Перенос настроек локальной групповой политики между компьютерами | Windows для системных администраторов

Перенос настроек локальной групповой политики между компьютерами

Групповые политики являются мощным и одновременно гибким инструментом настройки параметров ОС Windows и являются незаменимым средством приведения компьютеров к единой конфигурации в рамках домена Active Directory. При отсутствии домена настраивать параметры отдельного компьютера можно через локальную групповую политику. Существенные недостаток локальных политик – отсутствие средств их распространения между компьютерами рабочей группы. В результате, администратору приходится на каждом компьютере вручную настраивать параметры групповой политики. При большом количестве компьютеров и настраиваемых параметров это не очень-то продуктивно….

Оптимально было бы создать в рамках рабочей группы некий эталонный компьютер с необходимыми настройками локальных групповых политик и параметров безопасности, которые должны быть применены на этих компьютерах, и при внесении изменений копировать эту конфигурацию на остальные ПК.

В этой статье мы рассмотрим как раз такой сценарий, позволявший просто и быстро перенести настройки локальной групповой политики с одного настроенного компьютера на другие ПК в рабочей группе.

Проблемы переноса локальных Group Policy между компьютерами


Самый простой способов перенести настройки локальной GP (групповой политики) между компьютерами – вручную скопировать содержимое папки %systemroot%\System32\GroupPolicy (по умолчанию этот каталог скрыт) с одного компьютера на другой с заменой содержимого (после замены файлов нужно вручную запустить обновление политик командой gpupdate /force или перезагрузить ПК).

Этот метод довольно прост, но имеет несколько существенных недостатков:

  1. Так не переносятся локальные параметры безопасности (Security Templates)
  2. Есть вероятность неработоспособности GPO, если версии и билд ОС на компьютере-доноре и получателе сильно отличаются
  3. Невозможность создания на базе локальной политики доменной GPO (импорта политики в домен Active Directory для дальнейшего использования)
  4. При копировании политики придется вручную править любые упоминания имени локального компьютера в настройках
  5. Есть ряд проблем с переносом нестандартных admx шаблонов

Гораздо проще и удобнее для импорта/экспорта локальной групповой политики, созданной с помощью gpedit.msc, воспользоваться утилитой LocalGPO, входящей в состав пакета Microsoft Security Compliance Manager 3.0. Утилита LocalGPO позволяет не только быстро создать резервную копию локальной GPO и восстанавливать из нее настройки локальных политик, но и создавать исполняемый файл GPOPack, позволяющий одним щелчком перенести (импортировать) настройки локальной GPO на другую машину.

Утилита LocalGPO – позволяет экспортировать все настройки локальных политик, в том числе из разделов INF, POL, Audit, параметры брандмауэра и т.п. LocalGPO идеально подходит для использования в организациях без доменов для распространения шаблона групповой политики между компьютерами. Также она крайне полезна при использовании в связке с системой развертывания Microsoft Deployment Toolkit (MDT) или SCCM.

Установка утилиты LocalGPO


Чтобы установить утилиту LocalGPO на локальном компьютере (в нашем случае он будет выступать в качестве донора настроек локальной групповой политики):

  1. Скачайте пакет Security Compliance Manager (SCM) 3.0 (https://technet.microsoft.com/en-us/solutionaccelerators/cc835245.aspx
  2. Откройте скачанный файл Security_Compliance_Manager_Setup.exe как архив с помощью любого архиватора (7Zip или WinRar).
    Примечание. Мы не хотим целиком устанавливать пакет Security Compliance Manager, т.к. он достаточно тяжелый и содержит множество компонентов, которые нам не требуются для этой задачи (SQL Server Express, Microsoft Visual C++ 2010 Redistributable и т.д.)

    Распаковываем Security Compliance Manager (SCM) 3.0

  3. Извлеките из архива файл data.cab, который в свою очередь распакуйте (например в каталог C:\Distr\data.
  4. Найдите в полученном каталоге файл GPOMSI и переименуйте его в GPO.msiGPOMSI нужно переименовать в GPO.msi
  5. Запустите установку GPO.msi Установка утилиты LocalGPO

Разберемся, как пользоваться утилитой LocalGPO. Управление возможно только через интерфейс консоли (командной строки). Откроем командную строку с правами администратора и перейдем в каталог C:\Program Files\LocalGPO (на 32 битных системах) или C:\Program Files (x86)\LocalGPO (на 64-битных)

Экспорт локальной политики

Для экспорта настроек локальной групповой политики в каталог C:\GPObackup (каталог нужно создать предварительно), выполним команду
cscript LocalGPO.wsf /Path:C:\GPObackup /Export

LocalGPO - экспорт локальных политикВ целевом каталоге появится новая папка с неким GPO GUID, в которой будут содержаться все параметры локальной политики компьютера.

Резервная копия локальной групповой политикиПо сути мы создали резервную копию локальной GPO, к которой мы всегда сможем откатиться.

Импорт настроек локальной GPO

Чтобы восстановить настройки Local Group Policy из полученной копии, выполним импорт следующей командой, указав в качестве аргумента путь к каталогу.
cscript LocalGPO.wsf /Path:C:\GPObackup\{B6542366-C0C0-4948-AF39-B17F0B1F0E9A}

Импорт настроек Local Group Policy

GPOPack – формат переноса локальной групповой политики на другие компьютеры

Утилита LocalGPO предполагает возможность создания пакета GPOPack, предназначенного для удобного импорта настроек локальной GPO на другие компьютеры (не требует предварительной установки LocalGPO на целевой компьютер). Этот же формат удобен для использования в задачах развертывания ОС через Microsoft Deployment Toolkit (MDT) или Microsoft System Center Configuration Manager (SCCM). Для создания переносимого пакета, выполним:
cscript LocalGPO.wsf /Path:C:\GPObackup /Export /GPOPack
Формат переноса настроек GPO между компьютерами gpopackСкопируем полученную папку на другой компьютер (на котором планируется применить эти политики), откроем командную строку с правами администратора и запустим файл GPOPack.wsf.

Сообщение «Applied GPOPack to Local Policy» говорит о том, что политики перенесены успешно. Осталось перезагрузить систему и проверить, что на этот компьютер теперь действуют такие же настройки локальной политики.

Applied GPOPack to Local PolicyПолный список аргументов утилиты LocalGPO.wsf доступен с ключом /?:

cscript LocalGPO.wsf /?

LocalGPO help

Сброс настроек локальной политики на значения по-умолчанию

С помощью LocalGPO можно сбросить все текущие настройки локальной политики на стандартные, для этого выполним команду:

cscript LocalGPO.wsf /Restore

Совет. Ранее мы уже показывали как можно вручную сбросить конфигурацию локальной групповой политики.

Импорт локальной групповой политики в домен AD

Формат импорта политик LocalGPO предполагает возможность импорта настроек локальной групповой политики в доменную GPO. Эта операция может быть выполнена через функционал резвого копирования и восстановления доменных GPO в консоли управления GPMC (Group Policy Management Console). Пример использования подобной техники есть в статье Перенос GPO между доменами.

Еще записи по теме: Group Policy
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Комментариев: 7

Оставить комментарий
  1. Nikojai | 23.04.2015

    Да что тут комментировать, когда пока не чего не понятно. Ведь не все с большими головами. Это надо переваривать и переваривать……………….. . А статья не плохая! Спасибо.

    Ответить
  2. Olann | 10.07.2015

    А не получится просто скопировать файл LocalGPO.wsf чтобы не устанавливать везде GPOMSI?

    Ответить
    • itpro | 23.07.2015

      Установка файла LocalGPO.wsf на компьютерах не требует установки GPOMSI. Установка осуществляется с помощью cscript / wscript

      Ответить
  3. Olann | 10.07.2015

    Я так понимаю что logon\logoff\startup скрипты эта штука не копирует?

    Ответить
  4. Сергей | 21.12.2015

    Здравствуйте. Экспортировал политики на другой компьютер, после перезагрузки локальные политики не изменились. В логах тоже совершенно ничего нету, можете подсказать где можно ещё посмотреть?

    Ответить
    • itpro | 23.12.2015

      Переносили политик через файл wsf? Что возвращала система? Были ли ошибки?
      На исходной и целевой машине версия ОС одинаковые?

      Ответить
  5. Денис | 29.11.2016

    Здравствуйте!

    Приготовил эталонную машину для проверки!
    Настроил на ней локальные политики и экспортировал их с помощью: cscript LocalGPO.wsf /Path:C:\GPObackup /Export /GPOPack

    Перенёс созданный пак на другую чистую машину и запустил. Но настройки политики не перенеслись!!!

    В чём может быть загвоздка???

    Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.26MB/0.00104 sec