Групповые политики используются для централизованной настройки параметров компьютеров и пользователей. Если ваши компьютер добавлены в домен Windows, вы можете использовать доменные GPO для приведения компьютеров к единой конфигурации в рамках домена Active Directory. При отсутствии домена настраивать параметры отдельного компьютера можно через локальную групповую политику (редактор локальной групповой политики запускается командой gpedit.msc). В этой статье мы покажем, как создать резервную копию локальной GPO и перенести настройки локальной политики на другие компьютеры.
Если ваша сеть построена на рабочей группе Windows (workgroup), вы можете привести все компьютеры к единой конфигурации с помощью локальных групповых политик. Для этого нужно настроить локальную GPO на эталонном компьютере, скопировать настройки на другие компьютер и применить их.
Ручное копирование файлов локальной Group Policy на другой компьютер
В Windows нет встроенных средств для резервного копирования, импорта, экспорта или переноса настроек локальной GPO. Windows хранить настройки административных шаблонов локальных политик в файлах Registry.pol в каталогах:
-
%SystemRoot%\System32\GroupPolicy\Machine\ -
%SystemRoot%\System32\GroupPolicy\User\
Поэтому самый простой способов перенести настройки локальной групповой политики между компьютерами – вручную скопировать содержимое папки %systemroot%\System32\GroupPolicy с одного компьютера на другой с заменой содержимого. После замены файлов нужно вручную выполнить обновление политик командой
gpupdate /force
или перезагрузить Windows.
Недостатки этого способа переноса настроек GPO:
- Не переносятся настройки параметров безопасности (Security Templates);
- Если версия Windows на целевом компьютере отличается, то при применении GPO могут появиться ошибки;
- Нельзя импортировать настройки локальной GPO в консоль управления доменными политиками (Group Policy Management Consoles –
gpmc.msc); - Могут возникнуть проблемы с переносом настроек сторонних ADMX шаблонов.
Резервное копирование настроек локальной политики с помощью LGPO.exe
Для резервного копирования/импорта/экспорта и переноса настроек локальной групповой политики Microsoft предлагает использовать консольную утилиту LGPO.exe. LGPO (текущая версия 3.0) входит в состав Microsoft Security Compliance Toolkit и доступна для загрузки по ссылке https://www.microsoft.com/en-us/download/details.aspx?id=55319.
Утилита LGPO.exe позволяет следующими возможностями:
- Экспортировать настройки локальной групповой политики;
- Импортировать настройки GPO (поддерживается импорт в том числе файлов registry.pol, шаблонов безопасности, CSV файлов);
- Можно преобразовать файлы registry.pol в удобочитаемый формат LGPO и наоборот.
Чтобы создать резервную копию (экспортировать) текущих настроек локальной GPO в указанный каталог, выполните команду:
LGPO.exe /b c:\tools\GPO
Утилита сохранит настройки локальной политики в папку с GUID в качестве имени. Этот каталог будет содержать все необходимые файлы, которые необходимы для восстановления настроек локальной GPO или применения их на другом компьютере.
Restore-GPO -Name Win10Settings -Path C:\Backup\GPO_W10\
Чтобы просмотреть текущие настройки GPO в файле registry.pol в удобном виде, выполните команду:
lgpo.exe /parse /m "C:\Tools\GPO\{985966AD-21BE-4A9C-BF7D-26C879982067}\DomainSysvol\GPO\Machine\registry.pol" >>c:\tools\gpo\lgpo.txt
В текстовом файл lgpo.txt будут содержаться настройки реестра, которые применяются данной политикой.
Вы можете вручную отредактировать файл lgpo.txt и сконвертировать его в формат registry.pol:
LGPO.exe /r "C:\tools\GPO\lgpo.txt" /w "C:\tools\GPO\registry_new.pol"
Чтобы применить новые настройки из файла registry_new.pol к текущей политике компьютера, выполните:
LGPO.exe /m "C:\tools\GPO\registry_new.pol"
Импорт настроек локальной групповой политики в Windows
Чтобы импортировать (восстановить) настройки локальной GPO из резервной копии на другом компьютере, нужно скопировать каталог с GUID политики на целевой компьютер и выполнить команду:
LGPO.exe /g C:\tools\GPO\
Некоторые администраторы используют множественные локальные групповые политики (MLGPO), чтобы применить настройки GPO только для определенных групп пользователей. По умолчанию утилита lgpo.exe не экспортирует настройки MLGPO.
Далее мы рассмотрим, как скопировать настройки MLGPO на другие компьютеры.
Когда администратор создает новую локальную политику (MLGPO) для локального пользователя или группы, в каталоге C:\Windows\System32\GroupPolicyUsers создается отдельная папка для этой GPO. В качестве имени каталога используется SID пользователя или группы. Например,
-
S-1-5-32-545– non-administrators (BUILTIN\USERS) -
S-1-5-32-544–administrators (BUILTIN\ADMINISTRATORS)
Например, вам нужно скопировать настройки локальной GPO для non-administrators на другом компьютере.
- Скопируйте с эталонного компьютера файл с настройками локальной политики для вашего SID (
C:\Windows\System32\GroupPolicyUsers\S-1-5-32-545\User\Registry.pol); - Чтобы применить файл Registry.pol для Non-Administrators на целевом компьютере, выполните команду:
lgpo /un "C:\tmp\Registry.pol"
lgpo /ua "C:\tmp\Registry.pol"
Импортировать настройки GPO из файла для обычного пользователя:
lgpo /u:username "C:\tmp\Registry.pol"
Использование утилиты LocalGPO для переноса GPO
Ранее для импорта/экспорта локальной групповой политики использовалась утилита LocalGPO, входящая в состав Microsoft Security Compliance Manager 3.0. Утилита LocalGPO позволяла не только быстро создать резервную копию локальной GPO и восстанавливать из нее настройки локальных политик, но и создавать исполняемый файл GPOPack, позволяющий одним щелчком перенести (импортировать) настройки локальной GPO на другую машину.
Для экспорта настроек локальной групповой политики в каталог C:\GPObackup (каталог нужно создать предварительно):
cscript LocalGPO.wsf /Path:C:\GPObackup /Export
Утилита LocalGPO позволяла экспортировать в каталог настройки MLGPO. Использовался синтаксис:
cscript LocalGPO.wsf /Path:C:\GPObackup /Export /MLGPO:Administrators
или
cscript LocalGPO.wsf /Path:C:\GPObackup /Export /MLGPO:LocalUserName
Чтобы восстановить настройки Local Group Policy из полученной ранее копии:
cscript LocalGPO.wsf /Path:C:\GPObackup\{B6542366-C0C0-4948-AF39-B17F0B1F0E9A}
С помощью LocalGPO можно сбросить все текущие настройки локальной политики на стандартные::
cscript LocalGPO.wsf /Restore
Да что тут комментировать, когда пока не чего не понятно. Ведь не все с большими головами. Это надо переваривать и переваривать……………….. . А статья не плохая! Спасибо.
А не получится просто скопировать файл LocalGPO.wsf чтобы не устанавливать везде GPOMSI?
Установка файла LocalGPO.wsf на компьютерах не требует установки GPOMSI. Установка осуществляется с помощью cscript / wscript
Я так понимаю что logon\logoff\startup скрипты эта штука не копирует?
Здравствуйте. Экспортировал политики на другой компьютер, после перезагрузки локальные политики не изменились. В логах тоже совершенно ничего нету, можете подсказать где можно ещё посмотреть?
Переносили политик через файл wsf? Что возвращала система? Были ли ошибки?
На исходной и целевой машине версия ОС одинаковые?
Здравствуйте!
Приготовил эталонную машину для проверки!
Настроил на ней локальные политики и экспортировал их с помощью: cscript LocalGPO.wsf /Path:C:\GPObackup /Export /GPOPack
Перенёс созданный пак на другую чистую машину и запустил. Но настройки политики не перенеслись!!!
В чём может быть загвоздка???
На WIn 10 не работает, о чем и выдает ошибку. Как провернуть тоже самое с 4й версией пакета? там нет LocalGPO.
Если не ошибаюсь, в последнем Security Compliance Manager (SCM) вместо скрипта LocalGPO.wsf нужон ипользовать утилиту LGPO.exe _https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/telligent.evolution.components.attachments/01/4062/00/00/03/65/94/11/LGPO.zip
А как перенести политику созданную с помощью mmc для группы Не Администраторы?
Утилита LocalGPO.wsf поддерживает множественные групповые политики. То же самое касается более новой утилиты LGPO.exe v2.2.
Необходимую информацию добавил в статью.
Нужно ли редактировать экспортированный с помощью LGPO.exe файл (менять имена компьютеров например ) или при импорте параметры автоматически подменяться ?
Если у вас в политике нет никаких ссылок на конкретные ip адреса, DNS имена и другие специфические параметры конкретного ПК, то ничего менять не нужно. Вы можете применить политику через lgpo на любом компьютере. Все настройки будут аналогичны донору.
Чтобы выгрузить локальную политику, привязанную к конкретной локальной группе или пользователю, нужно использовать следующий формат использования LocalGPO.wsf.
cscript LocalGPO.wsf /Path:C:\GPObackup /Export /MLGPO:Administrators
Фантазия, однако. Что подтверждается отсутствием скриншота.
Рекомендую почитать литературу о множественных локальных политиках ( aka MLGPO ).
Здравствуйте, помогите пожалуйста перенести MLGPO на другие компьютеры.
Настроил MMC на эталонном пк политику для НЕ администраторов. Проверил все работает. Прочитал вашу статью, скачал LGPO.
Вопрос первый. Как экспортировать именно политику НЕ администраторов.
Вопрос второй. Как импортировать нужную политику на другой компьютер.
Статью читал внимательно, пару дней еще провел в гугле внятного ответа не понял.
К какой группе вы прявязали множественную локальную политику? К users?
Спасибо за столь быстрый ответ. MLGPO привязывал к Не администраторам — группа Non-administrators.
В общем ситуация на данный момент такова:
Я настроил оснастку в MMC.msc для группы НЕ администраторов.
Создал на диске С папку c:\tools\GPO. В tools залил сам исполняемый файл LGPO.exe
С помощью LGPO.exe я выполняю команду
LGPO.exe /b c:\tools\GPO /n Non-Administrators. После чего мне выводится, что все ОК. В папке c:\tools\GPO сформирован бэкап с длинющим названием.
Далее я начинаю парсить значения LGPO.exe /parse /m «C:\tools\GPO\{backup}\DomainSysvol\GPO\User(Machine)\registry.pol»>>C:\tools\GPO\lgpo.txt, что бы удостовериться, что параметры сохранились. В папке с бэкапом есть 2 папки User и Machine. В обеих папках есть registry.pol, я парсил их по очереди. Они оба пустые.
Далее я подумал, может это с группами такая беда. По пробую сделать для конкретного пользователя Probnik, собственно история таже самая. Тоесть изначально когда я создаю бэкап, он мне сохраняет пустые значения. Я бы приложил скриншоты.
Протестировал еще один момент. Изначально я создавал оснастку в MMC.msc (множественная политика) на группу Не администраторов.
При этом все параметры в GPEDIT.msc (групповая политика) остаются не заданными. Я изменил параметры в GPEDIT.msc. Сделал выгрузку, пропарсил в User файл registry.pol в lgop.txt и просмотрел его. В результате те параметры, что я изменял в GPEDIT.msc там отобразились с верными значениями.
Те же самые манипуляции с множественными политиками выдают пустые результаты.
Однозначно у меня ошибка идет в выгрузки данных, тоесть я выгружаю именно локальную групповую политику, а не множественную. Думаю проблема в синтаксисе, но разобраться не могу. Помогите пожалуйста. У меня более 30компов, я замучаюсь это все в ручную клацать.
Ответа не ждать?(
Ребят, ну помогите разобраться
Действительно, LGPO.exe не умеет выгружать настройки множественных групповых политик.
Что нужно сделать, чтобы сформировать каталог с политиками для Non-Administrators для переноса на другие компьютеры:
1. Создайте и настройте MGPO для Non-Administrators
2. Укажите путь к logon-скрипту в политике Windows Settings -> Scripts -> Logon. Это нужно для того, чтобы создался каталог c:\Windows\System32\GroupPolicyUsers\S-1-5-32-545
3. Теперь нужно скопирвать каталог S-1-5-32-545 и перенести его на другие компьютеры в тоже самое место.
Можно подробнее про 2й шаг? Что значит указать путь к логон скрипту?
Настроенная политика у меня есть. Консоль управления сохранена.
2 пункт нужен только для того, чтобы создался каталог %windir%\GroupPolicyUsers\S-1-5-32-5453. Вы через logon скрипт нажмите кнопку browse и создайте в открывшемся каталоге любой тестовый файл. После этого, проверьте, что каталог S-1-5-32-5453 появился.
Расскажите поподробнее, что такое » … путь к logon-скрипту в политике Windows Settings -> Scripts -> Logon.»?
«logon-скрипт» это что?
Где искать «путь» — в проводнике? в mmc.exe? в regedit.exe?
Как может выглядеть этот путь?
Всем добра.
Пробовал метод LocalGPO.
На семерках проблем нету, все работает на ура.
Но с десяткой возникли проблемы.
пишет
C:\Windows\system32\LocalGPO.wsf(363, 10) Ошибка выполнения Microsoft VBScript: Файл не найден
Какая версия Windows 10? С какими параметрами запускаете скрипт?
Что в 363 строке скрипта LocalGPO.wsf можете посмотреть?
Спасибо, Коллега!
Вопрос может не по теме, в общем случайно как то удалилась группа — Пользователи удаленного рабочего стола, теперь подключения по РДП не работают. Создали новую группу с таким же именем, после чего можно добавлять людей во вкалдке удаленный доступ,но естественно ничего не работает. И решили импортировать группу — пользователи удаленного рабочего стола с другого компьютера, но чет походу эта штука не наботает так как в текстовом документе ничего такого нет что бы говорило о том, что мы что то экспортировали
; ———————————————————————-
; PARSING Computer POLICY
; Source file: C:\tools\GPO\{B0378452-57B5-4C81-9E22-D3CFC8295701}\DomainSysvol\GPO\Machine\registry.pol
Computer
SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials
*
CREATEKEY
Computer
SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefCredentialsWhenNTLMOnly
*
CREATEKEY
; PARSING COMPLETED.
; ———————————————————————-
Есть ли возможность перенести дефолтную группу с одного сервера на другой?
2 Георгий 14.05.2023
Логон скрипт — это файл, который хранится в каталоге политики.
Эсли это локальная политика, то это путь C:\WINDOWS\System32\GroupPolicy\User\Scripts\Logon
Скопировал политики через lgpo, никаких проблем, все скопировалось. C 10 home 22h2 19045.3930 на такой же клиент с такой же версией.