Перенос настроек локальной групповой политики между компьютерами

Групповые политики используются для централизованной настройки параметров компьютеров и пользователей. Если ваши компьютер добавлены в домен Windows, вы можете использовать доменные GPO для приведения компьютеров к единой конфигурации в рамках домена Active Directory. При отсутствии домена настраивать параметры отдельного компьютера можно через локальную групповую политику (редактор локальной групповой политики запускается командой gpedit.msc). В этой статье мы покажем, как создать резервную копию локальной GPO и перенести настройки локальной политики на другие компьютеры.

Если ваша сеть построена на рабочей группе Windows (workgroup), вы можете привести все компьютеры к единой конфигурации с помощью локальных групповых политик. Для этого нужно настроить локальную GPO на эталонном компьютере, скопировать настройки на другие компьютер и применить их.

Ручное копирование файлов локальной Group Policy на другой компьютер

В Windows нет встроенных средств для резервного копирования, импорта, экспорта или переноса настроек локальной GPO. Windows хранить настройки административных шаблонов локальных политик в файлах Registry.pol в каталогах:

  • %SystemRoot%\System32\GroupPolicy\Machine\
  • %SystemRoot%\System32\GroupPolicy\User\

Поэтому самый простой способов перенести настройки локальной групповой политики между компьютерами – вручную скопировать содержимое папки %systemroot%\System32\GroupPolicy с одного компьютера на другой с заменой содержимого. После замены файлов нужно вручную выполнить обновление политик командой gpupdate /force или перезагрузить Windows.

Недостатки этого способа переноса настроек GPO:

  1. Не переносятся настройки параметров безопасности (Security Templates);
  2. Если версия Windows на целевом компьютере отличается, то при применении GPO могут появиться ошибки;
  3. Нельзя импортировать настройки локальной GPO в консоль управления доменными политиками (Group Policy Management Consoles – gpmc.msc );
  4. Могут возникнуть проблемы с переносом настроек сторонних ADMX шаблонов.

Резервное копирование настроек локальной политики с помощью LGPO.exe

Для резервного копирования/импорта/экспорта и переноса настроек локальной групповой политики Microsoft предлагает использовать консольную утилиту LGPO.exe. LGPO (текущая версия 3.0) входит в состав Microsoft Security Compliance Toolkit и доступна для загрузки по ссылке https://www.microsoft.com/en-us/download/details.aspx?id=55319.

утилита LGPO.exe для автоматизации управления локальными групповыми политиками

 

LGPO поддерживает все современные версии ОС, включая Windows 10/11 и Windows Server 2022/2019/2016.

Утилита LGPO.exe позволяет следующими возможностями:

  • Экспортировать настройки локальной групповой политики;
  • Импортировать настройки GPO (поддерживается импорт в том числе файлов registry.pol, шаблонов безопасности, CSV файлов);
  • Можно преобразовать файлы registry.pol в удобочитаемый формат LGPO и наоборот.

Чтобы создать резервную копию (экспортировать) текущих настроек локальной GPO в указанный каталог, выполните команду:

LGPO.exe /b c:\tools\GPO

lgpo экспорт настроек локальной групповой политики в файлы

Утилита сохранит настройки локальной политики в папку с GUID в качестве имени. Этот каталог будет содержать все необходимые файлы, которые необходимы для восстановления настроек локальной GPO или применения их на другом компьютере.

Также вы можете импортировать каталог с настройками локальной GPO в консоль управления доменными политиками. Также можно импортировать политику в домен с помощью PowerShell модуля управления политиками.

Restore-GPO -Name Win10Settings -Path C:\Backup\GPO_W10\

Чтобы просмотреть текущие настройки GPO в файле registry.pol в удобном виде, выполните команду:

lgpo.exe /parse /m "C:\Tools\GPO\{985966AD-21BE-4A9C-BF7D-26C879982067}\DomainSysvol\GPO\Machine\registry.pol" >>c:\tools\gpo\lgpo.txt

В текстовом файл lgpo.txt будут содержаться настройки реестра, которые применяются данной политикой.

просмотр параметров реестра в локальной политике

Вы можете вручную отредактировать файл lgpo.txt и сконвертировать его в формат registry.pol:

LGPO.exe /r "C:\tools\GPO\lgpo.txt" /w "C:\tools\GPO\registry_new.pol​"

Чтобы применить новые настройки из файла registry_new.pol к текущей политике компьютера, выполните:

LGPO.exe /m "C:\tools\GPO\registry_new.pol​"

Импорт настроек локальной групповой политики в Windows

Чтобы импортировать (восстановить) настройки локальной GPO из резервной копии на другом компьютере, нужно скопировать каталог с GUID политики на целевой компьютер и выполнить команду:

LGPO.exe /g C:\tools\GPO\

импорт настроек локальной gpo на другой компьютер

Некоторые администраторы используют множественные локальные групповые политики (MLGPO), чтобы применить настройки GPO только для определенных групп пользователей. По умолчанию утилита lgpo.exe не экспортирует настройки MLGPO.

Далее мы рассмотрим, как скопировать настройки MLGPO на другие компьютеры.

MLGPO позволяют применить отдельные натсройки локальной GPO для определенных пользователей или групп (non-administrators или administrators).

Когда администратор создает новую локальную политику (MLGPO) для локального пользователя или группы, в каталоге C:\Windows\System32\GroupPolicyUsers создается отдельная папка для этой GPO. В качестве имени каталога используется SID пользователя или группы. Например,

  • S-1-5-32-545 – non-administrators (BUILTIN\USERS)
  • S-1-5-32-544 –administrators (BUILTIN\ADMINISTRATORS)

каталоги множественного локальной GPO (MLGPO) для отдельных пользователей

Например, вам нужно скопировать настройки локальной GPO для non-administrators на другом компьютере.

  • Скопируйте с эталонного компьютера файл с настройками локальной политики для вашего SID ( C:\Windows\System32\GroupPolicyUsers\S-1-5-32-545\User\Registry.pol );
  • Чтобы применить файл Registry.pol для Non-Administrators на целевом компьютере, выполните команду:
    lgpo /un "C:\tmp\Registry.pol"

lgpo - применить настройки локальной политики для администраторов

Чтобы импортировать настройки из файла registry.pol и применить их для группы Administrators, используйте команду:
lgpo /ua "C:\tmp\Registry.pol"
Импортировать настройки GPO из файла для обычного пользователя:

lgpo /u:username "C:\tmp\Registry.pol"

Использование утилиты LocalGPO для переноса GPO

Ранее для импорта/экспорта локальной групповой политики использовалась утилита LocalGPO, входящая в состав Microsoft Security Compliance Manager 3.0. Утилита LocalGPO позволяла не только быстро создать резервную копию локальной GPO и восстанавливать из нее настройки локальных политик, но и создавать исполняемый файл GPOPack, позволяющий одним щелчком перенести (импортировать) настройки локальной GPO на другую машину.

Важно. Утилита LocalGPO на данный момент является устаревшей и официально не поддерживается в современных Windows 10/11 и Windows Server 2016/2019.

Для экспорта настроек локальной групповой политики в каталог C:\GPObackup (каталог нужно создать предварительно):
cscript LocalGPO.wsf /Path:C:\GPObackup /Export

Утилита LocalGPO позволяла экспортировать в каталог настройки MLGPO. Использовался синтаксис:

cscript LocalGPO.wsf /Path:C:\GPObackup /Export /MLGPO:Administrators
или
cscript LocalGPO.wsf /Path:C:\GPObackup /Export /MLGPO:LocalUserName

Чтобы восстановить настройки Local Group Policy из полученной ранее копии:

cscript LocalGPO.wsf /Path:C:\GPObackup\{B6542366-C0C0-4948-AF39-B17F0B1F0E9A}

С помощью LocalGPO можно сбросить все текущие настройки локальной политики на стандартные::

cscript LocalGPO.wsf /Restore

Совет. Ранее мы уже показывали как можно вручную сбросить конфигурацию локальной групповой политики.


Предыдущая статья Следующая статья


Комментариев: 32 Оставить комментарий

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)