Transfer pengaturan Kebijakan Grup lokal antar komputer

Kebijakan Grup mereka adalah alat yang kuat dan pada saat yang sama fleksibel untuk mengkonfigurasi parameter OS Windows dan merupakan sarana yang sangat diperlukan untuk membawa komputer ke konfigurasi tunggal dalam domain Active Directory. Jika tidak ada domain, Anda dapat mengonfigurasi pengaturan komputer individual melalui kebijakan grup lokal. Kurangnya kebijakan lokal yang signifikan - kurangnya sarana untuk distribusi mereka di antara komputer workgroup. Akibatnya, administrator harus mengkonfigurasi pengaturan Kebijakan Grup secara manual di setiap komputer. Dengan sejumlah besar komputer dan pengaturan yang dapat disesuaikan, ini tidak terlalu produktif ...

Akan lebih optimal untuk membuat komputer referensi di dalam kelompok kerja dengan pengaturan yang diperlukan untuk kebijakan grup lokal dan pengaturan keamanan yang harus diterapkan pada semua komputer, dan ketika membuat perubahan, mendistribusikan konfigurasi ini ke PC lain.

Dalam artikel ini, kami akan mempertimbangkan skenario seperti itu, yang memungkinkan sederhana dan cepat mentransfer pengaturan kebijakan grup lokal dari satu komputer yang dikonfigurasikan ke PC lain di workgroup.

Konten:

• Masalah saat memigrasi Kebijakan Grup lokal antar komputer
• Menginstal Utilitas LocalGPO
• Ekspor Kebijakan Lokal
• Impor pengaturan GPO lokal
• GPOPack - format untuk mentransfer kebijakan grup lokal ke komputer lain
• Menyetel ulang pengaturan kebijakan lokal ke nilai default
• Impor Kebijakan Grup Lokal ke dalam Domain AD
• Utilitas LGPO.exe untuk mengelola GPO lokal

Masalah saat memigrasi Kebijakan Grup lokal antar komputer

Cara termudah untuk mentransfer pengaturan GP lokal (Kebijakan Grup) antara komputer adalah menyalin konten folder secara manual %akar sistem% \ Sistem32 \ GroupPolicy (secara default, direktori ini disembunyikan) dari satu komputer ke komputer lain dengan mengganti konten (setelah mengganti file, Anda harus secara manual mulai memperbarui kebijakan dengan perintah gpupdate / kekuatan atau restart PC).

Metode ini cukup sederhana, tetapi memiliki beberapa kelemahan signifikan:

1. Jadi pengaturan keamanan lokal (Template Keamanan) tidak ditransfer;
2. Ada kemungkinan GPO tidak berfungsi jika versi atau perakitan OS pada komputer donor dan penerima sangat berbeda;
3. Ketidakmampuan untuk membuat GPO domain berdasarkan kebijakan lokal (mengimpor kebijakan ke domain Active Directory untuk digunakan di masa mendatang);
4. Saat menyalin kebijakan, Anda harus mengedit secara manual penyebutan nama komputer lokal di pengaturan;
5. Ada beberapa masalah dengan migrasi templat admx khusus.

Jauh lebih mudah dan lebih nyaman untuk mengimpor / mengekspor kebijakan grup lokal yang dibuat menggunakan gpedit.msc menggunakan utilitas Localgpo, termasuk dalam paket Microsoft Keamanan Kepatuhan Manajer 3.0. Utilitas LocalGPO memungkinkan Anda untuk tidak hanya dengan cepat membuat cadangan GPO lokal dan mengembalikan pengaturan kebijakan lokal dari itu, tetapi juga membuat file yang dapat dieksekusi GPOPack, memungkinkan pengaturan transfer satu klik (impor) dari GPO lokal ke mesin lain.

Itu penting. Utilitas Localgpo saat ini sudah usang dan tidak secara resmi didukung oleh Microsoft. Selain itu, ini tidak berfungsi di Windows 10 dan Windows Server 2016 modern (meskipun ini dapat dielakkan dengan memodifikasi skrip yang dijelaskan di bawah). Disarankan untuk menggunakan utilitas untuk mengekspor, mengimpor dan mentransfer pengaturan GPO lokal antar komputer Lgpo.exe (contoh penggunaan utilitas ini dapat ditemukan di bagian terakhir artikel ini).

Utilitas Localgpo - Memungkinkan Anda untuk mengekspor semua pengaturan kebijakan lokal, termasuk dari INF, POL, bagian Audit, pengaturan kebijakan firewall Windows, dll. LocalGPO sangat ideal untuk digunakan dalam organisasi tanpa domain untuk mendistribusikan GPO antar komputer. Ini juga sangat berguna ketika digunakan bersama dengan Microsoft Deployment Toolkit (MDT) atau SCCM.

Menginstal Utilitas LocalGPO

Untuk menginstal utilitas LocalGPO di komputer lokal (dalam kasus kami, ini akan bertindak sebagai donor pengaturan kebijakan grup lokal):

1. Paket unduhan Security Compliance Manager (SCM) 3.0 (https://technet.microsoft.com/en-us/solutionaccelerators/cc835245.aspx
2. Buka file yang diunduh Security_Compliance_Manager_Setup.exe sebagai arsip menggunakan pengarsipan apa saja (7Zip atau WinRar).Catatan. Kami tidak ingin menginstal sepenuhnya paket Manajer Kepatuhan Keamanan, karena itu cukup berat dan mengandung banyak komponen yang tidak kita perlukan untuk tugas ini (SQL Server Express, Microsoft Visual C ++ 2010 Redistributable, dll.).
3. Ekstrak file dari arsip data.cab, yang pada gilirannya, bongkar (misalnya, dalam direktori C: \ Distr \ data).
4. Temukan file di direktori yang dihasilkan GPOMSI dan ganti namanya menjadi GPO.msi.
5. Jalankan instalasi GPO.msi.

Mari kita cari tahu cara menggunakan utilitas Localgpo. Manajemen hanya dimungkinkan melalui antarmuka konsol (baris perintah). Buka baris perintah dengan hak administrator dan pergi ke direktori C: \ Program File\ LocalGPO (pada sistem 32 bit) atau C: \ Program File (x86) \ LocalGPO (pada 64-bit).

Catatan. Jika Anda mencoba menggunakan utilitas LocalGPO untuk memigrasi kebijakan grup lokal ke Windows 10, Anda akan mendapatkan kesalahan.

Alat GPO Lokal
---------------------------
Alat ini hanya berjalan pada Windows XP Professional, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, atau Windows Server 2012

Faktanya adalah bahwa utilitas LocalGPO hanya mendukung Windows 8 (Windows Server 2012) dan di bawah ini. Dalam versi Windows yang lebih baru (Windows 8.1, Windows 10) disarankan untuk menggunakan utilitas baru Lgpo.exe (lihat bagian terakhir dalam artikel ini). Meskipun secara teknis, skrip LocalGPO.wsf lama mendukung Windows 10 / 8.1 dan Windows Server 2016/2012 R2. Agar LocalGPO.wsf bekerja dengan OS baru, cukup dengan mengubah kode fungsi untuk memeriksa versi OS (ChkOSVersion) dalam file, menambahkan baris berikut:

Jika (Kiri (strOpVer, 4) = "10.0") dan (strProductType = "1") maka
strOS = "Win10"
ElseIf (Kiri (strOpVer, 3) = "6.3") dan (strProductType "1") lalu
strOS = "WS16"
ElseIf (Kiri (strOpVer, 3) = "6.3") dan (strProductType = "1") lalu
strOS = "Win81"

Ekspor Kebijakan Lokal

Untuk mengekspor pengaturan kebijakan grup lokal ke direktori C: \ GPObackup (direktori harus dibuat terlebih dahulu), jalankan perintah
cscript LocalGPO.wsf / Path: C: \ GPObackup / Ekspor

Folder baru dengan GID GUID tertentu akan muncul di direktori target, yang akan berisi semua parameter kebijakan komputer lokal.

Faktanya, kami membuat cadangan GPO lokal, yang selalu dapat kami putar kembali.

Utilitas LocalGPO.wsf mendukung bekerja dengan Multiple Local GPO (MLGPO). Untuk membongkar kebijakan lokal yang terkait dengan grup atau pengguna lokal tertentu, Anda harus menggunakan format berikut untuk menggunakan LocalGPO.wsf.

cscript LocalGPO.wsf / Path: C: \ GPObackup / Ekspor / MLGPO: Administrator

Atau

cscript LocalGPO.wsf / Path: C: \ GPObackup / Ekspor / MLGPO: LocalUserName

Impor pengaturan GPO lokal

Untuk mengembalikan pengaturan Kebijakan Grup Lokal dari salinan yang dihasilkan, kami akan mengimpor menggunakan perintah berikut, menentukan jalur direktori sebagai argumen.
cscript LocalGPO.wsf / Path: C: \ GPObackup \ B6542366-C0C0-4948-AF39-B17F0B1F0E9A

GPOPack - format untuk mentransfer kebijakan grup lokal ke komputer lain

Utilitas LocalGPO mengasumsikan kemampuan untuk membuat paket GPOPack, dirancang untuk kemudahan impor pengaturan GPO lokal ke komputer lain (tidak memerlukan instalasi awal LocalGPO di komputer target). Format yang sama nyaman untuk digunakan dalam tugas penyebaran OS melalui Microsoft Deployment Toolkit (MDT) atau Microsoft System Center Configuration Manager (SCCM). Untuk membuat paket portabel, jalankan:
cscript LocalGPO.wsf / Path: C: \ GPObackup / Ekspor / GPOPack
Salin folder yang dihasilkan ke komputer lain (di mana kebijakan ini direncanakan akan diterapkan), buka baris perintah dengan hak administrator dan jalankan file GPOPack.wsf.

Pesan "Diterapkan GPOPack untuk Lokal Kebijakan"mengatakan bahwa kebijakan telah berhasil ditransfer. Tetap untuk mem-boot ulang sistem dan memverifikasi bahwa pengaturan kebijakan lokal yang sama sekarang diterapkan ke komputer ini.

Daftar lengkap argumen untuk utilitas LocalGPO.wsf tersedia dengan /? Switch:

cscript LocalGPO.wsf /?

Menyetel ulang pengaturan kebijakan lokal ke nilai default

Menggunakan LocalGPO, Anda dapat mengatur ulang semua pengaturan kebijakan lokal saat ini ke yang standar. Untuk melakukan ini, jalankan perintah:

cscript LocalGPO.wsf / Pulihkan

Kiat. Sebelumnya, kami menunjukkan cara mereset secara manual konfigurasi kebijakan grup lokal..

Impor Kebijakan Grup Lokal ke dalam Domain AD

Format impor kebijakan LocalGPO menyiratkan kemampuan untuk mengimpor pengaturan kebijakan grup lokal ke domain GPO. Operasi ini dapat dilakukan melalui fungsi pencadangan dan pengembalian domain GPO di konsol manajemen. GPMC (Grup Kebijakan Manajemen Konsol). Contoh penggunaan teknik semacam itu ada di artikel Mentransfer GPO antar domain.

Utilitas LGPO.exe untuk mengelola GPO lokal

Utilitas saluran konsol Lgpo.exe Hal ini dimaksudkan untuk mengotomatisasi pengelolaan kebijakan grup lokal dan dimaksudkan untuk mengganti utilitas LocalGPO yang tidak lagi didukung. Karena itu, saat ini disarankan untuk menggunakannya saja. LGPO.exe adalah bagian dari Security Compliance Manager (SCM).

Unduh LGPO.exe di https://www.microsoft.com/en-us/download/details.aspx?id=55319.

Utilitas LGPO.exe memiliki fitur berikut:

• Kemampuan untuk mengekspor pengaturan kebijakan grup lokal.
• Impor pengaturan GPO dari cadangan. Impor didukung termasuk file registry.pol, templat keamanan, file CSV.
• Konversikan file registry.pol ke format yang dapat dibaca LGPO dan sebaliknya.

Untuk mengekspor pengaturan GPO lokal saat ini ke direktori yang ditentukan, jalankan perintah:

LGPO.exe / b c: \ tools \ GPO

Utilitas akan mengunggah semua pengaturan kebijakan saat ini ke folder dengan GUID kebijakan grup.

Untuk menyajikan pengaturan GPO saat ini dalam file cadangan dari file registry.pol dalam format yang ramah teks untuk analisis, jalankan perintah:

lgpo.exe / parse / m "C: \ tools \ GPO \ 6DFFBBF4-91A3-4235-925B-FD108878E8F \ DomainSysvol \ GPO \ Machine \ registry.pol" >> c: \ tools \ gpo \ lgpo.txt

Buka file teks lgpo.txt. Seperti yang Anda lihat, ini berisi semua pengaturan registri yang diterapkan oleh kebijakan ini.

Buat perubahan yang diperlukan pada file dengan parameter registri lgpo.txt dan konversikan ke format registry.pol:

LGPO.exe / r "C: \ tools \ GPO \ lgpo.txt" / w "C: \ tools \ GPO \ registry_new.pol"

Sekarang impor pengaturan kebijakan baru dari file pol:

LGPO.exe / m "C: \ tools \ GPO \ registry_new.pol"

Untuk mengimpor (mentransfer) pengaturan GPO lokal dari komputer ini ke yang lain, salin direktori kebijakan pada komputer target dan jalankan perintah:

LGPO.exe / g C: \ tools \ GPO \

Versi LGPO v2.2 mendukung operasi yang benar dengan beberapa kebijakan lokal (MLGPO), yang memungkinkan Anda untuk mengonfigurasi kebijakan terpisah untuk pengguna yang berbeda (tersedia di Windows Vista dan di atasnya).

Jadi, seperti yang Anda lihat, menggunakan utilitas LGPO.exe untuk membuat cadangan kebijakan lokal dan mentransfer pengaturan GPO antar komputer tidak sulit sama sekali.