С помощью локальной групповой политики вы можете настраивать параметры Windows и пользователя на компьютерах в небольших рабочих группах сетях (без домена AD). Ранее одним из важных недостатков локальной групповой политики считалась невозможность применить политику только к определенному локальному пользователю/группе. Т.е. если вы через локальную GPO запретили использование USB устройств, эта настройка применяется не только для пользователей, но и для администраторов компьютера.
Начиная с Vista, в Windows появился функционал множественных локальных групповых политик (MLGPO — Multiple Local Group Policy Objects), позволяющий применить разные настройки локальных GPO для разных локальных пользователей или групп. В этой статье, мы покажем, как с помощью MLGPO применить локальную GPO к одному локальному пользователю, или только пользователям, не входящим в группу локальных администраторов.
MLGPO можно назначить на:
- Любого локального пользователя (по его имени);
- Всех пользователей, входящих в локальную группу Administrators;
- Всех пользователей, которые не входят в локальные администраторы.
Чтобы создать новую локальную политику для пользователя или группы:
- Нажмите
Win + R->mmc;
- Нажмите File -> Add/Remove Snap-in;
- В списке нажмите доступных оснасток выберите Group Policy Object Editor и нажмите Add;
- Нажмите кнопку Browse, перейдите на вкладку Users. Здесь вы можете выбрать локальную группу или пользователя, к которому нужно применить политику. Если на пользователя или группу уже назначена отдельная локальная GPO, в столбце Group Policy Object Exists будет указано Yes. Чтобы применить политику ко всем локальным пользователям, кроме администраторов, выберите Non-Administrators;
- Убедитесь, что выбрана политика Local Computer\Non-Administrators и нажмите кнопку Finish.
- Перед вами откроется консоль редактора GPO с настройками пользователя. Здесь вы можете настроить нужные параметры локальной политики, которые должны применяться к обычным пользователям компьютера;
- Настройте нужные параметры политики локальных пользователей.Вы можете использовать MLGPO для внесения ограничений для пользователей, которые уже должны применяться до добавления компьютера в домен. Например, вы можете ограничить сетевой доступ под локальными учетными записями.
Если нужно удалить локальную политику для данной группы пользователей, нужно на вкладке Users щелкнуть по нужной группе и выбрать пункт меню Remove Group Policy Object.
Основной недостаток локальных политик – сложность их переноса между компьютерами (в отличии от доменных GPO, которые хранятся на контроллерах домена AD и редактируются централизованно). Для переноса настроек локальных MLGPO можно использовать официальную утилиту Microsoft – lgpo.exe (входит в состав Security Compliance Manager, как и Microsoft Security Baseline).
Чтобы экспортировать все настроенные локальные политики в файлы используется команда:
lgpo /b c:\GPObackup\
Для импорта настроек локальной политики на другом компьютере, нужно указать ее GUID (можно в полученных файлах найти папку политики по SIDу группы Non-Administrators — S-1-5-32-545). Для применения настроек используется команда:
lgpo /parse /u C:\GPObackup\{GUID}\DomainSysvol\GPO\User\registry.pol
Осталось обновить настройки политик командой:
gpupdate /force
LocalGPO.wsf
:Экспорт:
cscript LocalGPO.wsf /Path:C:\GPObackup /Export /MLGPO:Non-Administrators
Импорт:
cscript LocalGPO.wsf /Path:C:\GPObackup\{GUID}
[/alert]
Всё бы хорошо, только «Конфигурация компьютера» > «Конфигурации пользователя», т .е. когда нужно настроить исключения (всем юзерам одно, отдельному юзеру — другое) хотелось бы возможность задать одну политику «для всех», а исключения добавить нужным юзерам через MLGPO.