Преносите локална подешавања смерница групе између рачунара

Групна политика они су моћан и истовремено флексибилан алат за конфигурисање параметара оперативног система Виндовс и незаобилазно су средство за повезивање рачунара у једну конфигурацију у домену Ацтиве Дирецтори. Ако не постоји домен, можете конфигурирати појединачна подешавања рачунара кроз локалну политику групе. Значајан недостатак локалних политика - недостатак средстава за њихову дистрибуцију између рачунара радних група. Као резултат тога, администратор мора ручно да конфигурише поставке групе смерница на сваком рачунару. Са великим бројем рачунара и прилагодљивим подешавањима, то није баш продуктивно ...

Било би оптимално створити референтни рачунар у оквиру радне групе са потребним подешавањима за политике локалне групе и безбедносна подешавања која би требало применити на свим рачунарима и приликом уношења промена дистрибуирати ову конфигурацију на друге рачунаре.

У овом ћемо чланку размотрити управо такав сценарио, који је омогућио једноставно и брзо пренесите поставке локалне групе групе са једног конфигурисаног рачунара на друге рачунаре у радној групи.

Садржај:

  • Проблеми са миграцијом локалне групне политике између рачунара
  • Инсталирање ЛоцалГПО услужног програма
  • Извоз локалне политике
  • Увези локалне ГПО поставке
  • ГПОПацк - формат за пренос политике локалне групе на друге рачунаре
  • Ресетовање поставки локалне политике на задане вредности
  • Увези локалну групну политику у АД домен
  • ЛГПО.еке услужни програм за управљање локалним ГПО

Проблеми са миграцијом локалне групне политике између рачунара

Најлакши начин за пренос локалних ГП подешавања (Гроуп Гроуп) са рачунара је ручно копирање садржаја у мапу %системроот% \ Систем32 \ ГроупПолици (подразумевано је овај директориј сакривен) са једног рачунара на други заменом садржаја (након замене датотека морате ручно покренути ажурирање смерница командом гпупдате / сила или поново покрените рачунар).

Ова метода је прилично једноставна, али има неколико значајних недостатака:

  1. Дакле, локална безбедносна подешавања (Безбедносни предлошци) се не преносе;
  2. Постоји вероватноћа да ГПО не ради ако су верзија или састављање ОС-а на рачунару даваоцу и примаоцу веома различити;
  3. Немогућност креирања ГПО домене на основу локалне политике (увоз политике у домен Ацтиве Дирецтори-а за будућу употребу);
  4. Када копирате полису, мораћете да ручно измените свако спомињање имена локалног рачунара у подешавањима;
  5. Постоје бројни проблеми са миграцијом прилагођених адмк шаблона.

Много је лакше и практичније увозити / извозити локалну групну политику креирану помоћу гпедит.мсц помоћу услужног програма Лоцалгпо, укључено у пакету Мицрософт Сигурност Усклађеност Менаџер 3.0. Услужни програм ЛоцалГПО омогућава вам не само брзо стварање резервне копије локалног ГПО-а и враћање поставки локалне политике из њега, већ и креирање извршне датотеке ГПОПацк, омогућавајући преношење (увоз) подешавања локалног ГПО-а једним кликом на другу машину.

Важно је. Корисност Лоцалгпо тренутно је застарио и Мицрософт га званично не подржава. Поред тога, не функционише у модерним системима Виндовс 10 и Виндовс Сервер 2016 (мада се то може заобићи модификовањем доље описане скрипте). Препоручује се овај услужни програм за извоз, увоз и пренос поставки локалних ГПО-а између рачунара Лгпо.еке (примери коришћења овог услужног програма можете наћи у последњем одељку овог чланка).

Корисност Лоцалгпо - Омогућава вам извоз свих поставки локалних политика, укључујући из ИНФ, ПОЛ, одељка ревизије, подешавања политике заштитног зида Виндовс итд. ЛоцалГПО је идеалан за употребу у организацијама без домена за дистрибуцију ГПО-а између рачунара. Такође је изузетно користан када се користи заједно са Мицрософт Деплоимент Тоолкит (МДТ) или СЦЦМ.

Инсталирање ЛоцалГПО услужног програма

Да бисте на локални рачунар инсталирали услужни програм ЛоцалГПО (у нашем случају, он ће деловати као донатор подешавања политике локалне групе):

  1. Преузми пакет Менаџер безбедносне усклађености (СЦМ) 3.0 (хттпс://тецхнет.мицрософт.цом/ен-ус/солутионаццелераторс/цц835245.аспк
  2. Отворите преузету датотеку Сецурити_Цомплианце_Манагер_Сетуп.еке као архива која користи било који архивер (7Зип или ВинРар).Напомена. Не желимо у потпуности да инсталирамо пакет Сецурити Цомплианце Манагер, јер прилично је тежак и садржи много компоненти које нам нису потребне за овај задатак (СКЛ Сервер Екпресс, Мицрософт Висуал Ц ++ 2010 Редистрибутабле, итд.).
  3. Издвоји датотеку из архиве дата.цаб, који заузврат, распакујете (на пример, у директоријуму Ц: \ Дистр \ подаци).
  4. Пронађите датотеку у резултирајућем директорију ГПОМСИ и преименовати у ГПО.мси.
  5. Покрените инсталацију ГПО.мси.

Размислимо како да користимо услужни програм Лоцалгпо. Управљање је могуће само путем интерфејса конзоле (командне линије). Отворите командну линију са правима администратора и идите у директориј Ц: \ Програм Фајлови\ ЛоцалГПО (на 32 битним системима) или Ц: \ Програм Фајлови86) \ ЛоцалГПО (на 64-битном).

Напомена. Ако покушате да користите услужни програм ЛоцалГПО за миграцију смерница локалне групе на Виндовс 10, добићете грешку.

ЛоцалГПО Алат
---------------------------
Овај алат се покреће само на Виндовс КСП Профессионал, Виндовс Сервер 2003, Виндовс Виста, Виндовс Сервер 2008, Виндовс 7, Виндовс Сервер 2008 Р2, Виндовс 8 или Виндовс Сервер 2012

Чињеница је да ЛоцалГПО услужни програм подржава само Виндовс 8 (Виндовс Сервер 2012) и старије верзије. У новијим верзијама оперативног система Виндовс (Виндовс 8.1, Виндовс 10) препоручује се коришћење новог услужног програма Лгпо.еке (види последњи одељак у овом чланку). Иако је технички гледано, стара скрипта ЛоцалГПО.всф подржава и Виндовс 10 / 8.1 и Виндовс Сервер 2016/2012 Р2. Да би ЛоцалГПО.всф радио са новим ОС-овима, довољно је да промените код функције за проверу верзије ОС-а (ЦхкОСВерсион) у датотеци, додајући следеће редове:

Ако је (лево (стрОпВер, 4) = "10.0") и (стрПродуцтТипе = "1") тада
стрОС = "Вин10"
ЕлсеИф (лево (стрОпВер, 3) = "6.3") и (стрПродуцтТипе "1") тада
стрОС = "ВС16"
ЕлсеИф (лево (стрОпВер, 3) = "6.3") и (стрПродуцтТипе = "1") тада
стрОС = "Вин81"

Извоз локалне политике

Да бисте извезли подешавања политике локалне групе у директоријум Ц: \ ГПОбацкуп (директоријум прво мора бити креиран), извршите наредбу
цсцрипт ЛоцалГПО.всф / Патх: Ц: \ ГПОбацкуп / Екпорт

Нова мапа са одређеном ГПО ГУИД-ом ће се појавити у циљном директорију, која ће садржавати све параметре локалне рачунарске политике.

У ствари, направили смо резервну копију локалног ГПО-а до које се увек можемо вратити.

Услужни програм ЛоцалГПО.всф подржава рад са вишеструким локалним ГПО (МЛГПО). Да бисте испразнили локалну политику повезану са одређеном локалном групом или корисником, морате користити следећи формат за коришћење ЛоцалГПО.всф.

цсцрипт ЛоцалГПО.всф / Пут: Ц: \ ГПОбацкуп / Екпорт / МЛГПО: Администратори

Или

цсцрипт ЛоцалГПО.всф / Патх: Ц: \ ГПОбацкуп / Екпорт / МЛГПО: ЛоцалУсерНаме

Увези локалне ГПО поставке

Да бисмо вратили подешавања локалне групне политике из резултирајуће копије, увести ћемо следећу наредбу, наводећи путању директорија као аргумент.
цсцрипт ЛоцалГПО.всф / Патх: Ц: \ ГПОбацкуп \ Б6542366-Ц0Ц0-4948-АФ39-Б17Ф0Б1Ф0Е9А

ГПОПацк - формат за пренос политике локалне групе на друге рачунаре

Локални услужни програм претпоставља могућност креирања пакета ГПОПацк, дизајниран за погодан увоз локалних ГПО ​​поставки на друге рачунаре (не захтева прелиминарну инсталацију ЛоцалГПО на циљни рачунар). Исти формат погодан је за употребу у задацима размештања ОС-а путем Мицрософт Деплоимент Тоолкит-а (МДТ) или Мицрософт Систем Центер Цонфигуратион Манагер (СЦЦМ). Да бисте креирали преносни пакет, извршите:
цсцрипт ЛоцалГПО.всф / Патх: Ц: \ ГПОбацкуп / Екпорт / ГПОПацк
Копирајте резултирајућу мапу на други рачунар (где се планирају применити ове смернице), отворите командну линију са правима администратора и покрените датотеку ГПОПацк.всф.

Порука "Примењено ГПОПацк до Локално Политика"каже да су политике успешно пренете. Остаје да поново покренете систем и проверите да ли су сада исте поставке локалне политике примењене на овај рачунар.

Потпуна листа аргумената услужном програму ЛоцалГПО.всф доступна је помоћу прекидача /?

цсцрипт ЛоцалГПО.всф /?

Ресетовање поставки локалне политике на задане вредности

Користећи ЛоцалГПО, можете ресетовати све тренутне поставке локалне политике на стандардна. Да бисте то учинили, покрените наредбу:

цсцрипт ЛоцалГПО.всф / Врати

Савет. Раније смо показали како да ручно ресетујете конфигурацију политике локалне групе..

Увези локалну групну политику у АД домен

Формат увоза полиса ЛоцалГПО подразумева могућност увоза поставки политике локалне групе у ГПО домене. Ова се операција може извести помоћу сигурносних копија и враћања функционалности ГПО домена у управљачкој конзоли. ГПМЦ (Групно Политика Менаџмент Конзола). Пример употребе такве технике је у чланку Пренос ГПО-а између домена.

ЛГПО.еке услужни програм за управљање локалним ГПО

Помоћни програм конзоле Лгпо.еке Намењен је за аутоматизацију управљања политикама локалних група и замењен је више не подржан услужни програм ЛоцалГПО. Стога се тренутно препоручује употреба само њега. ЛГПО.еке је део Менаџера безбедности усклађености (СЦМ).

Преузмите ЛГПО.еке на хттпс://ввв.мицрософт.цом/ен-ус/довнлоад/детаилс.аспк?ид=55319.

Услужни програм ЛГПО.еке има следеће карактеристике:

  • Способност извоза поставки локалне политике групе.
  • Увези ГПО поставке из резервне копије. Увоз је подржан, укључујући датотеке регистер.пол, предлошке сигурности, ЦСВ датотеке.
  • Претворите датотеке регистер.пол у читљив формат ЛГПО и обрнуто.

Да бисте извезли тренутне локалне поставке ГПО-а у задани директориј, покрените наредбу:

ЛГПО.еке / б ц: \ тоолс \ ГПО

Услужни програм ће отпремити сва тренутна подешавања смерница у мапу са ГУИД-ом групне политике.

Да бисте приказали тренутна подешавања ГПО-а у датотеци сигурносне копије из датотеке регистер.пол у текстуалном формату за анализу, покрените наредбу:

лгпо.еке / парсе / м "Ц: \ тоолс \ ГПО \ 6ДФФББФ4-91А3-4235-925Б-ФД108878Е8Ф \ ДомаинСисвол \ ГПО \ Мацхине \ регистер.пол" >> ц: \ тоолс \ гпо \ лгпо.ткт

Отворите текстуалну датотеку лгпо.ткт. Као што видите, садржи сва подешавања регистра која примењују ова правила.

Обавите потребне промене у датотеци са параметрима регистра лгпо.ткт и претворите је у формат регистер.пол:

ЛГПО.еке / р "Ц: \ тоолс \ ГПО \ лгпо.ткт" / в "Ц: \ тоолс \ ГПО \ регистер_нев.пол"

Сада увежите нове поставке смерница из пол датотеке:

ЛГПО.еке / м "Ц: \ алати \ ГПО \ регистар_нев.пол"

Да бисте увезли (пренијели) локалне ГПО поставке са овог рачунара на други, копирајте директоријум смерница на циљни рачунар и покрените наредбу:

ЛГПО.еке / г Ц: \ алати \ ГПО \

Верзија ЛГПО в2.2 подржава исправан рад са више локалних политика (МЛГПО), што вам омогућава да конфигуришете одвојене смернице за различите кориснике (доступно у Виндовс Виста и новијим верзијама).

Дакле, као што видите, коришћење услужног програма ЛГПО.еке за креирање резервне копије локалних политика и пренос ГПО поставки између рачунара уопште није тешко..