Групповые политики используются для централизованной настройки параметров компьютеров и пользователей. Если ваши компьютер добавлены в домен Windows, вы можете использовать доменные GPO для приведения компьютеров к единой конфигурации в рамках домена Active Directory. При отсутствии домена настраивать параметры отдельного компьютера можно через локальную групповую политику (редактор локальной групповой политики запускается командой gpedit.msc). В этой статье мы покажем, как создать резервную копию локальной GPO и перенести настройки локальной политики на другие компьютеры.
Если ваша сеть построена на рабочей группе Windows (workgroup), вы можете привести все компьютеры к единой конфигурации с помощью локальных групповых политик. Для этого нужно настроить локальную GPO на эталонном компьютере, скопировать настройки на другие компьютер и применить их.
Ручное копирование файлов локальной Group Policy на другой компьютер
В Windows нет встроенных средств для резервного копирования, импорта, экспорта или переноса настроек локальной GPO. Windows хранить настройки административных шаблонов локальных политик в файлах Registry.pol в каталогах:
-
%SystemRoot%\System32\GroupPolicy\Machine\
-
%SystemRoot%\System32\GroupPolicy\User\
Поэтому самый простой способов перенести настройки локальной групповой политики между компьютерами – вручную скопировать содержимое папки %systemroot%\System32\GroupPolicy с одного компьютера на другой с заменой содержимого. После замены файлов нужно вручную выполнить обновление политик командой
gpupdate /force
или перезагрузить Windows.
Недостатки этого способа переноса настроек GPO:
- Не переносятся настройки параметров безопасности (Security Templates);
- Если версия Windows на целевом компьютере отличается, то при применении GPO могут появиться ошибки;
- Нельзя импортировать настройки локальной GPO в консоль управления доменными политиками (Group Policy Management Consoles –
gpmc.msc
); - Могут возникнуть проблемы с переносом настроек сторонних ADMX шаблонов.
Резервное копирование настроек локальной политики с помощью LGPO.exe
Для резервного копирования/импорта/экспорта и переноса настроек локальной групповой политики Microsoft предлагает использовать консольную утилиту LGPO.exe. LGPO (текущая версия 3.0) входит в состав Microsoft Security Compliance Toolkit и доступна для загрузки по ссылке https://www.microsoft.com/en-us/download/details.aspx?id=55319.
Утилита LGPO.exe позволяет следующими возможностями:
- Экспортировать настройки локальной групповой политики;
- Импортировать настройки GPO (поддерживается импорт в том числе файлов registry.pol, шаблонов безопасности, CSV файлов);
- Можно преобразовать файлы registry.pol в удобочитаемый формат LGPO и наоборот.
Чтобы создать резервную копию (экспортировать) текущих настроек локальной GPO в указанный каталог, выполните команду:
LGPO.exe /b c:\tools\GPO
Утилита сохранит настройки локальной политики в папку с GUID в качестве имени. Этот каталог будет содержать все необходимые файлы, которые необходимы для восстановления настроек локальной GPO или применения их на другом компьютере.
Restore-GPO -Name Win10Settings -Path C:\Backup\GPO_W10\
Чтобы просмотреть текущие настройки GPO в файле registry.pol в удобном виде, выполните команду:
lgpo.exe /parse /m "C:\Tools\GPO\{985966AD-21BE-4A9C-BF7D-26C879982067}\DomainSysvol\GPO\Machine\registry.pol" >>c:\tools\gpo\lgpo.txt
В текстовом файл lgpo.txt будут содержаться настройки реестра, которые применяются данной политикой.
Вы можете вручную отредактировать файл lgpo.txt и сконвертировать его в формат registry.pol:
LGPO.exe /r "C:\tools\GPO\lgpo.txt" /w "C:\tools\GPO\registry_new.pol"
Чтобы применить новые настройки из файла registry_new.pol к текущей политике компьютера, выполните:
LGPO.exe /m "C:\tools\GPO\registry_new.pol"
Импорт настроек локальной групповой политики в Windows
Чтобы импортировать (восстановить) настройки локальной GPO из резервной копии на другом компьютере, нужно скопировать каталог с GUID политики на целевой компьютер и выполнить команду:
LGPO.exe /g C:\tools\GPO\
Некоторые администраторы используют множественные локальные групповые политики (MLGPO), чтобы применить настройки GPO только для определенных групп пользователей. По умолчанию утилита lgpo.exe не экспортирует настройки MLGPO.
Далее мы рассмотрим, как скопировать настройки MLGPO на другие компьютеры.
Когда администратор создает новую локальную политику (MLGPO) для локального пользователя или группы, в каталоге C:\Windows\System32\GroupPolicyUsers создается отдельная папка для этой GPO. В качестве имени каталога используется SID пользователя или группы. Например,
-
S-1-5-32-545
– non-administrators (BUILTIN\USERS) -
S-1-5-32-544
–administrators (BUILTIN\ADMINISTRATORS)
Например, вам нужно скопировать настройки локальной GPO для non-administrators на другом компьютере.
- Скопируйте с эталонного компьютера файл с настройками локальной политики для вашего SID (
C:\Windows\System32\GroupPolicyUsers\S-1-5-32-545\User\Registry.pol
); - Чтобы применить файл Registry.pol для Non-Administrators на целевом компьютере, выполните команду:
lgpo /un "C:\tmp\Registry.pol"
lgpo /ua "C:\tmp\Registry.pol"
Импортировать настройки GPO из файла для обычного пользователя:
lgpo /u:username "C:\tmp\Registry.pol"
Использование утилиты LocalGPO для переноса GPO
Ранее для импорта/экспорта локальной групповой политики использовалась утилита LocalGPO, входящая в состав Microsoft Security Compliance Manager 3.0. Утилита LocalGPO позволяла не только быстро создать резервную копию локальной GPO и восстанавливать из нее настройки локальных политик, но и создавать исполняемый файл GPOPack, позволяющий одним щелчком перенести (импортировать) настройки локальной GPO на другую машину.
Для экспорта настроек локальной групповой политики в каталог C:\GPObackup (каталог нужно создать предварительно):
cscript LocalGPO.wsf /Path:C:\GPObackup /Export
Утилита LocalGPO позволяла экспортировать в каталог настройки MLGPO. Использовался синтаксис:
cscript LocalGPO.wsf /Path:C:\GPObackup /Export /MLGPO:Administrators
или
cscript LocalGPO.wsf /Path:C:\GPObackup /Export /MLGPO:LocalUserName
Чтобы восстановить настройки Local Group Policy из полученной ранее копии:
cscript LocalGPO.wsf /Path:C:\GPObackup\{B6542366-C0C0-4948-AF39-B17F0B1F0E9A}
С помощью LocalGPO можно сбросить все текущие настройки локальной политики на стандартные::
cscript LocalGPO.wsf /Restore