterét tartalmazza.

Valójában biztonsági mentést készítettünk a helyi GPO-ról, amelyre mindig visszatérhetünk.

A LocalGPO.wsf segédprogram támogatja a Multiple Local GPO (MLGPO) használatát. Egy adott helyi csoporthoz vagy felhasználóhoz társított helyi házirend letöltéséhez a következő formátumot kell használnia a LocalGPO.wsf használatához..

cscript LocalGPO.wsf / Út: C: \ GPObackup / Export / MLGPO: Rendszergazdák

vagy

cscript LocalGPO.wsf / Út: C: \ GPObackup / Export / MLGPO: LocalUserName

Helyi GPO-beállítások importálása

A Helyi csoportházirend-beállítások visszaállításához az eredményül kapott példányból a következő paranccsal importáljuk, argumentumként megadva a könyvtár elérési útját.
cscript LocalGPO.wsf / Út: C: \ GPObackup \ B6542366-C0C0-4948-AF39-B17F0B1F0E9A

GPOPack - formátum a helyi csoportszabályok más számítógépekre történő átviteléhez

A LocalGPO segédprogram feltételezi a csomag létrehozásának képességét GPOPack, Ajánlott: a helyi GPO-beállítások kényelmes importálásához más számítógépekre (ez nem igényli a LocalGPO előzetes telepítését a célszámítógépen). Ugyanaz a formátum kényelmes az operációs rendszer telepítési feladataiban a Microsoft Deployment Toolkit (MDT) vagy a Microsoft System Center Configuration Manager (SCCM) segítségével. Hordozható csomag létrehozásához hajtsa végre:
cscript LocalGPO.wsf / Útvonal: C: \ GPObackup / Export / GPOPack
Másolja a kapott mappát egy másik számítógépre (ahol ezeket a házirendeket tervezik alkalmazni), nyissa meg a parancssort a rendszergazdai jogokkal és futtassa a GPOPack.wsf fájlt.

Üzenet "alkalmazott GPOPack hogy helyi politika"azt mondja, hogy a házirendek sikeresen átkerültek. Fenn kell hagyni a rendszer újraindítását és annak ellenőrzését, hogy ugyanazok a helyi házirend-beállítások érvényesek-e a számítógépre.

A LocalGPO.wsf segédprogramhoz tartozó érvek teljes listája a /? Kapcsolóval érhető el:

cscript LocalGPO.wsf /?

A helyi házirend-beállítások visszaállítása az alapértelmezett értékekre

A LocalGPO használatával visszaállíthatja az összes aktuális helyi házirend-beállítást a szokásosra: Ehhez futtassa a következő parancsot:

cscript LocalGPO.wsf / Restore

tanács. Korábban megmutattuk, hogyan lehet manuálisan visszaállítani a helyi csoportházirend-konfigurációt..

Importálja a helyi csoportházirendet egy AD tartományba

A LocalGPO-házirend-importálási formátum azt jelenti, hogy a helyi csoport-házirend-beállításokat importálhatják a tartományi csoportházirend-objektumba. Ez a művelet a felügyeleti konzolban található tartományi GPO-k biztonsági mentésének és visszaállításának a funkciójával hajtható végre. GPMC (Group politika vezetés konzol). Egy ilyen technika alkalmazásának példája a GPO-k átvitele a tartományok között című cikk.

LGPO.exe segédprogram a helyi GPO-k kezelésére

Konzol vonal segédprogram LGPO.exe Célja a helyi csoportszabályok kezelésének automatizálása, és helyettesíti a már nem támogatott LocalGPO segédprogramot. Ezért jelenleg ajánlott csak azt használni. Az LGPO.exe a Security Compliance Manager (SCM) része.

Töltse le az LGPO.exe fájlt a https://www.microsoft.com/en-us/download/details.aspx?id=55319 webhelyről.

Az LGPO.exe segédprogram a következő tulajdonságokkal rendelkezik:

  • Képesség a helyi csoportszabály-beállítások exportálására.
  • A GPO-beállítások importálása a biztonsági mentésből. Az importálás támogatott, beleértve a register.pol fájlokat, biztonsági sablonokat, CSV fájlokat.
  • Konvertálja a register.pol fájlokat LGPO olvasható formátumba és fordítva.

A jelenlegi helyi GPO-beállítások megadott könyvtárba történő exportálásához futtassa a következő parancsot:

LGPO.exe / b c: \ tools \ GPO

A segédprogram feltölti az összes aktuális házirend-beállítást egy mappába, amelyen a csoportházirend-GUID található.

A jelenlegi GPO-beállításoknak a backup.fájlból a register.pol fájlból szöveg-barát formátumú elemzésre történő bemutatásához futtassa a következő parancsot:

lgpo.exe / parse / m "C: \ eszközök \ GPO \ 6DFFBBF4-91A3-4235-925B-FD108878E8F \ DomainSysvol \ GPO \ Machine \ register.pol" >> c: \ tools \ gpo \ lgpo.txt

Nyissa meg az lgpo.txt szöveges fájlt. Mint láthatja, az összes házirend-beállítást tartalmazza, amelyet a házirend alkalmaz.

Végezze el a szükséges változtatásokat a fájlban az lgpo.txt regisztrációs paraméterekkel, és konvertálja a register.pol formátumba:

LGPO.exe / r "C: \ tools \ GPO \ lgpo.txt" / w "C: \ tools \ GPO \ register_new.pol"

Most importálja az új házirend-beállításokat a pol fájlból:

LGPO.exe / m "C: \ tools \ GPO \ register_new.pol"

A helyi GPO-beállítások importálásához (átviteléhez) a számítógépről a másikra, másolja a házirend könyvtárat a célszámítógépen, és futtassa a következő parancsot:

LGPO.exe / g C: \ tools \ GPO \

Az LGPO v2.2 verzió támogatja a helyes működést több helyi házirenddel (MLGPO), amely lehetővé teszi különféle házirendek konfigurálását a különféle felhasználók számára (Windows Vista és újabb verziókban elérhető).

Tehát, amint láthatja, az LGPO.exe segédprogrammal biztonsági másolat készítése a helyi házirendekről és a GPO-beállítások átvitele a számítógépek között egyáltalán nem nehéz..